С каждым днем все большее количество людей подвергаются риску стать жертвами злоумышленников, «охотящихся» за персональными данными. Из-за действий мошенников в сети конфиденциальная информация может попасть не в те руки. Посетители сайта справедливо не могут быть уверены, что имеют дело с реально существующим лицом, которому можно доверять, пока не ознакомятся с подтверждением его подлинности и надежности. В такой момент способны выручить SSL-сертификаты.
Прежде чем узнать, как можно обзавестись сертификатом, разберемся, что это такое. SSL-сертификат — это «паспорт», который может предоставить интернет-ресурс. Все данные, содержащиеся в нем, проверены особым органом — удостоверяющим центром, который обладает правом выдачи цифровых сертификатов.
Базируется SSL-сертификат на специальном протоколе шифрования SSL, который обеспечивает безопасное HTTPS-соединение между сайтом и браузером. Такое соединение, в отличие от HTTP-соединения (в аббревиатуре которого отсутствует заветная буква S — secure, что значит безопасный), защищает данные пользователя при передаче данных по сети и необходимо для гарантии приватности. Таким образом, на странице входа, во время онлайн-покупки или заполнения формы на сайте, возможность MITM-атаки (когда третьи лица незаметно перехватывают ваши данные или подменяют сообщения) исключается, так как закодированную информацию можно расшифровать только при наличии специального ключа, который известен только владельцу сертификата.
Отвлекаясь от технической составляющей, что дает использование такого сертификата на практике?
Преимущества SSL-сертификата налицо, и говорить о каких-то минусах смысла нет. Но если вы все-таки желаете копнуть глубже, то возможно незначительное замедление соединения с сайтом, однако оно настолько минимально, что относиться к этому всерьез не стоит.
Итак, прежде всего, ответим на вопрос, куда надо обратиться? Мы уже знаем, что выдает SSL-сертификаты удостоверяющий центр. Какой лучше? Здесь нет однозначного ответа: организации, предоставляющие такие услуги — серьезные и авторитетные, разница состоит лишь в варьирующихся ценах на сертификаты и в их «дружбе» с браузерами. Но и с этой стороны обычно гарантируется 99-процентная совместимость с большинством существующих браузеров. Можно выделить популярные центры: Comodo, Symantec, Geotrust, Thawte. Помимо этого, получить сертификат можно не только непосредственно в центре сертификации, но и у их официальных партнеров.
Далее надо решить, какой вид сертификата вам нужен. Некоторые владельцы сайтов, стремясь избежать рутины, создают самоподписанные (Self-Signed) сертификаты самостоятельно и бесплатно на веб-сервере. Однако при переходе на такой сайт будет отображаться ошибка с предупреждением о том, что сертификат безопасности не является доверенным, поэтому такой способ подходит разве что для тестовой проверки.
Итак, сертификаты могут различаться по типу валидации — проверки удостоверяющим центром. Самые простые DV-сертификаты (Domain Validation) выдаются в течение 1-2 дней, подтверждают только доменное имя, подходят всем — как физическим, так и юридическим лицам, и выпускаются после проведения проверки и перехода по ссылке. Кроме домена может быть подтверждена и организация — это OV-сертификаты (Organization Validation), и они уже требуют наличия юрлица в соответствующем реестре, а также в публичных каталогах и заключительного этапа — звонка в компанию. Выдача их производится в течение 2 дней. Самыми престижными являются EV-сертификаты (Extended Validation): кроме требований, предъявляемых к получению OV-сертификатов, включают тщательную расширенную проверку соответствия организации определенным критериям. Этот процесс может занять до 2-х недель. В целом подготовка документации может несколько отличаться в зависимости от выбранного вами органа по их предоставлению.
Исходя из предназначения, выделяют стандартные SSL-сертификаты для защиты одного доменного имени; Wildcard-сертификаты, которые используются для защиты не только основного домена, но и его поддоменов; мультидоменные SAN-сертификаты для обеспечения безопасности ряда разных доменов; те самые EV-сертификаты c расширенной проверкой — в этом случае адресная строка браузера подсвечивается зеленым цветом и отображает название компании (название этому — green bar).
Теперь попробуем разобраться в процедуре получения SSL-сертификата, которая заслуживает отдельного рассмотрения. Конечно, компания, которая будет предоставлять вам сертификат, даст руководство по его получению, но мы хотим схематично обобщить этот процесс.
Проведем такую аналогию: для того, чтобы обезопасить ваш дом, который у всех на виду, от проникновения, вы должны иметь ключ. Это значит, что подготовка к получению публичного сертификата начнется с того, что вы создадите ключ (а точнее, пару ключей — приватный и публичный), шифрующий и расшифровывающий данные, передающиеся от посетителя сайта к веб-серверу и обратно. Затем генерируется запрос на выпуск сертификата — CSR (Certificate Signing Request). Здесь вы вводите ваши данные, указываете e-mail для осуществления подтверждения вашего запроса и при необходимости прилагаете документы. Далее этот файл CSR, подписанный вашим приватным ключом, передается в центр сертификации вместе с публичным ключом. Там производится проверка полученной информации, после чего удостоверяющий центр выпускает SSL-сертификат, гарантируя, что только вы имеете ключ к нему, и ваши права на сертификат и сайт теперь подтверждены. Для веб-сервера это означает то, что вы готовы предоставлять защищенное соединение.
Необходимо понимать, что сертификат не приобретается навечно, его нужно продлевать (и это тоже стоит денег), иначе на вашем сайте появится ошибка, которая отпугнет посетителей. Если срок действия сертификата истек, и вы его не продлили, но теперь решили обратиться к этой услуге снова — необходимо заняться перевыпуском SSL-сертификата.
Как видите, процесс получения сертификата нельзя назвать простым, из-за подобной бюрократии многие отказываются от этого. Однако с течением времени меняется многое, в том числе и подход к вопросу автоматизации приобретения SSL-сертификата и пересмотра ценовой политики. Благодаря Let’s Encrypt — некоммерческому проекту, который представляет центр сертификации от общественной корпорации ISRG, появился совершенно бесплатный и удобный способ обзавестись «защитным снаряжением» для своих проектов.
С декабря 2015 года Let’s Encrypt стал доступен для всех, кто хочет получить стандартный SSL-сертификат без лишних шагов. Причина, почему это происходит так просто, в том, что Let’s Encrypt использует несколько отличающиеся, но при этом заточенные на результат инструменты: специальный протокол аутентификации сайтов ACME в связке с протоколом шифрования TLS (преемником SSL). Мы не предлагаем вникать в дебри этого программного процесса — те, кто глубоко в этом заинтересован, могут ознакомиться с подробностями здесь.
Но есть моменты, на которые стоит обратить внимание. Let’s Encrypt предлагает только DV-сертификаты и выдает их на 90 дней — именно при этих условиях обеспечивается их автоматическое получение. По прошествии 60 дней рекомендуется обновлять полученный сертификат. В январе 2018 г. анонсирован выпуск Wildcard-сертификатов, но за более продвинутыми вариантами придется обратиться к другим удостоверяющим центрам.
Любой клиент «Джино» может получить бесплатный SSL-сертификат от Let’s Encrypt. Такие сертификаты выдаются в течение нескольких секунд прямо через контрольную панель и продлеваются программно автоматически. Сделать это можно в разделе «Домены» вашего аккаунта: выберите нужный домен, на странице его настроек перейдите во вкладку «SSL-сертификат» и нажмите «Получить». Если вы уже имеете SSL-сертификат, просто подключите его к домену на аккаунте «Джино».
Не откладывайте получение SSL-сертификата в долгий ящик — это вклад в ваше доброе имя! Подкованные пользователи и потенциальные клиенты заметят знак защиты вашего сайта и убедятся в вашем компетентном отношении к вопросам безопасности, которая в современном мире требует повышенного внимания.