Где находится ssl. Смотреть что такое "SSL" в других словарях. Какие существуют виды SSL сертификатов шифрования

Что такое SSL-сертификат простыми словами и какая разница между HTTP и HTTPS? Чем полезен сертификат и как он влияет на SEO-продвижение, пользовательские факторы и ранжирование в поисковых системах? Где получить и сколько стоит SSL? Обо всем подробнее в данной статье.

SSL (от англ. Secure Sockets Layer - уровень защищённых сокетов) - это протокол шифрования, который позволяет кодировать данные для более безопасного обмена .

Что такое SSL-сертификат простыми словами?

Если говорить проще, то при использовании SSL, данные которые вы или пользователи оставляете на сайте, например, личные данные или номера банковских карт, передаются на сервер по https протоколу в зашифрованном виде. Даже при перехвате этих данных, их фактически невозможно расшифровать.

Https не является отдельным протоколом, по сути это обычный http, который поддерживает шифрование (secured) данных. Когда вы открываете сайт, использующий https-протокол передачи данных, серверу, на котором расположен данный сайт, необходимо подтвердить его подлинность. Для этого он предоставляет браузеру специальный цифровой сертификат.

Успешное подтверждение подлинности сайта отображается в строке браузера иконкой закрытого замочка (и надписью "Защищено" в Google Chrome). В зависимости от вида, SSL-сертификаты содержат в себе следующую информацию:

  • доменное имя;
  • дынные о владельце: физическое или юридическое лицо;
  • центр, выпустивший сертификат;
  • дата окончания действия сертификата;
  • алгоритм подписи и шифрования и т.д.

SSL-сертификат позволяет понизить уязвимость сайта от перехвата данных злоумышленниками .

В чем разница между HTTP и HTTPS?

Как упоминалось ранее, HTTPS - это тот же самый HTTP протокол (протокол передачи гипертекста), который поддерживает шифрование. Данные по HTTPS передаются поверх криптографического протокола SSL или TLS, который их шифрует. HTTP же передает обычные текстовые данные, что делает данный протокол уязвимым к внешним угрозам .

Как работает SSL?

SSL-сертификат устанавливается на север, а не на CMS (систему управления сайтом) или домен. Сертификат содержит 2 ключа: публичный (public) и приватный (private). Public-key используется для шифрования трафика в пользовательской части: от браузера к серверу. Private-key используется для того, чтобы расшифровать полученные данные на сервере.

В криптографии есть базовая задачка про почтальона и ключи, которая поможет вам понять принцип работы шифрования. Звучит она так:

Есть два абонента Леша и Маша, почтальон Вася, открытый сейф и два замка. У каждого из абонентов есть ключ, отпирающий собственный замок. Если вложить письмо в сейф, закрыть его на замок, и передать сейф с ключом через почтальона Васю, он может отрыть его или сделать дубликат ключа. Как передать письмо от Леши к Маше через почтальона, чтобы тот не смог его прочитать? Подсказки: Вася может доставлять только закрытый сейф, на сейф можно вешать 2 замка одновременно, ни один из ключей передавать Васе нельзя.

Ответ на данную задачу мы дадим в конце статьи, подумайте над ее решением самостоятельно .

Для чего нужен SSL-сертификат?

Оставим все сложные технические моменты, и попробуем разобраться, каким проектам нужен SSL-сертификат, а какие проекты могут обойтись и без него.

Как вы поняли, главная задача SSL-сертификата - безопасность передаваемых данных. Особенно этот момент чувствителен для финансового сектора, и сайтов, которые оперируют личными или даже конфиденциальными данными пользователей. Однако существуют и информационные сайты, которые создают контент и никак не работают с персональными данными. Нужен ли SSL им? Давайте рассмотрим основные преимущества установки SSL-сертификата и недостатки .

5 причин установить SSL-сертификат

  1. Безопасность данных . Конечно же, стоит начать с этого пункта, ведь в этом заключается основная цель использования SSL-сертификатов. Если вы работаете с персональными данными пользователей, вам просто необходимо их шифровать при передаче к серверу. Само по себе использование сертификата не является панацеей от всех бед, злоумышленники могут перехватить данные еще до момента передачи их на сервер. Однако использование протокола шифрования является значительным вкладом в снижение уязвимости сайта.
  2. Доверие к сайту . Довод о том, что зеленый замочек в строке браузера повышает доверие к сайту полностью состоялся. Пользователи привыкли, что все крупные проекты используют SSL-сертификаты. Вполне вероятно, что они понятия не имеют что это такое. Но надпись "Защищено" и зеленый замочек дают посетителю сайта представление о том, что он и его данные находятся в безопасности.
  3. Поддержка сторонних сервисов . Некоторые платежные системы (Яндекс.Деньги) и сервисы (Голосовой помощник Google Chrome) работают только с сайтами с HTTPS протоколом. Если специфика вашей работы подразумеваем взаимодействие с аналогичными сервисами, рекомендуем вам установить SSL-сертификат.
  4. Реклама из общих точек доступа к сети . Вы когда-нибудь замечали необычную рекламу на знакомых сайтах, когда подключались со своего устройства к Wi-Fi сети с общим доступом в торговых центрах, кафе или, например, заправках? Многие бесплатные точки Wi-fi созданы не только для вашего удобства, это один из способов монетизации входящего траффика. Чем больше вашей потенциальной аудитории аудитории может посещать ваш незащищенный HTTP сайт с таких точек, тем хуже для вас. От агрессивной рекламы сильно страдают пользовательские факторы, в частности, глубина просмотра.
  5. Фактор ранжирования? Google не раз заявлял , что поддержка HTTPS протокола станет одним из факторов ранжирования. При этом официальные представители уславливались, что данному фактору будет отводиться меньше 1% от суммы общих факторов качества сайта. Однако официального анонса и подтверждения, что данные заявления вступили в силу сделаны не были. Для Яндекса сайты по HTTP и HTTPS протоколам участвуют в ранжировании на равных, однако, поисковик обозначает, что подключать SSL стоит, если на сайте можно совершать покупки и другие финансовые операции. HTTPS на сегодняшний день не влияет на ранжирование в поисковых системах напрямую, но он делает это косвенно, в том числе, через пользовательские факторы .

Каким сайтам нужен SSL?

SSL-сертификат необходимо подключать к сайтам, которые работают с финансами и персональными данными пользователей. Это интернет-магазины, банки, платежные системы, социальные сети, почтовые сервисы и любые другие проекты. SSL-сертификат является необязательным атрибутом для информационных сайтов, которые создают исключительно контент и никак не работают с пользовательскими данными, и финансами.

Если вы только создаете новый сайт, при этом не планируете работать с персональными данными пользователей, SSL-сертификат лучше все-равно поставить с самого начала, чтобы потом не пришлось изменять главное зеркало сайта, если вы все-таки захотите перейти на протокол HTTPS позже. Тем более сегодня это можно сделать бесплатно. Пусть ваш сайт от этого напрямую ранжироваться выше не станет, но даже повышение доверия к сайту со стороны пользователей стоит этих минимальных усилий при запуске проекта .

Влияние SSL-сертификата на SEO продвижение

Как мы выяснили, на данный момент сайты с HTTPS протоколом официально не имеют преимущества в ранжировании в поисковых системах, но могут выигрывать за счет улучшения поведения пользователей на страницах ресурса. Это также относится и к поведению пользователей на сайте в конкретном браузере. Например, Google Chrome, уже начал помечать сайты с HTTP протоколом, как незащищенные:

Это в свою очередь также может негативно сказываться на поведенческих факторах пользователей, что в свою очередь приводит к понижению ранжирования сайта в поисковиках.

Какие проблемы и негативные моменты по SEO могут возникнуть при установке SSL-сертификата? Самая основная проблема - это необходимость изменения главного зеркала сайта. Переезд сайта с HTTP протокола на HTTPS предполагает удаление всех старых страниц с поисковой выдачи, и добавление этих же страниц с новым протоколом. В этом случае поисковые системы не гарантируют не только сохранение текущих показателей посещаемости и позиций сайта, но и страниц в выдаче в целом.

Что говорит практика? Мы располагаем 2 примерами переезда сайтов на HTTPS протокол. Давайте рассмотрим их .

Переезд информационного сайта на HTTPS

Информационный сайт женской тематики:

По графику посещаемости из Яндекс.Метрики видна просадка трафика во время смены главного зеркала сайта и переобхода новых страниц роботами поисковых систем. Однако в дальнейшем показатели посещаемости не только восстановились, но и продолжили свой рост. Конечно, рост траффика обусловлен не переездом сайта на HTTPS протокол, а работой над контентом. Переезд на HTTPS был запланирован в одно время с переездом сайта на новый сервер, чтобы нивелировать возможные последствия от перебоев в работе сайта. График показывает подтверждает лишь тот факт, что потеря позиций и снижение трафика имеет лишь временный эффект .

Переезд интернет-магазина на HTTPS

Интернет-магазин пляжной одежды:

На графике представлена посещаемость одного из топовых сайтов в нише пляжной одежды и купальников. Красными линиями выделен промежуток переезда сайта на HTTPS протокол. Обратите внимание, что переезд осуществляется в декабре, когда спрос на купальники и пляжную одежду был не такой высокий. Снижение трафика на фоне естественного снижения спроса в нише оказалось незначительным. После индексации новых страниц траффик и позиции ресурса быстро восстановились. Стоит отметить, что это возрастной и авторитетный ресурс. Отчасти поэтому переиндексация страниц прошла столь безболезненно.

Конечно, существуют и обратные примеры, когда переезд на HTTPS протокол прошел более болезненно для web-ресурсов, и 2 примера мало о чем свидетельствуют. Мы лишь хотим отметить, что при правильном переезде сайта с технической точки зрения, острые углы можно максимально сгладить .

Виды SSL-сертификатов

Существует несколько типов SSL-сертификатов по источнику подписи и типу проверки данных.

По источник подписи существуют следующие сертификаты:

  • Самоподписанные . Сертификат подписывается самим сертификатом. Его может получить любой пользователь самостоятельно. По сути, это бесполезный сертификат. Большинство браузеров при посещении сайта выдаст предупреждение, что соединение не защищено.
  • Подписанные недоверенным центром сертификации . Это означает, что сам SSL-сертификат проверен, однако независимая сторона, проверяющая принадлежность домена физ. или юр. лицу, подлинность сайта, не имеет на это право.
  • Подписанные доверенным центром сертификации . Сертификат корректно отображается во всех браузерах. Данные сертификата проверены и подтверждены в сертифицирующем центре.

Подписанные доверенным центром сертификаты, в свою очередь, тоже подразделяются по типу проверки данных:

  • Esential SSL - один из самых дешевых и популярных SSL-сертификатов. Доступен как для физ., так и для юридических лиц. Выдается на один домен. Осуществляется проверка владения домена через Email, DNS-запись или хэш-файл на сервере. Реквизиты компании и личные данные владельца не проверяются.
  • Instant SSL - сертификат доступен для юр. и физ. лиц. Выдается на один домен (без поддоменов). Осуществляется проверка владения доменом, личные данным физического лица, либо регистрационные данные юридического лица.
  • SGC SSL-сертификат - аналогичен Instant SSL, осуществляет поддержку 40-битных расширений. Это позволяет корректно отображать сайт в старых операционных системах и браузерах. Выдается на один домен без поддоменов.
  • Wildcard SSL - работает как обычный сертификат, однако, подразумевает безлимитную лицензию на домен и все его поддомены на одном или нескольких серверах. В среднем стоит от 300$.
  • EV (Extended Validation) сертификат - SSL-сертификат расширенной проверки, доступ к которому имеют только юр.лица. Осуществляется проверка владение доменом, регистрационные данные компании, нотариально заверенные документы и т.д. Позволяет получить мгновенное подтверждение аутентичности зеленой адресной строкой браузера. В среднем стоит от 350$.
  • EV Multidoain. - аналогично EV, только подразумевает поддержку до 100 доменов. В среднем стоит от 800$ .

Где получить SSL-сертификат?

Каждый хостинг-провайдер, на котором расположен ваш сайт предоставляет возможность купить и установить SSL-сертификаты разных типов в зависимости от нужд вашего проекта. REG.ru, Timeweb, Nic.ru и другие провайдеры самостоятельно установят SSL-сертификат на сервере, вам лишь останется настроить 301 редирект со страниц http на https и проставить относительные пути для файлов.

Наиболее популярные центры сертификации, в которых вы можете приобрести SSL-сертификат:

Как установить SSL-сертификат для домена?

Если у вас выделенный сервер, то вам придется устанавливать сертификат самостоятельно. На выделенном сервере вы можете получить бесплатный SSL-сертификат для сайта от Let"s Encrypt . И то, и другое легко сделать с помощью ISPmanager. В первом случае вам необходимо сформировать CSR-запрос, который отправляется в центр сертификации, после чего уже ввести полученные данные из центра сертификации в соответствующие поля. Во втором случае, просто установите бесплатный модуль от Let’s Encrypt, после чего запустите выпуск SSL-сертификат в разделе WWW-домены для конкретного домена .

Проверка SSL-сертификата на сайте

Для проверки корректности установки SSL-сертификата, а также его корректного отображения в большинстве браузеров воспользуйтесь бесплатным сервисом . Если с вашим SSL-сертификатом все хорошо, сервис выдаст аналогичный результат.

Сколько стоит SSL-сертификат?

В среднем SSL-сертификаты у большинства регистраторов варьируются от 1500 до 20 000 рублей. При покупке SSL-сертификата вам необходимо четко понимать его назначение. Если вы не работаете с финансами и персональными данными, и для вас не имеет большого значения отображение данных о компании для повышения доверия со стороны пользователей, будет вполне достаточно установить бесплатный SSL-сертификат от Let"s Encrypt. Впоследствие его можно будет поменять на платный аналог с более расширенной проверкой данных без вреда для индексации сайта. Более того, с точки зрения SEO, нет разницы между платным SSL-сертификатом и бесплатным. Так что в данном случае, выбор должен основываться на возможностях вашего хостинг-провайдера.

Вернемся к нашей задаче. Итак, как передать письмо от абонента A к абоненту B, чтобы его не прочитал почтальон?

Подумайте, и дайте свой ответ в комментариях. Если вы не нашли решение, посмотрите его, кликнув по кнопке ниже.

  1. Леша кладет письмо в сейф, заперев его на замок, отправляет сейф с письмом Маше.
  2. Маша получает замкнутый сейф, и дополнительно запирает его своим замком. Отправляет сейф обратно Леше.
  3. Леше сейф приходит уже с двумя замками, от одного из которых у него есть ключ. Леша снимает свой замок. Таким образом, на сейфе остается только замок Маши. Отправляет сейф Маше.
  4. Маше приходит сейф с письмом и замком, на который у нее есть ключ. Маша открывает сейф и читает письмо.

Споры вокруг протоколов HTTPS и сертификатов SSL идут не первый год. Одни утверждают, что для продвижения сайтов нет особой разницы между SSL разных издателей. Другие уверены - чем больше заплатите за сертификат, тем выше будет позиция сайта. Третьи считают, что HTTPS актуален только для магазинов и коммерции. Этот вопрос разбирает Владислава Рыкова, директор маркетингового агентства MAVR . Также она описывает пл юсы и минусы бесплатных, платных и самописных SSL.

Что такое SSL

SSL или Secure Sockets Layer - это стандартная технология, которая используется для обеспечения безопасности и установления зашифрованной связи между браузером и веб-сервером. Это своего рода электронный паспорт сайта, который содержит криптографические ключи и данные о его держателе и издателе. Также он позволяет пользователям шифровать любую личную информацию.

Есть 3 ключа, которые используются для шифрования соединений:

  • открытый;
  • закрытый;
  • сеансовый.

Работает это так: то, что зашифровано с помощью открытого ключа, может быть расшифровано с использованием закрытого ключа и наоборот. Автоматически создается симметричный сеансовый ключ и затем применяется для шифрования данных, передаваемых с сайта после создания безопасного соединения. Всякий раз, когда браузер обращается к защищенному сайту, устанавливается соединение - на это уходит несколько десятых секунды.

Посмотреть SSL можно, кликнув мышью в поисковой строке на замке перед HTTPS.

Что тут важно:

  • издатель;
  • владелец;
  • тип сертификата;
  • срок действия.

Остальная информация носит технический характер.

Пару слов о терминологии. В данной статье под SSL я подразумеваю стандарт SSL, который был разработан компанией Netscape, и с января 1999 года IETF стандартизирует его под именем TLS. Как утверждается в TLS-документации, «разница между этим протоколом и SSL 3.0 некритична». SSL и TLS представляют собой постоянно обновляемую серию протоколов, и их часто в обиходе объединяют в общее название SSL/TLS.

HTTP и HTTPS

Для лучшего понимания, что такое SSL и какова разница между его типами, немного коснемся протоколов HTTP и HTTPS. Есть подробные технические описания и гайды, мы их приводить не будем. Для обычного пользователя ситуация выглядит вот так:

Многим владельцам сайтов непонятно, почему Google уже несколько лет досаждает рекомендациями перейти на HTTPS - HyperText Transfer Protocol Secure. Суть в том, что шифрованный протокол позволяет устанавливать относительно безопасное соединение между браузерами и сайтами. HTTPS значительно снижает вероятность взлома коммерческих данных - а значит и воровства ваших средств.

Вот краткое описание из search-консоли:

С середины 2018 года все сайты без HTTPS считаются небезопасными. Об этом сообщает браузер Chrome при каждом заходе на сайт, что видно на иллюстрации выше. SSL - важнейшая часть протокола HTTPS. А он, по сути, все тот же HTTP плюс шифрование и сертификат SSL.

Почему SSL-сертификат - это важно

По утверждению Google, сайты, которые не используют SSL-сертификаты, столкнутся с проблемами. Но главное - его наличие сказывается на доверии пользователей и рейтинге в поисковой системе из-за защиты транзакций. Сертификаты повышают репутацию бренда и служат средством борьбы с фишингом.

С 2014 года, когда Google включил протокол HTTPS в факторы ранжирования, SSL сертификаты стали must-have для любого коммерческого проекта. Так, эксперт Hubspot Сэм Кусиниц написал статью « Окончательное руководство по факторам рейтинга Google в 2019 году ». Среди факторов продвижения, связанных с контентом, соцсетями и ссылками, характеристику «очень важно» получила безопасность домена. А она реализуется благодаря сертификатам SSL в протоколе HTTPS.

Больше года назад ведущий специалист moz.com доктор Питер Мейерс писал о том, что примерно 30% ТОПа выдачи Google - сайты с SSL. Теперь их количество более 80%.

Аналитик предполагает, что для этого есть несколько причин.

  1. Google с 2014 года поднимает в выдаче сайты с SSL, потому что они более безопасные. Значение этого параметра среди общих факторов ранжирования увеличивается примерно два раза в году.
  2. Само наличие сертификата положительно сказывается на поведенческом факторе. Пользователи не склонны делать интернет-заказы в незащищенных магазинах.
  3. Владельцы успешных сайтов видят перспективы в таком «апдейте» и сами модернизируют ресурсы.

Плюсы SSL-сертификатов

В важности SSL-сертификата и работы сайта через HTTPS уже почти никто не сомневается. Но есть еще другой насущный вопрос - какие сертификаты лучше подходят для продвижения сайта и у кого их заказывать?

Виды SSL-сертификатов: плюсы и минусы

Есть три варианта, где можно взять сертификат:

  • сделать собственный;
  • заказать бесплатный;
  • купить платный, коммерческий SSL.

Разберем каждый из видов подробнее.

Самоподписные SSL

Их также называют self-signed и создают в хостинговых сервисах типа Cpanel. Эта возможность есть у каждого владельца сайта. Мы не будем рассматривать технический аспект генерирования - нас интересуют особенности таких SSL.

Плюс

Это быстро и бесплатно.

Минус

Вы, наверное, видели такую картину - это и есть результат использования самоподписного сертификата:

Как это повлияет на поведенческий фактор и впечатление пользователей о ресурсе? Нетрудно догадаться, какое количество посетителей будет у этого сайта. И насколько успешно будут работать любые методы продвижения - например, линкбилдинг, крауд- или контент-маркетинг.

Такие сертификаты можно применять только на внутренних сайтах компаний. И то целесообразнее заказать бесплатные, вместо того, чтобы объяснять каждому сотруднику, как побороть неприязнь браузера к самодельным SSL.

Бесплатные сертификаты

В интернете работает достаточно регистраторов, предоставляющих бесплатные сертификаты. Вот одни из популярных:

  • letsencrypt.org
  • startssl.com
  • buy.wosign.com/free/

Плюсы

  1. На этих сайтах несложно получить SSL, и он не будет вызывать браузерную ошибку.
  2. Компании, которые предоставляют сертификаты, зарекомендовали себя на рынке. Например, letsencrypt.org - имеет деловые связи с поисковиком Google, соцсетью Facebook и несколькими другими крупными корпорациями.

Минусы

  1. Сертификат не подразумевает финансовых гарантий, то есть компенсаций при хакинге.
  2. Срок действия всего 90 дней.
  3. В letsencrypt и startssl используется технология идентификации SNI, с которой не работают большинство платежных систем. Для коммерции эти сертификаты непригодны.
  4. Они подтверждают только то, что существует такое доменное имя. Никакой информации о владельцах не несут и обеспечивают минимальный уровень защиты.

Бесплатные SSL сертификаты подходят для некоммерческих сайтов, блогов, новостных порталов и т. д. И практически полностью бесполезны, если планируете продавать товары или услуги.

Платные сертификаты

Купить SSL несложно, для этого нужно просто связаться с издателем и сделать заказ. Время регистрации составляет от нескольких часов до недели. Есть несколько основных типов платных сертификатов.

  1. DV (Domain Validation) SSL - подтверждают только имя домена.
  2. OV (Organization Validation) SSL - подтверждающие домен и компанию.
  3. EV (Extended Validation ) SSL - самые надежные с «зеленой строкой» и проверкой расширенного типа.
  4. Сертификаты для нескольких доменов.

Типы сертификатов подбирают в соответствии с целями и характером сайта. DV - это то, что нужно для небольших сайтов и блогов. OV подойдут для корпоративных ресурсов. EV - это решение для интернет-магазинов. Мультидоменные SSL разработаны для крупных организаций и корпоративных сетей.

Вы сможете подобрать оптимальное решение, набрав в поиске «SSL сертификат Comodo» или подобный запрос. Обратите внимание, иногда выгоднее покупать не напрямую у издателей, а через дилеров и представителей.

Популярные издатели сертификатов:

  • Comodo;
  • Symantec;
  • DigiCert;
  • GlobalSign.

Плюсы

В пользу платных сертификатов говорят моменты, которые связаны с вопросами продвижения.

  1. Улучшение поведенческого фактора. Согласно недавнему исследованию HubSpot, до 85% пользователей не будут продолжать просмотр, если сайт не является безопасным. В январе 2017 года Google выпустил обновление, которое применяется только к сайтам, собирающим конфиденциальную информацию. Например, пароли или номера кредитных карт. Теперь речь идет о всех сайтах без HTTPS. Уведомление о небезопасности заметно увеличивает количество отказов, особенно если речь идет о финансовых рисках. Чтобы этого избежать, нужно использовать самый надежный сертификат - платный.
  2. Оптимизация платежей. На сайтах с бесплатными сертификатами совершать торговые операции сложно, потому что далеко не все системы платежей поддерживают их. Опять же растут отказы и это негативно сказывается на коммерческом SEO-продвижении.
  3. Защита. Один из важных моментов - уровень шифрования. Платные сертификаты позволяют обеспечить ключи большей длины и с высокой степенью защиты. Чтобы расшифровать их, потребуются десятки лет. Google анализирует это и повышает сайт в выдаче.
  4. Гарантии издателя от взлома сертификатов. Взломают реально или нет - другой вопрос, но если гарантия есть, то это успокаивает. В зависимости от издателя и типа SSL гарантии разнятся, например, взлом QuickSSL оценен в 10 000 у. е., что говорит о надежности компании.
  5. Удобство. Не обязательно каждые 90 дней перерегистрировать сертификаты. Платные SSL нужно обновлять раз в год.

Минусы

  1. На сертификат все-таки придется потратиться. Стоимость использования зависит от степени защиты и составляет от 20 до 500 у.е.
  2. Регистрация дорогих сертификатов, где требуется юридическое подтверждение и документы, может занять немало времени.

Полезные сервисы при работе с SSL/TLS

  1. SSL Shopper - этот ssl-чекер поможет понять, правильно ли установлен ssl-сертификат у вас на сайте.
  2. SSL Server Test - с помощью этого бесплатного сервиса вы сможете оценить уровень защищенности конфигурации SSL/TLS.

Выводы

SSL - это не только защита посетителей сайта, но и выгодное вложение в развитие. Владельцам новых сайтов лучше заказывать пусть недорогие, но платные сертификаты. Это поможет ресурсу расти в выдаче и снимет вопросы по доверию со стороны поисковика и пользователей.

Но есть и сложности.

  1. Сразу после перехода на SSL и HTTPS отмечают временное падение позиций в выдаче.
  2. HTTPS более требователен к системе, поэтому может немного снизиться скорость загрузки сайта. Решается оптимизацией кода или увеличением серверных мощностей.
  3. Нужно проводить ряд технических работ при переходе, что требует времени и ресурсов.

HTTPS — что за зверь?

Если вы уже сталкивались с созданием собственного сайта, то наверняка краем уха слышали бессвязный набор фраз «сертификат ssl https что это». В статье мы расскажем, что, как и почему. И эти слова перестанут быть для вас пустым звуком.

Невероятно, но факт: любое действие в Интернете — это обмен данными. Когда вы открываете любимый сайт, ищете видеоролик на «YouTube» или загружаете картинку в инстаграм, ваш поисковый браузер и сервер обмениваются информацией. Каждый вбитый в поисковую строку запрос проходит путь от вас (пользователя) к серверу и обратно. Такая коммуникация возможна благодаря работе протокола HTTP . Он был изобретён ещё в начале 90-х. Всем HTTP хорош, кроме одного: не шифрует данные. Следовательно, их без труда может перехватить третья сторона, личная информация (пароль, номер банковской карты, реквизиты, паспортные данные) может быть украдена злоумышленниками.

В современном мире защита данных имеет принципиальное значение. Поэтому внедрили HTTPS, который расшифровывается как протокол безопасного соединения. Принципом работы защищённого протокола HTTPS является обмен ключами шифрования. Прежде чем ответить на запрос от браузера, сервер предъявляет ключ — SSL-сертификат. Браузер проверяет подлинность ключа в Центре сертификации. Если ключ «подошёл», браузер и сервер доверяют друг другу и договариваются о разовом шифре. Так происходит каждую сессию, то есть каждый раз при обмене запросами и ответами. Вот таким хитрым способом и обеспечивается сохранность данных и конфиденциальность при обмене информацией.

Зачем нужен SSL-сертификат?

Чтобы сайт стал работать по протоколу безопасного соединения HТТPS, нужен SSL-сертификат. Это виртуальный документ, который содержит данные об организации, её владельце и подтверждает их существование. SSL позволяет узнать сервер и подтвердить безопасность сайта.

Использование SSL-сертификата гарантирует:

  • Подлинность ресурса, к которому обращается пользователь. Это повышает у посетителей уровень доверия.
  • Целостность передаваемой информации. При транспортировке от сервера к браузеру данные не изменятся и не потеряются.
  • Конфиденциальность . 256-разрядное шифрование исключает доступ злоумышленников к информации.

Что дает SSL-сертификат для сайта кроме защиты данных? Он также помогает в SEO-продвижении проекта — позволяет занять более высокую позицию в поисковой выдаче. Поисковые системы (Google, Яндекс и пр.) дорожат доверием аудитории и выше ранжируют сайты, которые работают через безопасное соединение.

HTTP или HTTPS? Вот в чём вопрос!

Защита сайта протоколом HTTPS уже давно не просто признак хорошего тона, а необходимость. Несмотря на то, что некоторые сайты ещё работают по HTTP-соединению, очень скоро HTTPS станет обязательным требованием «экологии» Интернета.

Решать, конечно, вам. Но имейте в виду, что с июля 2018 года Google считает небезопасным каждый веб-сайт, не использующий протокол HTTPS. Также WordPress и другие популярные CMS заявили, что некоторые функции теперь будут доступны только для веб-сайтов с протоколом HTTPS.

У меня до сих пор HTTP, что делать?

Если ваш сайт обслуживается на хостинге сайт, достаточно заказать SSL-сертификат и перейти с HTTP протокола на HTTPS. Полный цикл:

Готово. Теперь ваш сайт будет работать по HTTPS.

Сделать хороший сайт непросто, продающий - и того сложнее.

Нужно думать над позиционированием, писать статьи, подбирать иллюстрации.

Это крупные и важные задачи.

Но есть в работе над сайтом мелочи.

Они кажутся формальностью, и отвлекаться на них не хочется.

Забудет о них владелец сайта, а потом это выходит боком.

Одна из таких мелочей - SSL-сертификат.

Казалось бы, зачем он. Говорят, для защиты, но кому нужен мой сайт, брать-то там еще нечего. Так ведь?

Так, да не так. SSL-сертификат нужен для перевода сайта на защищенное соединение (HTTPS).

А оно действительно снижает риск самых разных видов мошенничества в сети.

Именно поэтому все больше сайтов переходят на него.

В России кампанию поддерживает Яндекс: HTTPS как знак качества сайта .

В связи с этим возникает еще два основания для перехода на безопасное соединение.

SSL заслуживает доверия пользователей

Чтобы склонить веб-мастеров использовать безопасный протокол, Яндекс и Google встраивают особые уведомления в свои браузеры.

Если SSL не установлен, и при этом сайт собирает чувствительные данные, браузеры заблокируют доступ к нему.

Пользователи уходят, когда видят эти уведомления.

Так отсутствие SSL снижает посещаемость и заработок с сайта .

SSL-сертификат приносит преимущества SEO

Поисковики повышают сайты с SSL в поисковой выдаче.

Google считает HTTPS сигналом ранжирования с 2014 года , Яндекс объявил об этом в 2019 году .

Имейте в виду, это только один из многих факторов.

Когда нужен SSL-сертификат

Поговорим о конкретных ситуациях, в которых необходимо безопасное соединение.

Итак, когда нужен SSL-сертификат.

Если сайт собирает данные кредитных карт

Нужно убедиться, что информация, которую Вы собираете от пользователей или покупателей, достаточно защищена, ведь она может быть использована для кражи личных данных или денег.

SSL предотвращает утечку информации.

К тому же люди заботятся о своей безопасности.

Они не станут платить на Вашем сайте или оставлять контакты, если браузер поставит рядом с адресом сайта пометку «Не защищено».

Если Ваш сайт использует формы для сбора логинов и паролей

Для доступа к Вашему сайту посетителям надо оставить логин и пароль?

Если так, Вам нужен SSL-сертификат, чтобы убедиться, что никто не украдет их пароли или не получит доступ к их профилю.

Вам нужно обеспечить эту безопасность, даже если Ваш сайт не содержит чувствительной информации.

Большинство людей используют одинаковые пароли (или вариации одного) для множества сайтов.

Так что если кто-то получит пароли Ваших пользователей, он может взломать их банковский аккаунт или другую платформу.

Если Вы хотите сохранить Ваших пользователей

Ярлык «Не защищено» отпугивает современных интернет-пользователей.

Таким образом, если Вы хотите, чтобы Ваши посетители оставались на Вашем сайте, Вам нужно получить SSL.

Google Ghrome помечает все HTTP-сайты как небезопасные.

Если Вы не хотите помогать мошенникам

Все УЦ должны действовать в соответствии с ними.

Расширенная проверка проводится вручную, поэтому такой SSL стоит дорого.

Цены начинаются от 11500 рублей в год (около 4500 грн).

Проверка организации (Organization Validation, OV).

OV-сертификаты предоставляют следующий уровень доверия.

Он подтверждает права организации на использование доменного имени и ее существование.

Браузеры помечают сайты с OV-сертификатом замком.

Нажав на него, можно увидеть расширенные данные об организации.

Как пример, информационный сайт Сбербанка:

УЦ обычно проверяют заявителей на определенном уровне.

Например, по телефону, обращаясь к третьим лицам или организациям.

OV-сертификат выпускается с частично ручной проверкой, поэтому они стоят дешевле, чем EV.

Цены начинаются от 4500 рублей (около 1700 грн) в год.

Проверка домена (Domain Validation, DV).

Предоставляет нижний уровень доверия.

DV-сертификаты только демонстрируют, что домен принадлежит тому, кто запросил сертификат.

Доступны юридическим и физическим лицам.

Конечные пользователи видят информацию только о шифровании, не об организации.

Вот обычный сайт по продаже штор.

Процесс проверки обычно полностью автоматизирован.

Так, если сертификат покупается для использования на www.mydomain.com, он не может быть использован на mail.mydomain.com или www.otherdomain.com.

Если нужно защитить несколько поддоменов, можно купить Wildcard-сертификат. Он покрывает все поддомены.

Например, Wildcard-сертификат для *.mydomain.com может быть использован для:

  • mail.mydomain.com
  • www.mydomain.com
  • ftp.mydomain.com
  • и др.

Он не может быть использован для защиты mydomain.com and myotherdomain.com.

Бесплатные Wildcard-сертификаты выдает Let’s Encrypt.

Чтобы защитить несколько разных доменных имен одним сертификатом, понадобится сертификат с SAN (Subject Alternative Name).

Он позволит защитить четыре дополнительных доменных имени.

Например, Вы можете использовать один сертификат для:

  • www.mydomain.com
  • www.mydomain.org
  • www.mydomain.net
  • www.mydomain.co
  • www.mydomain.co.uk

Сертификаты с поддержкой разных имен стоят дорого.

Иногда выгоднее купить несколько SSL с поддержкой одного домена.

Какой сертификат выбрать

Если у Вас информационный сайт с поддоменами и Вы не собираете персональные данные - подойдет бесплатный Wildcard-сертификат от Let’s Encrypt.

Если у Вас сайт организации и Вам важно доверие (например, портал инвестиционной компании) - подойдет EV-сертификат.

Если у Вас банк или крупный интернет-магазин с миллионами пользователей - Вам нужен EV-сертификат.

Как получить SSL-сертификат

Процедура несложная, но отнимет пару часов.

Придется разобраться с технической частью самому или обратиться за помощью к профессионалам.

Если решите подключить SSL высокого уровня доверия, то его сначала надо будет купить.

Удостоверяющие центры

Обязательный участник процесса - удостоверяющий центр (или центр сертификации).

Как мы уже упоминали, это организация, которая выпускает и отзывает цифровые сертификаты.

УЦ подписывают SSL-сертификаты корневым сертификатом (CA certificate).

Корневые сертификаты устанавливаются во все популярные браузеры.

Именно поэтому браузеры могут распознать сайт с «хорошим SSL» и поставить рядом с его адресом замочек.

Корневые сертификаты выдают следующие центры сертификации: Comodo , Thawte , Symantec , GeoTrust , RapidSSL и другие.

Особой разницы, в каком из этих УЦ выпускать SSL, нет.

Исключение - Let’s Encrypt. Он выдает бесплатные SSL.

Купить цифровой сертификат

Купить SSL можно не только в центре сертификации.

SSL перепродают хостинг-провайдеры. Например,Ru-Center , Reg.ru , Макхост .

Узнайте, есть ли у Вашего провайдера такая услуга.

Она может стоить дороже, зато сотрудники поддержки помогут установить SSL и настроить HTTPS.

Есть и другие реселлеры и даже агрегаторы SSL. Например, LeaderSSL , FirstSSL , ISPsystem .

Здесь могут быть ниже цены - из-за скидок, которые агрегаторы получают за объем.

Кроме того, они помогают с выпуском SSL с высоким уровнем доверия: при расширенной проверке возникают проблемы, а у агрегаторов больше опыта в их разрешении.

Выберите продавца SSL, исходя из своих предпочтений.

Запросить цифровой сертификат

После оплаты услуги надо отправить запрос на выпуск SSL.

Форма этого запроса и количество вводимых данных будут зависеть от того, какой SSL-сертификат Вы запрашиваете.

Если нужен простой SSL с проверкой домена, то будет достаточно электронной почты на домене.

Если нужен сертификат с проверкой организации, то приготовьтесь указать ее юридическое название, реальные адрес и телефон.

После заполнения данных продавец сгенерирует CSR-запрос и приватный ключ.

После этого останется только дождаться активации сертификата.

Для SSL уровня DV она проходит до двух дней. Сертификаты уровня EV и DV выдают дольше.

Проверка организации, как мы уже упоминали, сопровождается запросом документов и другими действиями.

Установить цифровой сертификат

Когда УЦ закончит проверку, на указанную почту придут данные для установки SSL-сертификата: сам сертификат, корневой сертификат, промежуточный сертификат и приватный ключ.

Теперь все это надо установить на хостинг или сервер, где размещается сайт.

Попросите помочь поддержку продавца или воспользуйтесь инструкциями контрольных панелей: cPanel , Plesk , ISPmanager .

Когда SSL установлен, сайт автоматически начнет работать по HTTPS.

При этом протокол HTTP тоже продолжит работать.

Чтобы перевести все запросы к сайту на безопасное соединение, нужно включить переадресацию.

Сделайте это, следуя инструкциям контрольных панелей.

Если Вам помогали сотрудники провайдера, то они наверняка уже позаботились об этом.

Обратите внимание! При переходе на HTTPS меняется адрес сайта. Поисковики Яндекс и Google рассматривают сайт с новым адресом как новый. Соответственно, они могут понизить сайт в результатах поиска.

Бесплатный сертификат от Let’s Encrypt

Они автоматически запрашивают, устанавливают и обновляют SSL-сертификаты.

Чтобы установить бесплатный SSL, изучите инструкцию на сайте Let’s Encrypt или обратитесь за помощью к своему хостинг-провайдеру.

Запомните

  1. SSL-сертификат необходим практически каждому сайту.
  2. Он защищает посетителей, повышает доверие и дает дополнительные очки в SEO.
  3. Кроме защиты данных у SSL есть еще одна функция - обозначать уровень доверия к владельцу сайта. От уровня доверия зависит вид SSL-сертификата.
  4. Если уровень доверия не важен, установите бесплатный SSL от Let’s Encrypt.

TLS и SSL упоминаются в последнее время все чаще и чаще, более актуальным становится использование цифровых сертификатов, и даже появились компании, готовые бесплатно предоставлять цифровые сертификаты всем желающим, чтобы гарантировать шифрование трафика между посещаемыми сайтами и браузером клиента. Нужно это, естественно, для безопасности, чтобы никто в сети не мог получить данные, которые передаются от клиента серверу и обратно. Как же это всё работает и как это использовать? Чтобы это понять, надо, пожалуй, начать с теории, а потом показать на практике. Итак, SSL и TLS.

Что такое SSL и что такое TLS?

SSL — Secure Socket Layer, уровень защищенных сокетов. TLS — Transport Layer Security, безопасность транспортного уровня. SSL является более ранней системой, TLS появился позднее и он основан на спецификации SSL 3.0, разработанной компанией Netscape Communications. Тем не менее, задача у этих протоколов одна — обеспечение защищенной передачи данных между двумя компьютерами в сети Интернет. Такую передачу используют для различных сайтов, для электронной почты, для обмена сообщениями и много еще для чего. В принципе, можно передавать любую информацию таким образом, об этом чуть ниже.

Безопасная передача обеспечивается при помощи аутентификации и шифрования передаваемой информации. По сути эти протоколы, TLS и SSL, работают одинаково, принципиальных различий нет. TLS, можно сказать, является преемником SSL, хотя они и могут использоваться одновременно, причем даже на одном и том же сервере. Такая поддержка необходима для того, чтобы обеспечить работу как с новыми клиентами (устройствами и браузерами), так и с устаревшими, которые TLS не поддерживают. Последовательность возникновения этих протоколов выглядит вот так:

SSL 1.0 — никогда не публиковался
SSL 2.0 — февраль 1995 года
SSL 3.0 — 1996 год
TLS 1.0 — январь 1999 года
TLS 1.1 — апрель 2006 года
TLS 1.2 — август 2008 года

Принцип работы SSL и TLS

Принцип работы SSL и TLS, как я уже сказал, один и тот же. Поверх протокола TCP/IP устанавливается зашифрованный канал, внутри которого передаются данные по прикладному протоколу — HTTP, FTP, и так далее. Вот как это можно представить графически:

Прикладной протокол «заворачивается» в TLS/SSL, а тот в свою очередь в TCP/IP. По сути данные по прикладному протоколу передаются по TCP/IP, но они зашифрованы. И расшифровать передаваемые данные может только та машина, которая установила соединения. Для всех остальных, кто получит передаваемые пакеты, эта информация будет бессмысленной, если они не смогут ее расшифровать.

Установка соединения обеспечивается в несколько этапов:

1) Клиент устанавливает соединение с сервером и запрашивает защищенное подключение. Это может обеспечиваться либо установлением соединения на порт, который изначально предназначен для работы с SSL/TLS, например, 443, либо дополнительным запросом клиентом установки защищенного соединения после установки обычного.

2) При установке соединения клиент предоставляет список алгоритмов шифрования, которые он «знает». Сервер сверяет полученный список со списком алгоритмов, которые «знает» сам сервер, и выбирает наиболее надежный алгоритм, после чего сообщает клиенту, какой алгоритм использовать

3) Сервер отправляет клиенту свой цифровой сертификат, подписанный удостоверяющим центром, и открытый ключ сервера.

4) Клиент может связаться с сервером доверенного центра сертификации, который подписал сертификат сервера, и проверить, валиден ли сертификат сервера. Но может и не связываться. В операционной системе обычно уже установлены корневые сертификаты центров сертификации, с которыми сверяют подписи серверных сертификатов, например, браузеры.

5) Генерируется сеансовый ключ для защищенного соединения. Это делается следующим образом:
— Клиент генерирует случайную цифровую последовательность
— Клиент шифрует ее открытым ключом сервера и посылает результат на сервер
— Сервер расшифровывает полученную последовательность при помощи закрытого ключа
Учитывая, что алгоритм шифрования является асимметричным, расшифровать последовательность может только сервер. При использовании асимметричного шифрования используется два ключа — приватный и публичный. Публичным отправляемое сообщение шифруется, а приватным расшифровывается. Расшифровать сообщение, имея публичный, ключ нельзя.

6) Таким образом устанавливается зашифрованное соединение. Данные, передаваемые по нему, шифруются и расшифровываются до тех пор, пока соединение не будет разорвано.

Корневой сертификат

Чуть выше я упомянул корневой сертификат. Это сертификат авторизационного центра, подпись которым подтверждает, что сертификат, который подписан, является именно тем, который принадлежит соответствующему сервису. В самом сертификате обычно содержится ряд информационных полей, в которых содержится информация об имени сервера, которому выдан сертификат, и сроках действия этого сертификата. Если срок действия сертификата истек, он признается недействительным.

Запрос на подпись (CSR, Certificate Sign Request)

Для получения подписанного серверного сертификата необходимо сгенерировать запрос на подпись (CSR, Certificate Sign Request) и отправить этот запрос авторизационному центру, который вернет подписанный сертификат, устанавливаемый непосредственно на сервер, чуть ниже посмотрим, как это сделать на практике. Сначала генерируется ключ для шифрования, затем на основании этого ключа генерируется запрос на подпись, CSR-файл.

Клиентский сертификат

Клиентский сертификат может быть сгенерирован как для использования в устройствах, так и для использования пользователями. Обычно такие сертификаты используются при двусторонней верификации, когда клиент верифицирует, что сервер действительно тот, за кого себя выдает, и сервер в ответ делает то же самое. Такое взаимодействие называется двусторонней аутентификацией или mutual authentication. Двусторонняя аутентификация позволяет повысить уровень безопасности по сравнению с односторонней, а также может служить заменой аутентификации с использованием логина и пароля.

Цепочка действий по генерации сертификатов

Давайте посмотрим на практике, как происходят действия, связанные с генерацией сертификатов, с самого начала, и при этом на практике.

Первое, что делается — это генерация корневого сертификата. Корневой сертификат подписывается самим собой. А потом уже этим сертификатом будут подписываться другие сертификаты.

$ openssl genrsa -out root.key 2048 Generating RSA private key, 2048 bit long modulus ..........+++ ...........................................+++ e is 65537 (0x10001) $ openssl req -new -key root.key -out root.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :IT Service Common Name (e.g. server FQDN or YOUR name) :My Company Root Certificate Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name :My Company $ openssl x509 -req -days 3650 -in root.csr -signkey root.key -out root.pem Signature ok subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] Getting Private key

Таким образом мы сгенерировали сначала приватный ключ, затем запрос подписи, а затем своим ключом подписали свой же запрос и получили собственный цифровой сертификат, выданный на 10 лет. Пароль (challenge password) при генерации сертификата можно не вводить.

Приватный ключ ОБЯЗАТЕЛЬНО необходимо хранить в надежном месте, имея его можно подписать от вашего имени любой сертификат. А полученный корневой сертификат можно использовать для идентификации того, что сертификат, например, сервера подписан именно нами, а не кем-то еще. Именно такие действия выполняют авторизационные центры, когда генерируют собственные сертификаты. После создания корневого сертификата можно приступать к генерации сертификата сервера.

Просмотр информации о сертификате

Содержимое сертификата можно просмотреть таким образом:

$ openssl x509 -noout -issuer -enddate -in root.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] notAfter=Jan 22 11:49:41 2025 GMT

Мы видим, кто выдал этот сертификат и когда заканчивается срок его годности.

Серверный сертификат

Для подписи сертификата для сервера нам нужно выполнить следующие действия:

1) Сгенерировать ключ
2) Сгенерировать запрос на подпись
3) Отправить CSR-файл в авторизационный центр или подписать самостоятельно

В серверный сертификат может включаться цепочка сертификатов, которыми подписан сертификат сервера, но ее можно также хранить в отдельном файле. В принципе, выглядит всё примерно так же, как и при генерации корневого сертификата

$ openssl genrsa -out server.key 2048 Generating RSA private key, 2048 bit long modulus ...................................................................................+++ ..........................+++ e is 65537 (0x10001) $ openssl req -new -key server.key -out server.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :IT Service Common Name (e.g. server FQDN or YOUR name) :www.mycompany.com Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name : $ openssl x509 -req -in server.csr -CA root.pem -CAkey root.key -CAcreateserial -out server.pem -days 365 Signature ok subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/[email protected] Getting CA Private Key $ openssl x509 -noout -issuer -subject -enddate -in server.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] subject= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/[email protected] notAfter=Jan 25 12:22:32 2016 GMT

Таким образом сертификат сервера подписан и мы будем знать, какой организацией выдан этот сертификат. После подписи готовый сертификат можно использовать по назначению, например, установить на веб-сервер.

Установка SSL/TLS-сертификата на сервер с nginx

Для установки SSL/TLS-сертификата на веб-сервер nginx надо выполнить несколько простых шагов:

1) Скопировать файлы.key и.pem на сервер. В различных операционных системах сертификаты и ключи могут храниться в разных директориях. В Debian’е, к примеру, это директория /etc/ssl/certs для сертификатов и /etc/ssl/private для ключей. В CentOS это /etc/pki/tls/certs и /etc/pki/tls/private

2) Прописать необходимые настройки в конфигурационный файл для хоста. Вот как это примерно должно выглядеть (это просто пример):

Server { listen 443; server_name www.mycompany.com; root html; index index.html index.htm; ssl on; ssl_certificate server.pem; ssl_certificate_key server.key; ssl_session_timeout 5m; # Не рекомендуется использовать SSLv3 !!! # Он здесь только для примера ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; ssl_prefer_server_ciphers on; location / { try_files $uri $uri/ =404; } }

3) Перезапустить nginx

4) Зайти браузером на 443 порт сервера — https://www.mycompany.com и проверить его работоспособность.

Установка SSL/TLS-сертификата на сервер с Apache

Установка SSL/TLS-сертификата на Apache выглядит примерно так же.

1) Скопировать файлы ключа и сертификата на сервер в соответствующие директории

2) Включить модуль ssl для Apache командой «a2enmod ssl», если он еще не включен

3) Создать виртуальный хост, который будет слушать 443 порт. Конфиг будет выглядеть примерно так:

ServerAdmin [email protected] DocumentRoot /var/www Options FollowSymLinks AllowOverride None Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ AllowOverride None Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all ErrorLog ${APACHE_LOG_DIR}/error.log LogLevel warn CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined SSLEngine on SSLCertificateFile /etc/ssl/certs/server.pem SSLCertificateKeyFile /etc/ssl/private/server.key # Эта директива добавляет файл, содержащий список # всех сертификатов, которыми подписан сертификат сервера #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt SSLOptions +StdEnvVars SSLOptions +StdEnvVars BrowserMatch "MSIE " \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 BrowserMatch "MSIE " ssl-unclean-shutdown

При этом надо сделать еще кое-что. Найти в файле httpd.conf, или apache2.conf, или ports.conf, в зависимости от системы, такой участок конфига:

Listen 443

Если такого условия нет, его надо добавить в конфиг. И еще одно: Надо добавить строку

NameVirtualHost *:443

Эта строка может находиться в файле httpd.conf, apache2.conf или ports.conf

4) Перезапустить веб-сервер Apache

Создание клиентского сертификата

Клиентский сертификат создается примерно так же, как серверный.

$ openssl genrsa -out client.key 2048 Generating RSA private key, 2048 bit long modulus ........................+++ ..................................................+++ e is 65537 (0x10001) $ openssl req -new -key client.key -out client.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :Saint-Petersburg Locality Name (eg, city) :^C mnorin@mnorin-work:~/Temp/certs/CA$ openssl req -new -key client.key -out client.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petrersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :Engineering Common Name (e.g. server FQDN or YOUR name) :Ivan Ivanov Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name : $ openssl x509 -req -in client.csr -CA root.pem -CAkey root.key -CAcreateserial -out client.pem -days 365 Signature ok subject=/C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/[email protected] Getting CA Private Key $ openssl x509 -noout -issuer -subject -enddate -in client.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] subject= /C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/[email protected] notAfter=Jan 25 13:17:15 2016 GMT

Если необходим клиентский сертификат в формате PKCS12, создаем его:

$ openssl pkcs12 -export -in client.pem -inkey client.key -certfile root.pem -out iivanov.p12 Enter Export Password: Verifying - Enter Export Password:

Теперь можно использовать клиентский сертификат для работы с нашим сервером.

Настройка nginx на использование клиентских сертификатов

Чаще всего, как я уже сказал, используется односторонняя аутентификация, обычно проверяется только сертификат сервера. Давайте посмотрим, как заставить веб-сервер nginx проверять клиентский сертификат. Необходимо в секцию server добавить опции для работы с клиентскими сертификатами:

# Корневой сертификат(ы), которым(и) подписан клиентский ssl_client_certificate /etc/nginx/certs/clientroot.pem; # Возможные варианты: on | off | optional | optional_no_ca ssl_verify_client optional; # Глубина проверки цепочки сертификатов, которыми подписан клиентский ssl_verify_depth 2;

После этого надо перезагрузить настройки или сервер целиком и можно проверять работу.

Настройка Apache на использование клиентских сертификатов

Apache настраивается также через добавление дополнительных опций в секцию виртуального хоста:

# Директория, содержащая корневые сертификаты для проверки клиентов SSLCARevocationPath /etc/apache2/ssl.crl/ # или файл, содержащий сертификаты SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl # Опция верификации клиента. Возможные варианты: # none, optional, require and optional_no_ca SSLVerifyClient require # Глубина просмотра цепочки подписей. По умолчанию 1 SSLVerifyDepth 2

Как видите, опции примерно такие же, как и для nginx, поскольку процесс проверки организован единообразно.

«Прослушка» информации о сертификате при помощи openssl

Для проверки взаимодействия сервера с клиентскими сертификатами можно проверить, устанавливается ли соединение с использованием TLS/SSL.

На стороне сервера запускаем прослушку порта при помощи openssl:

Openssl s_server -accept 443 -cert server.pem -key server.key -state

На стороне клиента обращаемся к серверу, например, culr’ом:

Curl -k https://127.0.0.1:443

В консоли со стороны сервера можно наблюдать процесс обмена информацией между сервером и клиентом.

Можно также использовать опции -verify [глубина проверки] и -Verify [глубина проверки]. Опция с маленькой буквы запрашивает у клиента сертификат, но он не обязан его предоставлять. С большой буквы — если сертификат не предоставлен, возникнет ошибка. Запустим прослушку со стороны сервера таким образом:

Openssl s_server -accept 443 -cert server.pem -key server.key -state -Verify 3

Со стороны сервера ошибка выглядит так:

140203927217808:error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate:s3_srvr.c:3287:

Со стороны клиента так:

Curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

Добавим с клиентской стороны сертификат и доменное имя (можно для проверки вписать в файл /etc/hosts имя хоста для адреса 127.0.0.1):

Curl https://www.mycompany.com:443 --cacert root.pem --cert client.pem --key client.key

Теперь соединение пройдет успешно и можно устанавливать серверный сертификат на веб-сервер, клиентский отдать клиенту, и работать с ними.

Безопасность

При использовании SSL/TLS одним из основных методов является метод MITM (Man In The Middle), «человек посередине». Этот метод основывается на использовании серверного сертификата и ключа на каком-то узле, который будет прослушивать трафик и расшифровывать информацию, которой обмениваются сервер и клиент. Для организации прослушивания можно использовать, например, программу sslsniff. Поэтому корневой сертификат и ключ обычно желательно хранить на машине, которая не подключена к сети, для подписания приносить запросы на подпись на флэшке, подписывать и так же уносить. И, естественно, делать резервные копии.

В общих чертах именно так и используются цифровые сертификаты и протоколы TLS и SSL. Если есть вопросы/дополнения, пишите в комментарии.

Запись опубликована автором в рубрике с метками , .

Навигация по записям

: 29 комментариев

  1. cl-service.com

    CSR клиент генерирует сам при заказе сертификата, где сохранять закрытый ключ также решает клиент, для выпуска сертификата нам не нужен закрытый ключ и клиент нам его никак не передает. Естественно если это происходит на обычном виртуальном, то у администраторов с root доступом к серверу есть доступ и к ключам, которые там хранятся.

  2. Доброжелатель.

    Тема сисек не раскрыта, ибо описанная технология работы PKI не имеет ничего общего с заголовком темы. Хоть бы для причия ссылки на rfc привел.
    P.S. Был такой анекдот про собаку и блоху.

  3. Доброжелатель.

    Нивкоем случае не хотел тебя обидеть. Искал инфу о различии SSl и TLS на практике и твоя ссылка в гугле была первая. Был заинтрегован названием темы. Все круто, так держать!

  4. DrAibolit

    Благодарю за толковые пояснения о цифровой сертификации. Я новичок в этом=)
    Надеюсь разъясните следующий вопрос.
    Поскольку в интернет индустрии очень развита тема мошенничества, хотелось бы научиться определять на «вшивость» самостоятельно посещаемые мною сайты (особенно, где присутствуют кашельки и оплаты, инвестиции и т.д) и определять исходя из этого степень моего доверия (приходится часто регистрироваться, оставлять личную информацию, совершать покупки, транзакции, инвестиции). Если я правильно понял, что наличие данной сертификации позволяет сделать такую оценку. Ну и с другой стороны, получить ее не проблема и даже бесплатно.
    Как или с помощью какой программы можно определить наличие цифрового сертификата у того или иного сайта? и желательно его категорию, которая присваивается при выдаче спецорганом SSL DV (выдача сертификата проводится с проверкой только домена), SSL OV (с проверкой организации), EV (с расширенной проверкой юрлица). Мошеннические сайты скорее всего последним вариантом сертификации пользоваться не станут..
    Буду рад, если поведаете еще способы определения надежности сайтов))

    1. mnorin Автор записи

      Какой-то определенной программы для этих целей я еще не встречал, но пару советов по этому поводу могу дать.
      Можно использовать, например, Chromium или Google Chrome. Возьмем, например, сайт https://www.thawte.com/ — компания, которая собственно цифровымисертификатами и занимается.
      В адресной строке будет написано название компании и зеленый замочек. Это значит, что организация проверена, это как минимум SSL OV.
      Если кликнуть на замочек, а в выпавшем окошке «Details», а затем «View Certificate», то можно увидеть информацию о сертификате. Для Thawte сертификат подписан следующим сертификатом: «thawte Extended Validation SHA256 SSL CA», а сертификат для click.alfabank.ru тоже подписан Thawte, но другим сертификатом. Это «thawte EV SSL CA — G3», то есть они тоже проходили Extended Validation.
      Как-то так.

  5. Руслан

    Раздел «Принцип работы SSL и TLS», «Клиент генерирует случайную цифровую последовательность».

    Я был уверен что клиент генерирует сеансовый закрытый и, соответственно, открытый ключи (который вы, очевидно, и назвали «цифровая последовательность»). Открытый ключ передаётся серверу и сервер шифрует пакеты в сторону клиента сеансовым открытым клиентским ключом.

    Уточните, пожалуйста.

  6. Новичок

    Статья очень полезная! Даже есть практические примеры=) Только я не понял одну вещь — в чем различие между корневым сертификатом и серверным? или это одно и тоже?

  7. Виталий

    Здравствуйте.
    Хостер предложил услугу - SSL для виртуальных серверов. Воспользовались. Оказалось, что для третьего уровня, т.е. http://www.site.ru сертификат недействителен, только для site.ru. Притом, посетителей упорно кидает на протокол https, не важно, заходят они на site.ru или на http://www.site.ru . Разумеется, во втором случае браузер начинает истошно ругаться, а посетитель до сайта так и не добирается.
    А для тех, кто до сайта таки добрался, сайт стал выглядеть криво, пропала часть меню, перестала отображаться часть картинок в выдаче некоторыми компонентами.