Цифровой сертификат безопасности: для чего это нужно? Бесплатные центры сертификации SSL

SSL (Secure Sockets Layer - уровень защищённых сокетов) - криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером. Впоследствии на основании протокола SSL 3.0 был разработан и принят стандарт RFC , получивший имя TLS .

Протокол обеспечивает конфиденциальность обмена данными между клиентом и сервером, использующими TCP/IP, причем для шифрования используется асимметричный алгоритм с открытым ключом. При шифровании с открытым ключом используется два ключа, причем любой из них может использоваться для шифрования сообщения. Тем самым, если мы используем один ключ для шифрования, то соответственно для расшифровки нужно использовать другой ключ. В такой ситуации мы можем получать защищенные сообщения, публикуя открытый ключ, и храня в тайне секретный ключ.

Протокол SSL состоит из двух под-протоколов: протокол SSL записи и рукопожатия. Протокол SSL записи определяет формат, используемый для передачи данных. Протокол SSL включает рукопожатие с использованием протокола SSL записи для обмена сериями сообщений между сервером и клиентом, во время установления первого соединения.

Аутентификация и обмен ключами.

SSL поддерживает три типа аутентификации: Аутентификация обеих сторон (клиент - сервер), аутентификация сервера с неаутентифицированным клиентом и полная анонимность. Всякий раз, когда сервер аутентифицируется, канал безопасен против атаки человек посредине, но полностью анонимная сессия по своей сути уязвима к такой атаке. Анонимный сервер не может аутентифицировать клиента. Если сервер аутентифицирован, то его сообщение сертификации должно обеспечить верную сертификационную цепочку, ведущую к приемлемому центру сертификации. Проще говоря, аутентифицированный клиент должен предоставить допустимый сертификат серверу. Каждая сторона отвечает за проверку того, что сертификат другой стороны еще не истек и не был отменен. Главная цель процесса обмена ключами - это создание секрета клиента (pre_master_secret), известного только клиенту и серверу. Секрет (pre_master_secret) используется для создания общего секрета (master_secret). Общий секрет необходим для того чтобы создать сообщение для проверки сертификата, ключей шифрования, секрета MAC (message authentication code) и сообщения «finished». При посылке верного сообщения «finished», тем самым стороны докажут что они знают верный секрет (pre_master_secret).

Кому и зачем нужен SSL-сертификат

Начиная с 2018 года SSL сертификат должен быть установлен на каждом сайте. Если вы запускаете новый сайт, даже это если это просто информационный сайт или блог, на нем должен быть установлен SSL сертификат. В Google наличие или отсутствие SSL сертификата (протокола HTTPS) является одним из факторов ранжирования вашего сайта.

SSL-сертификат нужен для того, чтобы мошенники не могли перехватить личные данные, которые пользователи вводят у вас на сайте. Личные данные - это логины и пароли от аккаунтов, номера банковских карт, адреса электронной почты и т.д. Это значит, что SSL-сертификат пригодится на сайтах банков, платёжных систем, корпораций, интернет-магазинов, социальных сетей, государственных предприятий, онлайн-форумов и др.

SSL-сертификат выгоден для владельца сайта: так вы подтвердите, что на сайте безопасно вводить личные данные и проявите заботу о клиентах. Если человек переживает, что конфиденциальная информация попадёт не в те руки, он получит дополнительные гарантии. Меньше риска для пользователей, выше репутация компании.

SSL-сертификат, центр сертификации.

Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат . Технология шифрования не зависит от сертификатов, но они необходимы для того, чтобы гарантировать, что общаться друг с другом будут только те хосты, которые действительно намеревались это сделать. Если каждый из хостов может проверить сертификат другого, то они договариваются о шифровании сеанса. В противном случае они полностью отказываются от шифрования и формируют предупреждение, т.к. отсутствует Аутентичность .

Центр сертификации или Удостоверяющий центр (англ. Certification authority, CA) - это организация или подразделение организации, которая выпускает сертификаты ключей электронной цифровой подписи, это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:

Серийный номер сертификата;

Объектный идентификатор алгоритма электронной подписи;

Имя удостоверяющего центра;

Срок годности;

Имя владельца сертификата (имя пользователя, которому принадлежит сертификат);

Открытые ключи владельца сертификата (ключей может быть несколько);

Сертификат также содержит полностью определенное имя домена (FQDN RFC 821) в строке Common Name. Одна из возможных атак - подмена DNS - будет обнаружена до отправки данных.

Виды SSL- сертификатов

Выделяют различные виды SSL- сертификатов в зависимости от типа проверки:

Сертификаты с проверкой домена – подтверждают подлинность доменного имени. Не содержат информации о компании.

Сертификаты с проверкой компании – содержат информацию не только о домене, но и о компании, которой выдан сертификат. Пользуются большим доверием у пользователей.

Сертификаты на домен и поддомены (Wildcard SSL) – обеспечивают защиту неограниченного количества субдоменов одним сертификатом. Сертификат выдается на определенное доменное имя и при этом защищает все поддомены. Данные сертификаты могут быть как с проверкой домена, так и с проверкой организации.

Сертификаты с расширенной проверкой организации (Extended Validation SSL (EV SSL)) – обеспечивают наивысшее доверие клиентов. Когда пользователь находится на сайте с EV SSL сертификатом, браузер подсвечивает адресную строку зеленым цветом.

Wildcard SSL - сертификаты - это сертификаты, защищающие не только основной домен(ваш_домен.ру), но и поддомены(www.ваш_домен.ру, ssl.ваш_домен.ру, secure.ваш_домен.ру и т.д.). Может использоваться на веб-сервере и почтовом сервере. При генерации запроса на Wildcard сертификат в качестве Common Name (CN) используйте "*.domain.com", где domain.com - это ваше доменное имя.

Бесплатные Центры сертификации

Какой центр сертификации вам нужен? Все зависит от варианта использования сертификата.

• Частное использование. Если вы планируете использовать сертификат только для личных целей, когда он нужен только вам или ограниченному числу пользователей (например, сотрудникам вашей компании), то вы можете сами стать для себя центром сертификации.

  Официальное использование. Если вам надо поддерживать официальные контакты с внешними пользователями и почтовыми серверами, вам придется прибегнуть к услугам официального центра сертификации.

Бесплатный сертификат (центр выдачи сертификатов) должен поддерживаться браузером, иначе проще генерировать самому. Главное сертификат правильно создать. При правильном создании самоподписанного сертификата будет выводится только ошибка он невозможности проверить сертификат, например Mozilla Thunderbird почта : "Верификация сертификата не возможна - выдавшая сертификат сторона ненадежна".

От сертификата есть польза только если он выдан доверенным центром сертификации(которые встроены в windows) и если он обеспечен обязательствами (обычно от 10.000 у.е.). Все остальные сертификаты ничем не отличаются от самоподписанного, который можно сгенерировать самому на любой срок.

Бесплатные центры сертификации SSL:

• # nano /etc/dovecot/dovecot.conf ... ## SSL settings ssl_cert_file = /etc/dovecot/certs/imapd.pem ssl_key_file = /etc/dovecot/certs/imapd.pem ssl_ca_file = /etc/dovecot/certs/imapd.pem ...

  Вывести все доступные сертификаты

  Openssl s_client -connect 10.26.95.225:443 -showcerts SSLEngine on # запретить использование устаревшего протокол SSLv2 и SSLv3 SSLProtocol all -SSLv2 -SSLv3 # или запретить можно запретить все и включить только требуемые #SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2 SSLCertificateFile / etc/ apache2/ certs/ httpsd.pem SSLCertificateKeyFile / etc/ apache2/ certs/ httpsd.pem # SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem # SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key ...

Интернет движется в сторону большей безопасности и конфиденциальности – протокол HTTPS становится новым стандартом для всех веб-сайтов. По этой причине администраторам сайтов очень важно получить SSL-сертификат у зарегистрированных удостоверяющих центров.

Let’s Encrypt – пожалуй, один из самых известных в данный момент центров сертификации, поскольку он выпускает сертификаты бесплатно. Однако есть много других удостоверяющих центров, которые предлагают схожие услуги.

Какой центр сертификации самый лучший?

Чтобы помочь вам выбрать подходящий удостоверяющий центр, мы написали данную статью, в которой привели сравнение пяти самых известных центров сертификации.

Как выбрать удостоверяющий центр

Чтобы правильно выбрать удостоверяющий центр (CA), необходимо понимать, что именно вам нужно, а также какой центр предлагает это.

Чтобы помочь вам разобраться, мы привели основные типы SSL-сертификатов:

• Domain Validation (DV) – сертификаты, которые выпускаются очень быстро, поскольку производится только проверка легитимности домена.
• Wildcard – один сертификат может охватывать как корневой домен, так и все его поддомены.
• Extended Validation (EV) – такие сертификаты можно легко различить по адресной строке браузера, которая окрашивается в зеленый цвет. Проверяется легитимность бизнеса или организации и домена.
• Unified Communications (UC) – Шифруют соединение для использования с email и другим коммуникационным софтом. В один сертификат можно включить много доменов, это один из типов Subject Alternative Name сертификатов.
• Subject Alternative Name (SAN) – корневой домен и связанные с ним домены могут быть включены в один сертификат.
• Organization Validation (OV) – Напоминают сертификаты EV, в которых проверяется юридическое существование бизнеса или организации и принадлежность домена, за одним исключением: эти сертификаты не выводят зеленую адресную строку.

Существуют и другие виды шифрования, с которыми вы можете столкнуться при изучении разных удостоверяющих центров:

• Rivest-Shamir-Adleman (RSA) – названный по фамилиям создателей, этот вариант шифрования является очень распространенным и имеет вид 128-bit, 256-bit и 2048-bit шифрования.
• Digital Signature Algorithm (DSA) – правительственный стандарт шифрования, необходимый для сайтов, требующих соблюдения данного критерия.
• Elliptical Curve Cryptography (ECC) – наиболее устойчивый вид шифрования, который используется довольно часто.

Чем выше разрядность шифрования, тем лучше безопасность. При этом ECC сильнее, чем RSA, а потому 256-битный сертификат ECC будет устойчивее, чем 2048-битный сертификат RSA.

Разница между RSA и DSA состоит в том, что первый из них более быстрый в плане проверки сигнатур, которые представляют собой зашифрованные ключи, используемые в процессе выпуска SSL-сертификата. Но при этом RSA медленнее в плане создания сигнатур. DSA-шифрование является противоположностью: создание сигнатур происходит быстрее, но при этом валидация их идет медленнее.

Теперь, ознакомившись с разницей между самыми популярными типами сертификатов, мы можем перейти к следующему разделу – выбору подходящего типа сертификатов.

Какой сертификат подойдет вам?

• Domain Validation – любой WordPress сайт или любой базовый сайт
• Extended Validation – сайты электронной коммерции, сайты компаний, организаций, а также любые сайты, которые хотят показать себя как максимально надежные.
• Unified Communications – для почтовых серверов, для Microsoft Exchange
• Subject Alternative Name – у вас есть несколько доменов, которые связаны между собой, но не обязательно являются поддоменами, могут включать в себя email, IP-адреса, DNS-имена, URL
• Wildcard – для мультисайтов WordPress с поддоменами
• Organization Validation – для сайтов компаний или организаций, которые хотят выглядеть как заслуживающие доверия

Теперь, когда мы понимаем, какой тип SSL-сертификата нам нужен, давайте посмотрим, какой из центров сертификации нам идеально подойдет.

Топ 5 удостоверяющих центров

В настоящее время на рынке имеется много удостоверяющих центров, однако в пятерку вошли только самые популярные решения. Ниже приводится обзор каждого из них по следующим категориям: цена, разнообразие предлагаемых сертификатов, гарантия, которая распространяется на сертификаты, совместимость с браузерами и мобильными устройствами, а также дополнительные возможности.

Все удостоверяющие центры выпускают сертификаты, которые работают и которые являются безопасными. По этой причине мы не включили в обзор категорию «безопасность». Все сводится к вашим потребностям, отдельным особенностям и возможностям, которые включаются в выпуск сертификата.

Примечание: все данные актуальны на момент написания статьи.

Let’s Encrypt

• Вы можете получить столько сертификатов, сколько вам нужно, совершенно бесплатно
• Продление сертификатов бесплатное и может быть автоматизировано
• Сертификаты выпускаются мгновенно
• Совместимы с большинством крупных браузеров и устройств

• Доступны только сертификаты DV, SAN и UC
• Имеются некоторые версии браузеров и устройств, которые не являются совместимыми
• Нет гарантий
• Нет никаких дополнительных возможностей

Заключение

Let’s Encrypt – open source удостоверяющий центр, который поддерживается такими компаниями, как Automattic, Mozilla, Sucuri, SiteGround, Facebook, Chrome и т.д. Он предлагает RSA 2048-бит шифрование; ECDSA-шифрование пока находится в разработке.

Получение DV сертификата и его продление является бесплатным для всех, вы можете выпустить столько сертификатов, сколько вам нужно. С помощью установщика Certbot вы можете развернуть сертификаты за считанные секунды. Выпуск SAN или UC сертификатов может быть осуществлен путем добавления нескольких имен к DV-сертификату.

Хоть сертификаты и являются бесплатными, это не означает, что они небезопасны. Как я уже говорил ранее, они точно так же безопасны, как и сертификаты, выпущенные другими удостоверяющими центрами, а потому они являются хорошим вариантом, если вы ограничены в средствах. К сожалению (по понятным причинам), бесплатные сертификаты не имеют никаких гарантий или дополнительных возможностей.

Это не тот тип сертификатов, которые вы могли бы использовать в любой ситуации, однако этот вариант вполне подойдет для большинства сайтов, требующих только проверки по домену.

Comodo

• Имеется бесплатный 90-дневный триал для DV-сертификатов
• PCI-скан и сканирование сайта бесплатно для одного сертификата
• Гарантии от $250,000 до $1,750,000 для отдельных сертификатов
• Вы можете повысить гарантии на некоторые из сертификатов
• Это второй по доступности вариант
• Совместим со всеми крупными браузерами и мобильными устройствами

• Функции сканирования доступны только для одного сертификата в аккаунте
• Логотип доверия для сайта включен только в wildcard и EV-сертификаты

Заключение

Comodo предлагает RSA 2048-bit шифрование для DV, wildcard и EV-сертификатов. UC-сертификаты имеют 128-bit или 256-bit шифрование. Это единственный удостоверяющий центр из данного обзора, который предлагает платные SSL-сертификаты с бесплатным триалом, однако триал доступен только для DV-сертификатов.

Помимо бесплатного триала стоит отметить также разные типы сертификатов: DV, wildcard, EV, UC.

Когда вы получаете SSL-сертификат, он также поставляется вместе с гарантией вне зависимости от того, какой именно сертификат вы выбрали, но при этом гарантийная сумма может варьироваться.

Одна из самых примечательных особенностей Comodo – вы можете повысить гарантию вашего сертификата, если максимальная сумма уже не была выбрана. Вы также можете получить логотип Comodo, который размещается на сайте, чтобы улучшить доверие посетителей, но он доступен только для wildcard и EV сертификатов.

Также имеются и другие возможности. Это самый выгодный вариант после, разумеется, бесплатных сертификатов Let’s Encrypt.

Symantec

• Все сертификаты поставляются с логотипом, который можно вывести на своем сайте
• Практически 100% совместимость со всеми браузерами и мобильными устройствами
• DSA-сертификаты – базовая возможность, они отвечают определенным правительственным стандартам
• Высокие гарантии – $1,500,000 или $1,750,000.
• Все сертификаты поставляются с ежедневным сканированием на вредоносное ПО и поддержкой UC

• Сканирование уязвимостей включено только в определенные сертификаты
• Это самые дорогие сертификаты среди всех тех, что описаны в статье

Заключение

Symantec – самый дорогой удостоверяющий центр в данном обзоре, но он предлагает массу дополнительных функций. Каждый сертификат имеет ECC 256-bit шифрование, можно выводить логотип Symantec на своем сайте, присутствует ежедневное сканирование на уязвимости, а также поддержка UC и DSA для сертификатов.

Есть пять разных типов сертификатов: Secure Site (DV), Secure Site Pro (DV), Secure Site Wildcard, Secure Site with EV и Secure Site Pro with EV.

Сканирование на уязвимости входит только в Secure Site Pro, Secure Site with EV и Secure Site Pro with EV. Symantec – один из удостоверяющих центров с самыми крупными суммами гарантий.

Хотя все сертификаты достаточно дорогие, они подойдут тем, кому требуется решение, отвечающее определенным стандартам государственных органов. Также это хороший вариант для сайтов с высоким трафиком.

Digicert

• Гарантия $1,000,000 на все типы сертификатов
• Совместимость со всеми крупными браузерами и мобильными устройствами

• Могут быть несовместимы с менее популярными версиями браузеров и мобильными устройствами
• Для получения скидок придется покупать сертификат сразу на несколько лет вперед

Заключение

Digicert предлагает средние цены на сертификаты. Возможности: каждый сертификат имеет гарантию в $1,000,000, бесплатный перевыпуск, логотип, который вы можете добавить на свой сайт, чтобы улучшить доверие посетителей. Поддерживается шифрование RSA 2048-bit, 128-bit и 256-bit.

Есть пять разных типов сертификатов: SSL Plus (DV), EV, Multi-Domain (UC/SAN), EV Multi-Domain и Wildcard Plus.

Сертификаты Digicert совместимы со всеми крупными браузерами и мобильными устройствами, однако могут быть некоторые версии браузеров или устройства, которые не поддерживаются, но они обычно редко используются.

Если вам нужна гарантия, которая выше, чем у других удостоверяющих центров, вы хотите вывести логотип на своем сайте и при этом уложиться в средний бюджет, то в таком случае Digicert будет хорошим выбором для вас.

GeoTrust

• Бесплатный перевыпуск сертификатов
• Гарантии от $500,000 до $1,500,000
• Совместимость со всеми крупными мобильными устройствами и 99% браузеров
• Все сертификаты включают в себя лицензии на неограниченное количество серверов.

• Сайт GeoTrust имеет сертификат, выпущенный Symantec
• Могут выпускать только до 24 UC/SAN сертификатов
• Могут быть несовместимы с некоторыми мобильными устройствами и версиями браузеров

Заключение

GeoTrust во многом напоминает Digicert. Он тоже охватывает средний ценовой сегмент и предлагает такие возможности, как неограниченное количество серверов, бесплатный перевыпуск сертификатов, а также ограничение в 24 имени для сертификатов, причем не важно, какой сертификат вы выберете.

GeoTrust предлагает 5 типов сертификатов: EV, wildcard, OV, wildcard with OV и DV. Каждый сертификат поддерживает 2048-bit шифрование для корневых доменов и 256-bit шифрование для всех остальных имен.

GeoTrust сертификаты совместимы с 99% всех браузеров, но при этом поддерживаются только крупные мобильные устройства.

Большинство удостоверяющих центров выпускают собственные сертификаты для своих сайтов. В этом плане GeoTrust выделился – у них стоит сертификат от Symantec, хоть они и предлагают сертификаты бизнесу.

GeoTrust – подходящий удостоверяющий центр для компаний, но выглядит так, будто они сами не доверяют своим же сертификатам, что вызывает некоторые вопросы. При этом они выпускают сертификаты с высоким уровнем шифрования, что является несомненным плюсом.

Лучший удостоверяющий центр – какой?

Как мы и говорили ранее, каждый УЦ предлагает безопасные SSL-сертификаты, и выбор подходящего сертификата зависит от ваших требований.

Чтобы облегчить процесс выбора, мы приводим некоторые рекомендации:

• Если у вас ограничен бюджет или вы ведете базовый сайт – к примеру, личный блог WordPress, сайт с портфолио или сайт малого бизнеса, — рассмотрите варианты Let’s Encrypt или Comodo.
• Symantec – лучший вариант, если вам требуется DSA, ECC или шифрование более высокого уровня.
• Если вам нужно сканирование сайта на уязвимости и вредоносное ПО, рассмотрите Comodo или Symantec.
• Comodo, Symantec и GeoTrust имеют самые высокие гарантии
• Если вам нужны высокие гарантии по доступной цене за DV, wildcard или SAN, рассмотрите Digicert.
• Для установки на неограниченное количество серверов и для бесплатного перевыпуска сертификатов рассмотрите Digicert или GeoTrust.
• Comodo, Symantec и Digicert предлагают свои логотипы, которые можно опубликовать на сайте, что поможет повысить доверие посетителей.

В целом, вам необходимо определиться, какой тип сертификата отвечает вашим потребностям, и какие возможности вы хотите получить. После этого вы можете выбрать удостоверяющий центр, который будет включать в себя услуги по доступным ценам, укладывающимся в ваш бюджет.

Сертификаты Comodo, Symantec и GeoTrust по доступным ценам вы всегда можете приобрести в магазине

В администрации президента (АП) России идёт работа по созданию государственного удостоверяющего центра (УЦ) для выдачи SSL-сертификатов, предназначенных для шифрования данных и идентификации сайта при установлении защищенного https-соединения. Об этом сообщает «Коммерсантъ» со ссылкой на источники в Минкомсвязи, АП и главу одной из российских ИТ-компаний.

Огромное количество сайтов в рунете использует защищенное соединение: интернет-магазины, платежные системы, государственные сервисы, где пользователь вводит свои персональные данные. На государственном портале gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компании Comodo, а на портале ФНС nalog.ru - SSL-сертификат от компании Thawte, принадлежащей Symantec. Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете.

- источник «Коммерсанта», близкий к АП

Собеседники издания в правительстве утверждают, что идею создания отечественного УЦ пропагандирует компания «Крипто-Про», которую они называют «тесно связанной с ФСБ». Коммерческий директор компании Юрий Маслов эту связь отрицает, но признаёт, что «около трети штата сотрудников "Крипто-Про" действительно являются бывшими сотрудникам ФСБ».

Он уточнил, что компания не обращалась в госструктуры с таким предложением, но консультировала чиновников по данному вопросу.

«Для обеспечения безопасности и защиты от сбора информации необходимо не только создать российский УЦ и добавить его в "доверенные" во все ОС и браузеры, но и использовать во всех ОС, установленных на компьютерах российских пользователей, протокол SSL с российскими алгоритмами шифрования», - заявил Маслов.

По данным «Коммерсанта», в качестве площадки для создания УЦ рассматривается Технический центр интернет (ТЦИ), совладельцами которого являются Координационный центр национального домена сети интернет и Фонд развития сети интернет. Гендиректор ТЦИ Алексей Платонов заявил, что «официальных переговоров с госорганами ТЦИ на эту тему не проводил».

По его оценке, на создание УЦ с добавлением поддержки основных браузеров и операционных систем потребуется около пяти лет и 200-300 млн рублей. Источник «Коммерсанта», близкий к АП, заявил, что если компании-разработчики ОС и браузеров не согласятся на предустановку российского сертификата, то этот вопрос будет решаться «мерами законодательного регулирования».

По данным компании Reg.Ru, которая занимается продажей SSL-сертификатов мировых УЦ в России, в 2015 году число используемых SSL-сертификатов в доменной зоне.ru составило 124,5 тысячи. По подсчётам «Коммерсанта», средний объём продажи SSL-сертификатов в России ежегодно составляет около 6,2 млрд рублей.

В России есть УЦ, которые выдают собственные SSL-сертификаты, но они не предустановлены в ОС и браузерах, пишет «Коммерсантъ». При заходе на сайт с таким сертификатом пользователи получают уведомление о небезопасном соединении до тех пор, пока самостоятельно не добавят эти УЦ в «коренные доверенные центры сертификации» на своём компьютере, поясняет издание.

• Tutorial

SSL (Secure Socket Layer) - протокол шифрования данных, которыми обмениваются клиент и сервер, - стал наиболее распространённым методом защиты в Интернете. Некогда он был разработан компанией Netscape. Безопасный обмен обеспечивается за счёт шифрования и аутентификации цифрового сертификата. Цифровой сертификат - файл, который уникальным образом идентифицирует серверы. Обычно цифровой сертификат подписывается и заверяется специализированными центрами. Их называют центрами сертификации или удостоверяющими центрами.

Что такое SSL-сертификат?

Многие наверняка слышали про SSL-сертификаты , но не все чётко представляют, что это такое и для чего они нужны. По сути, SSL-сертификат - цифровая подпись вашего сайта, подтверждающая его подлинность. Использование сертификата позволяет защитить как владельца сайта, так и его клиентов. SSL-сертификат даёт возможность владельцу применить к своему сайту технологию SSL-шифрования.

Таким образом, назначение SSL-сертификата - обеспечить безопасное соединение между сервером и браузером пользователя, надёжно защитить данные от перехвата и подмены. Сертификат используется для шифрования данных и идентификации сайта при установлении защищённого соединения HTTPS.

Информация передаётся в зашифрованном виде, и расшифровать её можно только с помощью специального ключа, являющегося частью сертификата. Тем самым гарантируется сохранность данных. Посетители сайта вправе ожидать, что защита их информации, если она важная, будет обеспечена с помощью SSL-сертификата. Они могут покинуть ваш сайт, если видят, что он не защищён. Если сайт имеет SSL-сертификат, то в строке состояния браузера отображается значок в виде замка.

Как работает HTTPS (схема действия SSL):

- Пользователь заходит на защищённый сайт;
- Выполняется проверка DNS и определение IP-адреса хоста веб-сайта;
- Запись веб-сайта найдена, переход на веб-сервер хоста;
- Запрос безопасного SSL-соединения с хоста веб-сайта;
- Хост отвечает валидным SSL-сертификатом;
- Устанавливается защищённое соединение, передаваемые данные шифруются.

Защита для бизнеса и клиентов

Каким же сайтам нужна защита SSL? Да практически всем. Особенно тем, которые в наибольшей степени подвержены атакам: ресурсам финансовых учреждений, крупных брендов, сайтам, работающим с персональными данными и платёжной информацией.

SSL-сертификаты используют не только банки и финансовые организации, платёжные системы и такие государственные порталы, как сайт Федеральной налоговой службы (ФНС) и gosuslugi.ru, но также интернет-магазины и даже частные лица и индивидуальные предприниматели.

Какую выгоду даёт использование SSL-сертификата бизнесу? Поскольку при использовании сертификатов и протокола SSL принимаемые и отправляемые при посещении сайтов данные шифруются, применяется процедура аутентификации, это даёт пользователям определенную уверенность в том, что вводимые ими персональные данные, такие как номера телефонов и банковских карт, не попадут не в те руки. Благодаря своей уникальности SSL-сертификаты также значительно затрудняют использование кибермошенниками фишинговых схем.

Владелец сайта также может не беспокоиться о том, что данные клиентов утекут на сторону в результате перехвата или атаки типа «человек посередине», и репутация бизнеса и даже дальнейшее существование компании окажется под угрозой.

1. Стандартный HTTP заменяется на HTTPS. Это говорит о том, что в соединении между сервером и браузером используется SSL.
2. Адресная строка становится зелёной, показывая, что на веб-сайте используется Extended Validation SSL.
3. Жёлтый замок с закрытой дужкой означает, что соединение между сервером и браузером защищено. Если замок открыт или отсутствует, то соединение не использует SSL.
4. В случае использования сертификата Extended Validation SSL, в адресной строке показывается название компании.

SSL-сертификат гарантирует защиту всей информации, которой сайт обменивается с браузером пользователя. И тем самым защищает ваш бизнес. Это особенно важно при финансовых операциях, онлайновых транзакциях. Косвенные выгоды - рост доверия к вашему бизнесу, увеличение продаж, защита деловой информации.

В конечном счёте SSL-сертификат помогает завоевать доверие клиентов. Если они знают, что их информация защищена, то с большей вероятностью захотят иметь дело с вашей компанией.

По данным исследования , проведённого компанией GlobalSign, 84% пользователей не стали бы делать покупки на сайте без защищённого соединения. 48% проверяют перед вводом персональных данных, насколько безопасен сайт.

Значок замка и буквы HTTPS в URL вашего сайта говорят о его безопасности. А зелёная адресная строка сайта с сертификатом Extended Validation SSL - ещё более верное свидетельство надёжности ресурса. Посетители будут знать, что зашли именно на тот сайт, и вводимая ими информация останется приватной.

Кроме того, сайты, подтверждённые сертификатами, занимают более высокие позиции в результатах выдачи поисковых систем по сравнению с конкурентами без SSL. В 2014 году компания Google объявила о том, что будет учитывать использование HTTPS (буква S как раз и обозначает применение SSL-сертификата) при ранжировании сайтов. То есть, если у сайта нет SSL-сертификата, он не займёт высокие позиции в результатах поисковой выдачи и не сможет привлечь большого числа посетителей.

Где купить SSL-сертификат?

Приобретают сертификаты обычно не напрямую у удостоверяющего центра, а через партнёров. В России продажей сертификатов известных удостоверяющих центров (УЦ), таких как Comodo, Geotrust, GoDaddy, GlobalSign, Symantec и прочих, занимается множество компаний. Корневые SSL-сертификаты этих УЦ предустановлены в качестве доверенных во всех популярных браузерах. Есть и уникальные предложения. REG.RU , как партнёр GlobalSign, реализующий с этой компанией совместную программу по развитию SSL, может предложить сертификаты данного ведущего УЦ - от базового до расширенного уровня.

Как правило, партнёры имеют договоры с разными удостоверяющими центрами, что позволяет подобрать оптимальный по цене (в рублях) и характеристикам сертификат, получить скидки и помощь опытных специалистов при выборе сертификата и установке его на сервер. Для ряда клиентов важен бренд, название компании в сертификате.

Чтобы увидеть детальную информацию о SSL-сертификате, пользователю достаточно щёлкнуть мышью на значке замка и выбрать в меню «Просмотр сертификата». Браузеры могут различаться, но сертификат всегда содержит одну и ту же информацию.

Не все SSL-сертификаты платные. Например, при регистрации домена или покупке хостинга, клиенты REG.RU могут получить SSL-сертификат бесплатно. Также приятный бонус доступен при подключении к «Яндекс.Кассе». Стоит отметить, что бесплатный сертификат выдаётся на один год.

По данным Netkraft , в 2015 году около трети SSL-сертификатов в мире было выдано компанией Symantec, опередившей GoDaddy на 10%. На первую тройку удостоверяющих центров (CA) приходится свыше 3/4 используемых в Интернете SSL–сертификатов.

По нашим подсчётам, только по доменам второго уровня, в 2015 году в доменной зоне.RU использовалось около 144 тыс. SSL-сертификатов. Лишь 30% из них валидны, то есть проверены УЦ. Все остальные не гарантируют защиту от перехвата пользовательских данных. Объём продаж SSL-сертификатов в России достигает около 6,2 млрд руб. в год. Согласно информации Mozilla, по данным на декабрь 2015 года, в мире на 40% сайтов и при 65% транзакций использовался HTTPS.

Выдаёт SSL-сертификат удостоверяющий центр - независимая сторона, проверяющая достоверность указанных в сертификате сведений: действительно ли доменное имя принадлежит компании или физическому лицу, на которые оно зарегистрировано; подлинность сайта, для которого был выпущен SSL-сертификат и др.

Уровни проверки SSL-сертификатов

Существуют сертификаты разных уровней проверки. Для защиты персональных данных пользователей подойдёт сертификат с упрощённой проверкой - DV (Domain validation). Сертификат с проверкой доменов - самый низкий и недорогой уровень. Он доступен физическим и юридическим лицам, выдаётся владельцу или администратору доменного имени и просто подтверждает это доменное имя.

Следующий уровень - сертификат OV (Organization validation) для организаций, применяемый для проверки связи между доменным именем, хозяином домена и использующей сертификат компанией. То есть такой сертификат удостоверяет не только доменное имя, но и то, что сайт принадлежит действительно существующей организации.

Для более качественной проверки компании и её полномочий на приобретение сертификатов используются так называемые сертификаты с расширенной проверкой - EV (Extended validation). Это самый престижный вид сертификатов. Такие сертификаты вызывают больше всего доверия. Например, DigiCert, один из ведущих удостоверяющих центров, продаёт сертификаты OV и EV. Партнёры GlobalSign предлагают SSL-сертификаты разного уровня, включая самый высокий.

После установки сертификата расширенной проверки адресная строка в браузере становится зелёной - это визуальный индикатор надёжности сайта. В таком сертификате указано название организации и название удостоверяющего центра, выпустившего сертификат.

Зелёная адресная строка - индикатор законности вашего бизнеса. Сертификат с расширенной проверкой не только обеспечивает защиту от мошеннических сайтов. Если сертификаты проверки доменов предусматривают только шифрование соединения, то сертификаты высшей категории ещё и дают вашим клиентам уверенность в законности вашей предпринимательской деятельности. При выпуске EV-сертификата проводится очень тщательная проверка организации, включая проверку её деятельности, соответствия официальным документам, а так же прав на использование доменного имени. Поэтому предприятия, применяющие сертификаты с расширенной проверкой, пользуются большим успехом на рынке. Как уже отмечалось, чтобы выяснить, какой сертификат вы используете, клиенту достаточно щёлкнуть мышью на значке замка в строке браузера.

Эта схема показывает доли сертификатов DV, OV и EV у основных удостоверяющих центров. Сертификаты DV составляют около 70% от сертификатов всех типов, на EV приходится менее 5%.

Бывают сертификаты для одного, нескольких доменов (SAN) и сертификаты для всех прямых поддоменов выбранного домена (Wildcard).

SSL-сертификаты в России

По данным аналитического сервиса StatOnline.ru, из 3 286 782 сайтов в зоне.RU (на конец февраля) только около 60 тыс. (или примерно 1,8%) ресурсов имеются SSL-сертификаты, проверенные удостоверяющими центрами. Остальные используют самоподписные, невалидные сертификаты, или вообще отказываются от такого вида защиты.

REG.RU и один из старейших международных удостоверяющих центров GlobalSign запустили программу популяризации защищённой передачи данных в Интернете. Она рассчитана как на владельцев интернет-ресурсов, так и на рядовых пользователей из России и СНГ.

Вместе с GlobalSign мы намерены сформировать культуру защищённой передачи информации. Ключевой элемент программы - повышение доступности технологий SSL и предоставление владельцам сайтов актуальных инструментов защиты.

На SSL-сертификаты обратили внимание и в руководстве страны. По информации СМИ , в России может быть создан собственный государственный удостоверяющий центр для их выдачи. Как сообщается, такая работа уже идёт. Но для этого придётся обязать производителей браузеров предустанавливать в свои продукты специальный корневой сертификат.

Так в чём ценность HTTPS и SSL? Зачем это нужно, когда посетителям сайта не требуется вводить конфиденциальную информацию или осуществлять платежи? Хотя бы затем, чтобы повыше подняться в результатах поиска. Да и доверие пользователей - фактор, который нельзя сбрасывать со счетов. Технически дополнить сайт SSL несложно, да и финансово это необременительно. SSL-сертификат - простой и экономичный способ защитить ваш сайт и онлайн-транзакции, сделать его более безопасным для пользователей. Сегодня SSL стал одной из самых важных мер обеспечения безопасности сайтов и признанным во всём мире отраслевым стандартом.

Теги: Добавить метки

SSL-сертификат – это не только надежный способ защиты данных пользователей на сайте, но и огромный плюс к репутации Вашего интернет-ресурса. В данной статье рассмотрим 6 наиболее популярных удостоверяющих центров SSL: Let’s Encrypt, Comodo, Symantec, GeoTrust, Thawte и RapidSSL.

Компания Гипер Хост предоставляет возможность от этих поставщиков по низкой стоимости, а получение и настройка необходимого сертификата не отнимет много времени.

Немного статистики. Компания W3Techs провела независимое исследование, по которому выяснилось, что наиболее популярным центром сертификации является Comodo. Его продукты занимают 40% рынка SSL-сертификатов во всем мире. К сравнению, Symantec Group используют всего 5,5 % сайтов по данным этого же исследования. – центр сертификации, который один из немногих предоставляет бесплатные SSL для сайтов. Например, мы предоставляем возможность бесплатно подключить сертификат от данного компании на всем клиентам. Это отличный вариант для сайтов начального уровня, которые не связаны с онлайн продажами. Поэтому если Вы решили запустить сайт, то воспользоваться бесплатным сертификатом от Let’s Encrypt – выгодное решение.

Что являет собой центр сертификации Let’s Encrypt? Let’s Encrypt это сравнительно довольна организация, которая была создана в 2012 году двумя сотрудниками Mozilla. Бесплатные сертификаты от Let’s Encrypt – это сертификаты, для получения которых необходимо только пройти проверку доменного имени. Это означает, что если вам нужно защитить еще и субдомены, то необходимо выпустить несколько сертификатов. А если у Вас большое количество субдоменов, то вероятнее всего сертификат от Let’s Encrypt не подойдет для Вашего проекта. Для таких целей лучше использовать платные сертификаты WildCard, они специально созданы под такие задачи.

Let’s Encrypt не предоставляет бесплатные сертификаты с проверкой организации, сертификаты с зеленой строкой, мультидоменные сертификаты. Как видим бесплатный сертификат – это решения исключительно для одного доменного имени.

Важно понимать, что Центр Сертификации Let’s Encrypt некоммерческая компания и спонсируется сторонними ресурсами. Поэтому в случае форс-мажорной ситуации денежной компенсации Вы не получите. Тоесть Let’s Encrypt не берет на себя полной ответственности в случае утечки данных с Вашего сайта. Если Вы владелец платного сертификата, то можете получить компенсацию от Центра Сертификации в случае чего. Еще один недостаток бесплатных сертификатов от Let’s Encrypt в том, что на сегодня они имеют ошибки с совместимостью разных браузеров и операционных систем.

Но все же SSL от Let’s Encrypt – бесплатный и это является очень важным преимуществом для многих владельцев сайтов, особенно для тех, которым их сайты приносят небольшую прибыль.

Второй в моем списке Центр Сертификации Comodo . Один из наиболее популярных на текущий момент. Предлагает разные типы сертификатов с разными видами проверки: проверяет владение доменом, документы организации и ее финансовое состояние.

Comodo предлагает 2048-bit шифрование для DV, wildcard и EV-сертификатов. UC-сертификаты имеют 128-bit или 256-bit шифрование. Вместе с SSL-сертификатом Вы получаете гарантию на компенсацию в случае, если мошенниками будет перехвачена информация Ваших клиентов. Сертификат на 99,% совместим со всеми известными браузерами, имеет степень защиты для доменов, субдоменов и мультидоменов, в зависимости от вида сертификата.

С получением сертификата, Вы также можете получить логотип Comodo, который размещается на сайте. Он значительно повышает доверие пользователей, но доступен только для wildcard и EV типов сертификатов. SSL от Comodo считается наиболее выгодным вариантом для обеспечения безопасности после бесплатных от Let’s Encrypt. У нас Вы можете заказать один из сертификатов SSL от Центра Сертификации Comodo по выгодной цене, мы предлагаем 16 типов сертификатов от данного поставщика. Самый дешевый вариант от организации Comodo – это Comodo Positive SSL, его стоимость всего 8.19 $ в год. Но за эту сумму Вы получаете гарантию безопасности данных посетителей Вашего сайта. Наша техническая поддержка окажет Вам всю необходимую помощь по установке сертификата на Ваш ресурс.

Центр сертификации предоставляет не дешевые сертификаты, которые имеют много дополнительных функций, кроме основных. Каждый сертификат имеет 256-bit шифрование, предоставляет логотип Symantec для размещения на сайте и предлагает ежедневное сканирование на уязвимости.

Разработано пять разных типов сертификатов: Secure Site (DV), Secure Site Pro (DV), Secure Site Wildcard, Secure Site with EV и Secure Site Pro with EV.

Функция сканирования на уязвимости входит только в Secure Site Pro, Secure Site with EV и Secure Site Pro with EV. Центр сертификации Symantec предоставляет самые крупные в денежном эквиваленте гарантиии, этим и обусловлена стоимость сертификатов.

SSL от Symantec подойдет для сайтов с большим трафиком, для интернет-порталов государственной важности и крупных коммерческих сайтов, для которых гарантия безопасности данных посетителей на первом месте.

Мы предлагаем сертфикаты от организации Symantec начиная от Symantec Secure Site со стоимостью от 372.86 $ в год. Это действительно дорогостоящий сертификат, но с массой преимуществ, которые не предлагают другие центры сертификации.

Центр сертификации GeoTrust – по сравнению с предыдущим центром относится к среднему ценовому сегменту. Среди его возможностей можно выделить: неограниченное количество серверов, бесплатный перевыпуск сертификатов, а также ограничение в 24 имени для сертификатов.

Компания GeoTrust выпускает 5 типов сертификатов: EV, wildcard, OV, wildcard with OV и DV . Каждый из которых поддерживате 2048-bit шифрование для корневых доменов и 256-bit шифрование для всех остальных имен.

GeoTrust сертификаты совместимы с 99% всех браузеров, правда, не все мобильные устройства поддерживаются.

Компания выпускает сертификаты с высоким уровнем шифрования, это и есть несомненным плюсом для данной компании.

Если Вы ищете недорогое решение для сайта рассмотрите сертификаты от RapidSSL (часть компании GeoTrust, является международным доверенным центром сертификации). Самый дешевый сертификат Rapid к компании ГиперХост стоит всего 14.10 $ в год. В чем преимущества данного решения?

• быстрое оформление и получение сертификата для его дальнейшей установки на сайт.
• высокая совместимость: 99% браузеров подтверждают доверие к сертификату, пользователи Вашего сайта могут быть спокойны за сохранность персональных данных.
• надежный уровень шифрования до 256 бит, что обеспечивает защиту конфиденциальных данных.
• профессиональная техническая поддержка от компании ГиперХост, которая предоставит всю необходимую помощь и консультации по вопросам заказа, установки и использования сертификата.

Сертификат начального уровня от компании Thawte стоит всего 32.07 $ в год. Этот сертификат (SSL123) подтверждает факт получения сертификата владельцем доменного имени. Технологи обеспечивает безопасную передачу данных между клиентом и сервером. Данный тип сертификата подойдет для небольшого интернет-ресурса или для внутренних сетей. Сертификат предоставляет базовый комплекс защиты для сайтов низкой и средней загруженности. Получение сертификата не занимает много времени, так как сама проверка осуществляется достаточно быстро.

Также Thawte предлагает сертификаты бизнес уровня. Это тип SSL Web Server. Дл его получения необходимо пройти проверку доменного имени и принадлежности сайта организации, которая указана в сертификате. Компания Thawte также предлагает сертификаты с расширенной проверкой компании – SSL Web Server with EV. С помощью этого типа сертификата Ваш сайт получит адресную строку с зеленой подсветкой. Именно она максимально увеличивает доверие со стороны пользователей сайта, так как гарантирует безопасность Вашей компании.

Thawte – действительно компания мирового уровня. ThawteTrusted Site печать, которая доступна на 18 языках, помогает посетителям проверить подлинность интернет-ресурсов на их родном языке.

Как видим большое количество центров сертификации предоставляет нам огромны выбор разных типов сертификатов для интернет-проектов. Иногда выбор сертификата становится очень сложной задачей для владельца сайта. Вот несколько советов, о том как выбрать Центр Сертификации ( Вы можете заказать сертификаты от 6 вышеописанных компаний по доступной цене):

• у Вас ограничен бюджет или простой сайт, например, блог, тогда рассмотрите варианты Let’s Encrypt или Comodo.
• Symantec – выбор для тех, кому необходимо DSA, ECC или шифрование более высокого уровня.
• нужно осуществлять сканирование сайта на уязвимости и вредоносное ПО, тогда смотрите в сторону Comodo или Symantec.
• Thawte, Comodo, Symantec и GeoTrust предоставляют наиболее высокие гарантии.
• для установки на неограниченное количество серверов и для бесплатного перевыпуска сертификатов рассмотрите GeoTrust.
• Comodo, Symantec, Thawte предоставляют свои логотипы, которые можно опубликовать на сайте для повышения доверия к Вашему интернет-ресурсу.

Переход на HTTPS: сделайте сайт безопасным для пользователей и получите “доверие” от Google. Подробнее в следующей .

4511 раз(а) 13 Сегодня просмотрено раз(а)