Что такое SSL сертификат и для чего он нужен

HTTPS — что за зверь

Если вы уже сталкивались с созданием собственного сайта, то наверняка краем уха слышали про сертификат SSL и HTTPS — что это такое и зачем нужен HTTPS для сайта, мы подробно расскажем в этой статье.

Невероятно, но факт: любое действие в Интернете — это обмен данными. Когда вы открываете любимый сайт или ищете видеоролик на «YouTube», ваш поисковый браузер и сервер обмениваются информацией. Каждый вбитый в поисковую строку запрос проходит путь от вас (пользователя) к серверу и обратно. Такая коммуникация возможна благодаря работе протокола HTTP. Он был изобретен еще в начале 90-х. Всем HTTP хорош, кроме одного: не шифрует данные. Следовательно, их без труда может перехватить третья сторона, личная информация (пароль, номер банковской карты, реквизиты, паспортные данные) может быть украдена злоумышленниками.

В современном мире защита данных имеет принципиальное значение. Поэтому внедрили HTTPS, который расшифровывается как протокол безопасного соединения. Принципом работы защищённого протокола HTTPS является обмен ключами шифрования. Прежде чем ответить на запрос от браузера, сервер предъявляет ключ — SSL-certificate. Браузер проверяет подлинность ключа в Центре сертификации. Если ключ «подошёл», браузер и сервер доверяют друг другу и договариваются о разовом шифре. Так происходит каждую сессию, то есть каждый раз при обмене запросами и ответами. Вот таким хитрым способом и обеспечивается сохранность данных и конфиденциальность при обмене информацией.

Зачем нужен SSL-сертификат для сайта

Чтобы сайт стал работать по протоколу безопасного соединения HТТPS, нужен SSL-сертификат. Это виртуальный документ, который содержит данные об организации, её владельце и подтверждает их существование. Позволяет узнать сервер и подтвердить безопасность сайта.

Использование сертификата безопасности для сайта гарантирует:

Что дает SSL-сертификат для сайта кроме защиты данных? SSL-сертификат помогает в SEO-продвижении проекта — позволяет занять более высокую позицию в поисковой выдаче. Поисковые системы (Google, Яндекс и пр.) дорожат доверием аудитории и выше ранжируют сайты, которые работают через безопасное соединение.

Разновидности SSL-сертификатов

По уровню проверки выделяют три типа SSL-сертификатов:

Сертификаты начального уровня с проверкой домена Domain Validation (DV)

При выпуске этого типа SSL проверяется только право собственности на домен. Физическим лицам доступен только этот тип. Юридические лица также могут его выпустить. После подключения защищенного соединения к сайту в адресной строке браузера появится характерный «замочек», что означает безопасную передачу данных.

Сертификаты бизнес-класса с проверкой организации Organization Validation (OV) или Company Validation (CV)

При выпуске такого SSL кроме проверки права собственности на домен проводится проверка организации: её юридическое и физическое существование. Этот вид доступен только юридическим лицам. При нажатии на замочек в адресной строке будет отображаться информация о компании.

Сертификаты с расширенной проверкой Extended Validation (EV)

Этот протокол SSL также доступен только юридическим лицам. Чтобы его выпустить, нужно предоставить документы в центр сертификации. Проводится проверка не только существования организации, но и ее правовой деятельности. Помимо замочка в адресной строке будет отображаться печать доверия сертификационного центра и информация о компании.

Подробнее о видах читайте в статье Типы SSL-сертификатов.

HTTP или HTTPS? Вот в чём вопрос!

Защита сайта протоколом HTTPS уже давно не просто признак хорошего тона, а необходимость. Несмотря на то что некоторые сайты еще работают по HTTP-соединению, очень скоро HTTPS станет обязательным требованием «экологии» Интернета.

С июля 2018 года Google считает небезопасным каждый веб-сайт, не использующий протокол HTTPS. Когда пользователь хочет перейти на страницу по протоколу HTTP, то он видит предупредительный знак в адресной строке:

Нет защищенного соединения. Как это повлияет на бизнес?

Помимо этого, WordPress и другие популярные CMS заявили, что некоторые функции теперь будут доступны только для веб-сайтов с протоколом HTTPS.

У меня до сих пор HTTP, что делать

При регистрации домена или покупке хостинга можно получить free ssl на 6 месяцев. Если ваш сайт уже обслуживается на хостинге Рег.ру, достаточно заказать SSL-сертификат и перейти с HTTP протокола на HTTPS. Полный цикл:

Чтобы перейти на HTTPS:

Что такое протокол HTTPS и принципы его работы

В статье мы расскажем, что означает HTTPS в адресе сайта (расшифровка HTTPS), как работает этот протокол и зачем вообще переходить на безопасное соединение.

Что такое защищенное соединение HTTPS

HTTPS (от англ. HyperText Transfer Protocol Secure) – это безопасный протокол передачи данных, который поддерживает шифрование посредством криптографических протоколов SSL и TLS, и является расширенной версией протокола HTTP. Чтобы лучше понять, что же значит HTTPS, разберемся со всем по порядку.

Миллионы интернет-пользователей постоянно обмениваются информацией. Это могут быть как дружеские беседы, весёлые картинки, рабочие переписки, так и банковские и паспортные данные, номера договоров и другая конфиденциальная информация. Работа всей всемирной паутины основана на протоколе HTTP. Благодаря нему пользователи могут передавать данные.

Сначала HTTP (HyperText Transfer Protocol) использовался только как протокол передачи гипертекста (текста с перекрёстными ссылками). Однако позже стало понятно, что он отлично подходит для передачи данных между пользователями. Протокол был доработан для новых задач и стал использоваться повсеместно.

Несмотря на свою функциональность у HTTP есть один очень важный недостаток ― незащищённость. Данные между пользователями передаются в открытом виде, злоумышленник может вмешаться в передачу данных, перехватить их или изменить. Чтобы защитить данные пользователей, был создан протокол HTTPS.

HTTPS работает благодаря SSL/TLS-сертификату. SSL/TLS-сертификат ― это цифровая подпись сайта. С её помощью подтверждается его подлинность. Перед тем как установить защищённое соединение, браузер запрашивает этот документ и обращается к центру сертификации, чтобы подтвердить легальность документа. Если он действителен, то браузер считает этот сайт безопасным и начинает обмен данными. Вот откуда взялась и что означает S в HTTPS.

Система HTTPS похожа на провод, который состоит из двух слоёв: медная сердцевина и оболочка. Медная сердцевина ― основная часть провода, по которой идёт ток. Оболочка защищает контакты от внешних воздействий. Так, медная сердцевина ― это HTTP-протокол, а защитная оболочка ― это SSL-сертификат. Такое сотрудничество создаёт безопасное HTTPS-соединение.

Ключи шифрования

Кроме подтверждения подлинности сайта, SSL-сертификат шифрует данные. После того как браузер убедился в подлинности сайта, начинается обмен шифрами. Шифрование HTTPS происходит при помощи симметричного и асимметричного ключа. Вот что это значит:

Чтобы установить HTTPS-соединение, браузеру и серверу надо договориться о симметричном ключе. Для этого сначала браузер и сервер обмениваются асимметрично зашифрованными сообщениями, где указывают секретный ключ и далее общаются при помощи симметричного шифрования.

Итак, какова функция протокола HTTPS?

Также стоит упомянуть, какой порт используется протоколом HTTPS по умолчанию. HTTPS использует для подключения 443 порт — его не нужно дополнительно настраивать

Схема работы HTTPS

Итак, протокол HTTPS предназначен для безопасного соединения. Чтобы понять, как устанавливается это соединение и как работает HTTPS, рассмотрим механизм пошагово.

Для примера возьмём ситуацию: пользователь хочет перейти на сайт Рег.ру, который работает по безопасному протоколу HTTPS.

Как работает HTTPS протокол

Зачем устанавливать HTTPS

Как мы говорили ранее, главная задача HTTPS — обеспечение безопасности передачи данных. Однако существует ещё несколько причин перейти на защищённое соединение:

Незащищённое соединение в Яндекс.Браузере

Визуальное обозначение привлекает внимание пользователей и заставляет отказаться от посещения сайта, поэтому есть риск потерять потенциальных клиентов.

Сайты не обязаны работать исключительно по HTTPS-протоколу. Однако защита данных ― это важный элемент современной интернет-коммуникации. Когда сайт работает по небезопасному соединению, в браузере может отображаться ошибка «Подключение не защищено». Если вы пользователь, и встретили такое сообщение на просторах интернета, лучше покиньте небезопасный ресурс. Как исправить ошибку «Ваше подключение не защищено», если вы владелец сайта? Не стоит пренебрегать безопасностью клиентов, которые доверяют организациям свои личные данные. Закажите SSL-сертификат и переведите сайт на безопасное соединение HTTPS. Если вы уже выполняли эти настройки ранее, но на сайте всё равно сообщение об ошибке, следуйте инструкции.

Чем отличаются протоколы HTTP и HTTPS

Когда вы заходите на сайт организации, смотрите видео на Youtube или проверяете электронную почту, браузер и сервер обмениваются данными. Этот обмен обеспечивают протоколы HTTP и HTTPS.

Протокол HTTP и HTTPS отличия

HTTP (от англ. HyperText Transfer Protocol) ― это протокол передачи данных в интернете. С его помощью браузер получает информацию от сервера и показывает пользователю контент. Это первый протокол, который создали для работы в веб-пространстве.

HTTPS (от англ. HyperText Transfer Protocol Secure) ― защищённый протокол передачи данных в интернете. Это тот же протокол HTTP, но защищенный SSL-сертификатом.

Подробнее об этих протоколах читайте в статье Что такое протокол HTTPS и принципы его работы.

Увидеть, каким протоколом пользуется сайт, можно в URL-строке:

Чем протокол HTTPS отличается от HTTP

Протокол HTTP от HTTPS отличается тем, что:

Преимущества HTTPS

Если вы хотите установить защищённое соединение, воспользуйтесь инструкцией Как перевести сайт на HTTPS.

Какой SSL-сертификат выбрать

Существует три типа SSL-сертификатов:

SSL-сертификаты начального уровня

Такие сертификаты подойдут физическим лицам. Они предназначены только для шифрования данных, передаваемых между вашим сервером и браузером посетителя. Сертификаты начального уровня не подтверждают бизнес-статус компании.

SSL-сертификаты начального уровня используются:

Такие сертификаты не рекомендуется использовать в системах электронной торговли (интернет-магазины и платные сервисы) и общедоступных биллинговых системах.

К сертификатам начального уровня относятся:

Что такое Wildcard-сертификат?

Сертификаты GlobalSign DomainSSL и GlobalSign AlphaSSL

DomainSSL и AlphaSSL — самые популярные сертификаты начального уровня, доступные любому пользователю. Мгновенно обеспечивают защиту вашего сайта. Сертификаты совместимы с большинством браузеров мобильных устройств.

Сертификаты предоставляются с опцией Wildcard (защитой поддоменов) или без неё (на один домен):

Особенности сертификатов DomainSSL и AlphaSSL:

Обращаем внимание, что техническая поддержка центра сертификации GlobalSign предусмотрена только для сертификата DomainSSL и не осуществляется для AlphaSSL.

При покупке домена или хостинга в Рег.ру можно получить free ssl GlobalSign на 6 месяцев бесплатно.

SSL-сертификаты бизнес-класса

Сертификаты доступны только для юридических лиц. Такой сертификат подтверждает бизнес-статус компании. При выдаче сертификата компания проверяется аттестационным центром.

К сертификатам бизнес-класса относятся:

Что такое Wildcard-сертификат?

Сертификат GlobalSign OrganizationSSL

OrganizationSSL — это сертификат с повышенным уровнем достоверности, который позволяет посетителям сайта быть уверенными в надёжности компании.

Сертификаты предоставляются с опцией Wildcard (защитой поддоменов) или без неё (на один домен):

Особенности сертификата OrganizationSSL:

SSL-сертификаты с расширенной проверкой: EV SSL

EV SSL-сертификаты это:

Такой сертификат оформляется только на юридическое лицо. Для оформления требуется пройти процедуру расширенной проверки, подтвердить законность организации и право собственности на домен.

К сертификатам уровня EV относится GlobalSign ExtendedSSL.

Сертификат GlobalSign ExtendedSSL

ExtendedSSL — это сертификат высшего уровня проверки. При посещении сайта посетители сразу поймут, что компания работает на профессиональном уровне.

Особенности сертификата ExtendedSSL:

Почему GlobalSign?

GlobalSign — рекомендованный сертификационный центр, который является единственным аккредитованным WebTrust удостоверяющим центром мирового класса. SSL-сертификаты GlobalSign обладают высоким уровнем доверия. Перед активацией сертификата GlobalSign полностью проверяет компанию, от которой поступил заказ, и вправе отказать в выдаче, если обнаружит, что компания занимается теневым бизнесом или нарушает права других организаций.

Что означает зеленая иконка SSL-сертификата в браузере?

Зеленая иконка в браузере означает, что на сайте установлен SSL-сертификат, заверенный центром сертификации. Соединение с таким сайтом является защищенным и безопасным.

Зеленая иконка с названием компании означает, что на сайте установлен SSL-сертификат расширенной проверки (EV-сертификат). Такие сертификаты гарантируют высочайший класс защиты и подтверждают, что компания, которой принадлежит сайт, работает в рамках правового пространства страны, в которой зарегистрирована.

Часто встречаются сайты, на которых установлен SSL-сертификат, но часть контента работает по небезопасному протоколу http://. Такие сайты браузер помечает красными иконками сертификата или иконками с желтым треугольником. Причины описаны в статье: Эта страница содержит другие ресурсы, которые не являются безопасными.

Иконки сертификатов могут выглядеть по-разному в зависимости от браузера. Кликнете по значку сертификата, чтобы получить больше информации. Также вы можете выбрать ваш браузер и ознакомиться со справкой:

Срок действия SSL-сертификата

SSL-сертификат можно заказать на 1 год — ровно 365 дней, даже если год високосный.

Датой начала действия сертификата считается дата его активации. Если вы заказали сертификат сроком на 1 год 5 февраля 2019 года и после проверки всех документов его активировали 25 февраля 2019 года, то датой начала действия считается 25 февраля 2019 года, а датой окончания действия 25 февраля 2020 года.

Дата окончания действия сертификата указана в личном кабинете:

Читайте о продлении SSL-сертификата в статье: Продление SSL-сертификата.

Как перевести сайт на HTTPS

В этой статье мы расскажем, как перевести сайт на HTTPS.

Cайт без HTTPS ранжируется намного ниже в поисковых системах, в отличие от сайтов, которые используют защищённое соединение. Пользователи больше доверяют сайтам с HTTPS, что может увеличить посещаемость веб-ресурса. Подробнее о преимуществах HTTPS читайте в статье.

Шаг 1. Выбор и покупка SSL-сертификата

Перед переездом сайта на новый протокол HTTPS выберите SSL-сертификат в зависимости от ваших целей. Сертификаты различаются по уровню защиты сайта. Существует три типа сертификатов, которые вы можете заказать в Рег.ру перед тем, как установить HTTPS на сайт:

Прочитать подробнее о каждом сертификате вы можете в статье: Виды SSL-сертификатов.

Также для SSL-сертификата при заказе можно выбрать поддержку Wildcard — это позволит вам защитить не только домен, но и поддомены. Дополнительно с сертификатом можно установить печать доверия SiteSeal, кликнув на которую пользователь может посмотреть данные об организации.

После выбора сертификата закажите его по инструкции:

Шаг 2. Активация SSL-сертификата

Следующий этап переноса сайта на защищенный протокол — активация SSL-сертификата. После покупки сертификат появится в списке услуг в личном кабинете.

Активация зависит от вида сертификата:

Шаг 3. Установка SSL-сертификата

Данные для установки сертификата отправляются после его выпуска и активации на контактный e-mail владельца услуги.

Установка сертификата зависит от того, где размещён ваш сайт:

Шаг 4. Изменение внутренних ссылок на относительные

При любых серьезных изменениях сайта рекомендуем сделать бэкап. Если в процессе настройки появится ошибка, сайт можно будет восстановить.

Несмотря на то, что после основной установки сертификата сайт работает по HTTPS-протоколу, внутри сайта могут находиться ссылки на внутренние страницы и файлы (CSS-стили, изображения и т. д.), которые работают по HTTP. В такой ситуации поисковые системы будут считать сайт небезопасным. Чтобы этого избежать, измените все внутренние ссылки на относительные (без указания протокола и домена). Например, http://example.ru/page/ на /page/.

Плагины в WordPress для замены HTTP на HTTPS

Внутри сайта может быть много ссылок, которые работают по протоколу HTTP. Если вы используете WordPress, то изменить протокол можно с помощью плагина. В WordPress есть несколько плагинов с подобной функцией. Мы рассмотрим Search Regex и Easy HTTPS Redirection.

Работа с плагином Search Regex

Работа с плагином Easy HTTPS Redirection

Шаг 5. Редирект

Чтобы перевести сайт на HTTPS и не потерять трафик, нужно все HTTP-ссылки заменить на HTTPS. Тогда поисковые системы будут считать сайт полностью безопасным.

Сначала настройте редирект 301 (перенаправление) страниц с HTTP на HTTPS для сайта. Этот редирект сообщает поисковым роботам, что страница перемещена на новый адрес и исходную страницу можно исключить из индексации.

Шаг 6. Оповещение поисковых систем

Обратите внимание, что переезд на HTTPS и смена зеркал сайта может занять 2-4 недели, поэтому для этой процедуры выберите подходящее время, чтобы не потерять клиентов.

Если до установки SSL вы пользовались Яндекс.Вебмастером или Google Search Console, то оповестите поисковые системы о переходе на HTTPS по одной из инструкций ниже.

Шаг 7. Проверка правильности установки SSL-сертификата

После переноса сайта на HTTPS проверьте, доступен ли сайт по защищённому протоколу SSL. Введите в браузере URL-адрес вашего сайта вида https://example.ru. Если страница загрузится и в адресной строке браузера появится замочек, значит, сайт стал доступен по HTTPS. Таким образом проверьте и другие страницы сайта.

Проверить правильность установки SSL-сертификата можно с помощью сервиса sslshopper.com. Если результат положительный, вы осуществили переезд сайта на HTTPS правильно.

Готово! Вы настроили для сайта переход с HTTP на HTTPS. С помощью этой инструкции можно любой сайт перенести на HTTPS.

Защита поддоменов. SSL-сертификат с поддержкой поддоменов

Действие стандартного SSL-сертификата распространяется на домен, который указан при заказе (например, faq-reg.ru), и его поддомены с «mail» и с «www» (например, mail.faq-reg.ru и www.faq-reg.ru).

Если вы хотите защитить другие поддомены (например, support.faq-reg.ru, blog.faq-reg.ru и т.п.), при заказе выберите сертификат с поддержкой поддоменов. Благодаря этой опции будут защищены сам домен и все его поддомены.

Чтобы выбрать сертификат с поддержкой поддоменов, перейдите на страницу заказа SSL. На странице будут представлены все доступные SSL-сертификаты с поддержкой Wildcard (т.е. с защитой поддоменов), их стоимость и технические характеристики.

В Рег.ру вы можете заказать следующие Wildcard-сертификаты:

Обратите внимание, после покупки и активации SSL-сертификата с защитой поддоменов в наименовании услуги будет фигурировать слово «Wildcard».

Что такое корневой сертификат (СА)

Корневой сертификат (СА) — часть ключа, которым центры сертификации подписывают выпущенные SSL-сертификаты. Выдавая корневой сертификат, каждый такой центр гарантирует, что пользователи или организации, запросившие SSL, верифицированы и действия с доменом легальны.

Центры сертификации с двадцатилетней историей: GlobalSign, Comodo, Symantec, TrustWave, GeoTrust. Они используют «именные» корневые сертификаты, которые распознаются большинством современных браузеров.

Это значит: если на сайт установлен корневой сертификат GlobalSign, браузер идентифицирует его как выпущенный доверенным «поручителем» и приступает к частной проверке сайта.

Если информация о корневом сертификате центра отсутствует в браузере, у сайта нет «поручителя», и браузер считает его недостоверным. Так иногда происходит с самоподписанными сертификатами безопасности (например, Let’s Encrypt):

Читайте об этом в статье Браузер пишет, что подключение не защищено или соединение является недоверенным.

Однако одного корневого сертификата недостаточно. Чтобы конкретный домен считался защищенным, помимо корневого сертификата необходимы промежуточный сертификат и индивидуальный сертификат домена, которые так же выдаются центром сертификации при выпуске SSL. Достоверность промежуточных и «индивидуальных» сертификатов подтверждается корневым сертификатом. Цепочка сертификатов, установленных на сайт, дает основание считать его «защищенным SSL-сертификатом» в сети Интернет.

Где взять корневой сертификат?

Корневые сертификаты выдают сертификационные центры. Рег.ру сотрудничает с шестью сертификационными центрами. Выберите SSL-сертификат, который подходит для ваших целей, и закажите его со страницы SSL-сертификаты.

Также вы можете воспользоваться специальным предложением Рег.ру и получить бесплатный SSL-сертификат на 6 месяцев при заказе домена или хостинга. Читайте об этом в статье: Как заказать бесплатный SSL-сертификат?

После заказа SSL и его активации на указанную контактную почту придет письмо с необходимыми данными для установки сертификата на сайт (в частности, корневой сертификат). Подробнее о содержимом письма в статье Где взять данные для установки SSL-сертификата.

Могу ли я создать корневой сертификат самостоятельно?

Чтобы создать корневой сертификат самому, нужно получить статус сертификационного центра. Эта процедура связана со значительными финансовыми затратами, поэтому в большинстве случаев мы рекомендуем обращаться к существующим центрам сертификации.

Установка цепочки сертификатов

Список доверенных сертификатов, использующихся для создания цепочки, приходит в информационном письме после выпуска и активации SSL. Для установки цепочки сертификатов (в том числе, корневого) воспользуйтесь подробными инструкциями справочного раздела: Установка SSL-сертификата.

Печать доверия SiteSeal

SiteSeal (печать доверия) — это особый знак, позволяющий посетителям видеть, что соединение с вашим сайтом и все передаваемые данные надёжно защищены. Печать предоставляется Удостоверяющим Центром после выпуска SSL-сертификата. Пример использования SiteSeal можно увидеть на сайте Рег.ру:

Печать доверия — это не просто картинка. Кликнув по ней можно посмотреть информацию о сайте, об SSL-сертификате и об Удостоверяющем Центре, который выдал сертификат:

Таким образом посетитель сайта сможет проверить, что сертификат выдан известным Удостоверяющим Центром, а соединение с сайтом надёжно защищено и все передаваемые данные зашифрованы и не доступны для «прослушивания» или подмены злоумышленниками.

Если вы заказали в Рег.ру SSL-сертификат от сертификационного центра GlobalSign или получили SSL сертификат бесплатно при заказе услуги хостинга, VPS или Dedicated, вы можете установить на свой сайт печать доверия SiteSeal. Сам SSL-сертификат вы можете установить на хостинг по инструкции.

Установка печати доверия

Для установки печати доверия выполните следующие действия:

Важно! Если действия вызывают у вас затруднения, обратитесь к разработчикам сайта. Техническая поддержка Рег.ру не консультирует по работе с кодом сайта.

Что такое открытый и закрытый ключ шифрования SSL

Ключ шифрования – криптографический термин. Это секретная информация (набор цифр и букв), которую использует специальный алгоритм для шифрования/ расшифровки сообщений, постановке/ проверке цифровых подписей и т.п. Количество информации в ключе измеряется в битах: чем больше битов в ключе, тем надежней зашифрована информация.

Ключи шифрования бывают:

Асимметричная криптография — более надежная с точки зрения того, что злоумышленники, перехватившие часть трафика, не смогут получить всю информацию, так как для расшифровки им понадобится вторая часть ключа, а она хранится непосредственно у пользователя.

Открытый и закрытый ключ сертификата

Одна из сфер употребления системы асимметричного шифрования — SSL-сертификаты. Подробнее о нем вы можете прочитать в статье Для чего нужен SSL-сертификат. Длина шифра SSL (иными словами, степень его надежности) складывается из длины открытой и закрытой частей ключа:

Размер ключа SSL гарантирует защищенность зашифрованной информации и сохранность передачи данных. Данные шифруются при обращении браузера к серверу с помощью открытого публичного ключа. Закрытый ключ шифрования генерируется при выпуске SSL-сертификата и сообщается только администратору домена. Такое шифрование применяется на этапе расшифровки информации, поступающей от браузера.

Поясним процесс обмена информацией между браузером и сервером по защищенному соединению с помощью наглядного примера, используемого в криптографии.

У нас есть два персонажа: Боб (сервер) и Алиса (браузер пользователя). Боб передает Алисе навесной замок. Открыть этот замок может только Боб, так как ключ есть только у него.

Получив замок, Алиса надевает его на ящик, в котором содержится некая секретная информация, и посылает обратно Бобу. Аналогично, браузер шифрует сообщение публичным ключом и отдает серверу.

Ящик с замком попадет к Бобу, тот откроет замок своим ключом и узнает секретную информацию. Так, сервер расшифровывает сообщение закрытым ключом, который есть только у него.

Что такое протокол безопасности TLS

В основе функционирования интернета лежит работа различных протоколов (TCP, IP и других). Все они работают сообща и каждый из них выполняет конкретную функцию.

В 1995 году был внедрён SSL (англ. Secure Sockets Layer) — криптографический протокол, обеспечивающий безопасную связь между пользователем и сервером. Благодаря его работе можно было безопасно передавать информацию или обмениваться данными. Однако в 2014 году в его работе обнаружили уязвимости. И на основе SSL 3.0 был разработан новый стандарт — TLS.

Протокол TLS (англ. Transport Layer Security) — криптографический протокол, который обеспечивает защищённый обмен данными между сервером и клиентом. Протокол работает на трёх уровнях защиты:

При разработке были учтены и исправлены все ошибки предшественника. В отличие от SSL новый протокол регулярно обновляется и продолжает развитие. В настоящее время для защиты соединения применяется только TLS-протокол. Поэтому, когда речь идёт о протоколе SSL, на самом деле подразумевается протокол TLS.

TLS-протокол лежит в основе безопасного обмена информацией, но не обеспечивает его сам по себе. Чтобы защищённое соединение состоялось, нужно настроить одно из безопасных интернет-соединений, например — FTP (для передачи и загрузки файлов), IMAP/POP3/SMTP (для почтовых протоколов) и HTTPS (для интернет-страниц).

HTTPS — самый известный протокол безопасного соединения, который защищает данные на уровне браузера.

Однако, чтобы сайт заработал по безопасному соединению HTTPS, нужно выбрать и установить для сайта SSL-сертификат. Подробнее об этом читайте в статье Что такое протокол https и принципы его работы и Что такое secure sockets layer и как работает SSL.

Параметры безопасности протокола TLS

Любое действие в сети представляет собой обмен данными между компьютером (сервером) пользователя и сервером, на котором хранится информация. При каждом вводе запроса в поисковую строку, авторизации в аккаунте или переходе с одной страницы сайта на другую, пользователь и сервер взаимодействуют друг с другом. Такие взаимодействия называются транзакциями, а их совокупность — сессией. TLS отвечает за безопасность транзакций и сессии в целом.

Протокол TLS обеспечивает защиту в три этапа:

На этапе TLS Handshake (рукопожатие) происходит согласование параметров соединения (версии протокола, способа шифрования и соединения) между клиентом и сервером. Для этого используется обмен ключами по алгоритму RSA:

Для каждой такой проверки требуется большое количество вычислительных ресурсов. Чтобы не устанавливать новое соединение и не проверять сертификат повторно каждую транзакцию, была разработана процедура TLS False Start.

TLS False Start (фальстарт) — процедура возобновления сессии. Если транзакции выполняются в пределах одной запущенной сессии, данный этап позволяет пропустить процедуру Handshake. Протокол повторно использует те данные, которые уже были обработаны и подтверждены в начале сессии. При этом каждая сессия имеет свой срок жизни. Как только срок сессии истекает, с помощью TLS Handshake запускается новая сессия.

Также обязательная процедура TLS-соединения — TLS Chain of trust (цепочка доверия). Она отвечает за аутентификацию между клиентом и сервером. «Цепочка доверия» работает на основе регулярной проверки подлинности — соответствия сертификатов стандартам Сертификационных центров, которые их выдают. Подлинность сертификата регулярно проверяется в течение сессии. Если обнаружится, что сертификат скомпрометирован (то есть данные под его защитой были перехвачены), данные будут отозваны, транзакция не состоится и сессия будет прервана.

Таким образом, при передаче данных сначала вызывается процедура Handshake или False Start, которая согласовывает параметры, а затем Chain of trust, которая обеспечивает аутентификацию (проверку авторства передаваемой информации). Подробнее о принципах работы TLS читайте в официальной документации Datatracker.

Влияние SSL/TLS на SEO

SEO (Search Engine Optimization, поисковая оптимизация) – это всестороннее развитие и продвижение сайта для его выхода на первые позиции в результатах выдачи поисковых систем (SERPs). Поисковая оптимизация способствует увеличению посещаемости сайта.

Использование SSL-сертификата влияет на SEO-показатели, однако это влияние является скорее косвенным. С 2015 года Google отдаёт приоритет ранжирования (то есть назначения сайту места в поисковой выдаче) тем сайтам, которые работают по протоколу HTTPS. Такой же политики придерживается компании Яндекс и Mozilla.

Браузер Google Chrome — один из самых популярных браузеров в рунете. С недавнего времени Chrome отмечает HTTP-сайты как небезопасные:

Основной риск работы по HTTP заключается в том, что часть потенциальной аудитории сайта может просто испугаться предупреждения в строке браузера. Пользователи покинут страницу сайта раньше, чем она успеет загрузиться, а значит посещаемость сайта будет низкой.

Установка SSL/TLS

В компании REG.RU вы можете приобрести SSL-сертификат, который работает по TLS версии 1.2. Для этого выберите подходящий сертификат и выполните три шага — закажите, активируйте и установите его на сайт.

Если вам не удалось создать защищенный канал SSL/TLS или у вас возникли проблемы с настройкой протокола SSL, обратитесь за помощью к нашим специалистам через заявку в службу поддержки.

Проверка сайта на SSL/TLS

Помимо быстрой проверки через поисковую строку браузера, любой сайт можно дополнительно проверить на наличие безопасного соединения через специальные сервисы. В статье Как проверить SSL-сертификат мы подробно рассказали про самые популярные сервисы проверки. С их помощью также можно точно определить, по какому протоколу работает сайт.

Рассмотрим вариант проверки сайта с помощью сервиса SSL Server Test. Для этого:

Такой результат показывает, что сайт работает по безопасному подключению TLS версии 1.2. Если в результатах выдачи вы увидите «Yes» напротив пунктов SSL 2 или 3 — значит сайту нельзя доверять.

Что такое Secure Sockets Layer

Современный интернет работает посредством сетевой инфраструктуры OSI. Она состоит из семи уровней, на каждом из которых происходит обмен данными между устройствами.

Уровни модели OSI

За работу каждого уровня отвечает один из сетевых протоколов. Сетевой протокол — это набор соглашений, в котором зафиксировано, как и по каким правилам будет происходить обмен данными. Одним из таких протоколов является Secure Sockets Layer, или SSL. Давайте разберемся, что он из себя представляет.

Что такое Secure Sockets Layer. Как работает протокол SSL

С английского Secure Sockets Layer (SSL) переводится как протокол защищенных сокетов (конечных точек соединения). SSL-certificate — это криптографический протокол, который отвечает за безопасную передачу данных на сеансовом уровне.

Протокол разработала и внедрила компания Netscape Communications в 1994 году. Самую первую версию SSL так и не выпустили из-за низкого уровня безопасности — протокол не гарантировал конфиденциальность данных по транзакциям с кредитными картами. При разработке SSL v2 были учтены и исправлены недостатки предыдущей версии. При этом уже в 1995 вышла третья версия протокола с улучшенной структурой MAC, но и её нельзя было назвать идеальной. В 1999 году Кристофер Аллен и Тим Диркс разработали новую версию протокола. Её назвали TLS — от англ. Transport Layer Security (защита транспортного уровня).

TLS-протокол регулярно обновляется. В 2006 году появилась версия 1.1, в 2008 — 1.2, а в 2018 разработана самая актуальная на данный момент версия — 1.3.

Поскольку технология SSL лежит в основе первых разработок безопасной передачи данных, защищённое подключение по-прежнему называют именно SSL ( а не TLS). Конечно, в бытовом общении эти понятия можно использовать как синонимы. При этом стоит понимать, что SSL и TLS всё-таки различаются.

SSL/TLS гарантирует безопасное взаимодействие на сеансовом уровне, работа которого не видна простому пользователю. Однако можно наблюдать, как защищённые протоколы работают на более высоком уровне — прикладном. За безопасность этого уровня отвечает протокол НTTPS.

Как работает HTTPS

HTTPS (HyperText Transfer Protocol Secure) ― это протокол безопасного соединения, который защищает передаваемую информацию на уровне браузера. У него есть предшественник — HTTP.

HTTP (HyperText Transfer Protocol) ― протокол передачи данных в интернете. Благодаря его работе пользователь может запросить ту или иную информацию через браузер и получить её от сервера, на котором она хранится. Это первый протокол, разработанный для работы в веб-пространстве.

Информация, которой пользователь обменивается с сервером по протоколу HTTPS, в отличие от HTTP, защищена. HTTPS реализует защиту в три этапа:

Какой порт SSL соответствует HTTPS протоколу? В отличие от HTTP, который работает по порту 80, HTTPS (SSL) использует порт 443.

Проверить, по какому протоколу работает сайт, можно в URL-строка браузера:

Изначально все сайты работают по HTTP. Чтобы «перевести» сайт на HTTPS, нужно установить SSL-сертификат.

Как работает SSL-сертификат

В основе работы SSL шифрования лежит обмен ключами по алгоритму RSA. Этот обмен происходит при каждом действии в сети (переходе по ссылке, вводе запроса в поисковик) — транзакции. При этом несколько транзакций могут объединиться в одну сессию — в таком случае обмен ключами произойдёт только один раз в сессию.

Рассмотрим, как работает RSA-алгоритм. Для этого представим, что пользователь переходит на сайт, но пока не знает, по какому протоколу он работает:

Итак, мы рассказали как для чайников, как работает SSL и HTTPS протоколы и что необходимо настроить для безопасного подключения.

Что такое SAN-сертификат

Что такое SAN-сертификат

SSL-сертификат с опцией SAN (Subject Alternative Names) — это тип сертификата, с помощью которого можно защитить сразу несколько доменов или поддоменов любого уровня, в том числе в разных зонах. При заказе вы можете добавить до 100 различных доменных имен — сертификат будет защищать каждый из них.

SAN-сертификаты подойдут компаниям, которые управляют сразу несколькими сайтами. Вместо того чтобы приобретать отдельные SSL-сертификаты для каждого домена, можно использовать SAN-сертификат для всех доменов. Это существенно снизит расходы на покупку SSL и упростит управление сертификатами.

Существует 3 вида SAN-сертификатов:

Как заказать сертификат с опцией SAN

Чтобы заказать SSL-сертификат с опцией SAN:

Можно ли добавлять или удалять альтернативные домены для выпущенного SAN-сертификата

Для выпущенного SAN-сертификата можно добавлять новые альтернативные домены или удалять существующие. Чтобы добавить или удалить домен, отправьте заявку в службу поддержки. В тексте заявки укажите, какие изменения необходимо внести.

Можно ли добавить альтернативное имя с опцией Wildcard

Опции SAN и Wildcard могут использоваться одновременно и защищать все прямые поддомены каждого выбранного альтернативного домена. Такая возможность доступна только для OrganizationSSL SAN.