SSL-сертификат (англ. Secure Sockets Layer) — это цифровой сертификат, который обеспечивает безопасное шифрованное соединение между сайтом и браузером с помощью SSL-протокола. Он используется для защиты конфиденциальной информации, такой как пароли, номера кредитных карт и другие личные данные. Наличие SSL-сертификата обозначается в адресной строке браузера префиксом «https://» вместо «http://», а также значком замка.
Зачем нужен SSL-сертификат
SSL-сертификат используется в следующих целях:
- шифрование данных. Он содержит открытый шифровальный ключ, который используется для установления защищенного соединения и безопасной передачи данных между сервером и браузером. Это предотвращает их перехват злоумышленниками;
- подтверждение подлинности. SSL-сертификат содержит информацию об организации, которой он принадлежит, и является цифровой подписью, заверенной удостоверяющим центром (CA — Certificate Authorities). Это подтверждает, что сайт не является подделкой;
- соблюдение нормативных требований. Многие отрасли, такие как финансовые услуги, здравоохранение и электронная коммерция, требуют использования сертификата для обеспечения безопасности передачи данных в соответствии с нормативными актами;
- повышение доверия. Наличие SSL-сертификата демонстрирует посетителям сайта, что он безопасен. Это повышает доверие пользователей и их готовность предоставлять личную информацию;
- улучшение SEO. Крупные поисковые системы отдают предпочтение сайтам с SSL и более высоко их ранжируют в выдаче, поскольку безопасность является важным фактором при индексации;
- снижение риска кибератак. SSL-сертификаты делают сайт более устойчивым к хакерским атакам.
Как работают SSL-сертификаты
Опишем процесс работы SSL-сертификатов.
- Асимметричное шифрование. При установлении соединения веб-сервер отправляет свой SSL-сертификат, содержащий открытый ключ, браузеру, который проверяет подлинность сертификата у удостоверяющего центра.
- Обмен ключами. После проверки браузер генерирует случайный сеансовый ключ и шифрует его открытым ключом сервера из сертификата. Зашифрованный сеансовый ключ отправляется серверу.
- Расшифровка ключа. Он расшифровывает сеансовый ключ своим закрытым ключом. Теперь и сервер, и браузер имеют один общий сеансовый ключ для данного соединения.
- Установление безопасного соединения. Все дальнейшие данные, передаваемые между сервером и браузером, шифруются и расшифровываются с помощью сеансового ключа, обеспечивая безопасное зашифрованное соединение.
- Периодическая смена ключей. Для повышения безопасности сеансовые ключи периодически меняются в течение одного SSL-сеанса.
Типы SSL-сертификатов
В зависимости от способа подписания SSL-сертификаты бывают:
- самоподписанными. Подписываются на сервере компании и могут быть сделаны любым пользователем, поэтому не являются безопасными. При посещении сайтов с такими сертификатами браузеры предупреждают о незащищенном соединении;
- подписанными в удостоверяющих центрах. Предоставляются в специальных центрах сертификации и являются надежными.
По способу проверки данных сертификаты второго типа также подразделяются на:
- DV (domain validation). Наиболее простой и широко используемый тип. Подтверждает только владение доменом. Не требует проверки личности или юридической информации. Процесс выдачи автоматизирован. Подходит для личных блогов и небольших сайтов, не обрабатывающих конфиденциальную информацию;
- OV (organization validation). При выдаче OV-сертификата удостоверяющий центр проводит дополнительную проверку существования бизнеса заявителя, его зарегистрированного адреса и другую базовую информацию. Этот тип обеспечивает большее доверие. Подходит для сайтов электронной коммерции, онлайн-банкинга и других ресурсов, обрабатывающих конфиденциальную информацию;
- EV (extended validation). Требует самой строгой проверки подлинности организации и ее финансовой деятельности со стороны удостоверяющего центра. Эти сертификаты отображаются с зеленой адресной строкой в браузере, указывая на максимальный уровень доверия. Самый дорогостоящий тип. Подходит для крупных предприятий, финансовых учреждений и других сайтов, где критически важна безопасность конфиденциальных данных.
В зависимости от свойств выделяют следующие виды SSL-сертификатов:
- Single-domain SSL (для одного домена). Покрывает только основной домен. Простой вариант для стандартных сайтов;
- Wildcard SSL (для домена и всех его поддоменов). Позволяет защитить домен и неограниченное количество поддоменов. Например, подходит для домена example.com и поддоменов вроде blog.example.com;
- Multi-domain SSL (MDC, для нескольких доменов). Подходит для защиты сразу нескольких доменов, например example.com, site2.com. Удобен для крупных проектов с несколькими веб-ресурсами;
- Unified Communication SSL (UCC, для Microsoft Exchange и Office Communications). Оптимизирован для серверов Microsoft, поддерживает несколько доменов;
- SAN. Защищает только те домены, которые указаны в сертификате.
Как получить SSL-сертификат
Рассмотрим основные шаги для получения SSL-сертификата.
1. Определите нужный тип SSL-сертификата. Выбор зависит от типа сайта. Также решите, нужен ли вам сертификат для поддоменов (Wildcard) или нескольких доменов (Multi-domain).
2. Выберите сертификат и провайдера. SSL-сертификат можно получить у сертифицированных центров или у реселлеров. Например, его можно приобрести через подачу заявки на сайте reg.ru или получить DV SSL-сертификат бесплатно с помощью сервиса Let’s Encrypt.
3. Подготовьте сервер. Убедитесь, что ваш сервер поддерживает SSL. Установите программное обеспечение для работы с сертификатами, например Apache, Nginx или Microsoft IIS.
4. Создайте CSR (запрос на сертификат). CSR (Certificate Signing Request) содержит информацию о сайте и организации. Он создается на сервере, где будет установлен SSL. Для генерации CSR:
- укажите название домена;
- введите данные компании (для OV/EV сертификатов);
- укажите email-адрес для связи.
5. Пройдите процесс валидации. Он зависит от типа сертификата:
- DV. Подтвердите владение доменом через email, запись DNS или загрузку файла на сервер;
- OV. Дополнительно предоставьте юридические данные компании;
- EV. Требуется более строгая проверка: документы о регистрации компании, связь с представителем по телефону.
6. Получите и установите сертификат. После успешной проверки и получения сертификата:
- установите его на сервер, следуя инструкциям для вашей платформы;
- настройте автоматическое продление (особенно для Let’s Encrypt, где сертификаты действуют 90 дней).
7. Проверьте работу SSL. После установки:
- проверьте ваш сайт с помощью онлайн-инструментов, например SSL Labs;
- убедитесь, что веб-ресурс доступен по протоколу HTTPS.
Вопросы-ответы
Обычно коммерческие сертификаты выдаются на 1-3 года, после чего требуется продление. Бесплатные сертификаты Let’s Encrypt действуют 3 месяца.
Нет, SSL-сертификат выдается на конкретный домен или группу доменов. Использование на других ресурсах приведет к ошибке проверки.
Пользоваться российскими браузерами или установить корневой сертификат в свою операционную систему.