Перенаправление трафика: что это такое, где и как применяется
Узнать большеК сожалению, в последнее время участились случаи утечки персональной информации интернет-пользователей. Такие инциденты напрямую связаны с недостаточным обеспечением безопасности сайтов, чем пользуются киберпреступники. Хакерам не обязательно иметь доступ к базам данных — они могут перехватывать сведения в момент их передачи в рамках текущего онлайн-сеанса. Например, когда пользователь вводит информацию при покупке в интернет-магазине. Если данные не защищены, преступники легко завладеют ими и смогут использовать в корыстных целях.
Стараясь повысить доверие пользователей к своим веб-ресурсам, многие компании стремятся обеспечивать передачу трафика в закодированном виде. Этой цели можно достичь путем использования SSL-сертификата (Secure Sockets Layer) — цифрового документа для защиты сайта. Однако применение таких решений сопряжено с некоторыми нюансами, от которых будет зависеть эффективность эксплуатации. Разберемся, какие виды сертификатов существуют, чем они отличаются и как выбрать вариант под текущие задачи.
Что такое SSL-сертификат
SSL — безопасный протокол, благодаря которому достигается зашифрованное соединение в процессе эксплуатации сайтов. А сертификат — электронный документ, подтверждающий подлинность веб-ресурса. То есть главная задача сертификата — гарантировать безопасный обмен конфиденциальными сведениями, например, если в рамках сеанса фигурирует персональная информация, номера банковских карт и другие важные данные. Наличие такого инструмента означает, что ресурс скорее всего не фишинговый, а обмен сообщениями в паре «сервер-браузер» осуществляется в закодированном виде.
Сертификат включает данные о центре сертификации и цифровую подпись этой организации, доменные имена, название версии и срок эксплуатации. Также прилагается открытый ключ — набор символов для проверки подлинности SSL-сертификата.
Признаки защиты с помощью ssl-сертификата — символ замка в адресном поле пользовательского браузера и HTTPS вместо HTTP. Если пользователь кликнет на замок, то сможет увидеть информацию об организации-владельце сайта и все сведения о документе: дату выдачи, срок эксплуатации и тип защиты.
Целесообразность использования SSL-сертификата
Сначала поговорим о протоколе передаче гипертекста — HTTP. Это перечень алгоритмов, применяемых в процессе передачи информации от сервера. По такому протоколу открытый трафик фигурирует в виде текста, а также с развитием версий протокола в видео или аудио-формате. Это не очень безопасно, поскольку третьи лица (например, киберпреступники) смогут без проблем прочитать данные, которые передаются в рамках сеанса «клиент-сервер». В таком случае существует угроза утечки чувствительной информации. Именно по этой причине все браузеры помечают ресурсы HTTP без сертификата как небезопасные.
С целью защитить чувствительные данные на интернет-ресурсах используются протокол SSL и усовершенствованный протокол HTTPS. Чтобы можно было запускать ресурсы с применением последнего, на домен ставят SSL-сертификат. И далее процесс идет по алгоритму — клиент убеждается в достоверности документа и пересылает сведения в закодированном виде. Для расшифровки данных применяется специальный уникальный ключ, который прилагается к сертификату.
Какие данные можно защитить с помощью сертификата:
- Учетные данные пользователей, которые используются для входа на ресурс.
- Данные о финансовых транзакциях, платежных картах и банковских счетах.
- Персональные сведения (ФИО, телефонный номер, домашний адрес и т.д).
- Документы медицинского и юридического характера и др.
Важно понимать, что сертификат не защищает от кражи информации — он помогает предотвратить ее несанкционированное использование. Даже если данные в процессе движения будут перехвачены третьими лицами, утечки скорее всего не произойдет. Перед злоумышленниками встанет непростая задача — расшифровать информацию, поскольку она передается в закодированном виде, а значит, ей нельзя воспользоваться.
Также использование сертификата помогает поднять позиции сайта в поисковой выдаче. Алгоритмы поисковых систем добавляют защищенным ресурсам «бонусных очков» и скорее выводят их в топ, чем похожие ресурсы без защиты.
Делаем вывод — SSL-сертификат применяется в целях защиты клиентских данных, подтверждения подлинности сайта, повышения пользовательского доверия к ресурсу и эффективного продвижения в поисковых системах.
Каким ресурсам нужен сертификат
SSL однозначно необходимо подключать, если ресурс работает с персональными данными клиентов и предполагает совершение финансовых операций. В идеале защищен должен быть любой сайт — от личного блога до государственного портала. Однако в первую очередь использование SSL-сертификата рекомендовано банковским онлайн-ресурсам, социальным сетям, интернет-магазинам, почтовым и платежным сервисам.
Сертификаты для своих ресурсов приобретают компании, заинтересованные в лояльности клиентов. Логично, что пользователи вряд ли захотят что-то покупать на потенциально небезопасном сайте без защиты. Поэтому сертификат будет служить в качестве дополнительного инструмента для повышения доверия посетителей ресурса.
И, как мы уже упоминали, установка сертификата поможет сайту подняться в поисковой выдаче. Если предусмотреть защиту сразу в момент запуска ресурса, есть шансы оперативно попасть в первые строчки топа. Добавив сертификат позже, тоже вполне реально получить высокий рейтинг, однако поисковикам потребуется какое-то время на изменение позиций.
Как работает SSL-сертификат
Стандартный алгоритм установки соединения при наличии сертификата:
- Пользователь вводит адрес сайта в специальном поле браузера или проходит по ссылке, после чего запрашивается подключение к защищенному протоколом ресурсу.
- С помощью HTTPS браузер через сервер убеждается в подлинности ресурса.
- Сервер отвечает пересылкой копии ssl-сертификата и публичного ключа.
- Браузер проверяет сертификат на подлинность путем сверки с центрами сертификации, выдающими такие документы.
- Если сертификат оказывается подлинным, браузер направляет на сервер подтверждение, зашифрованное с помощью публичного ключа.
- Сервер направляет браузеру подтверждение с уникальной зашифрованной цифровой подписью, в результате чего устанавливается закодированное соединение.
- Трафик начинает циркулировать внутри пары «браузер-сервер» в рамках защищенного сеанса.
При взгляде на описания процессов кажется, что защищенное соединение устанавливается очень долго. Однако это не так — системе на выполнение всех этих действий нужны буквально доли секунд.
Кто выдает сертификаты
SSL-сертификат можно изготовить самостоятельно с помощью платных и бесплатных центров сертификации. Однако этот вариант всегда сопряжен с рисками. Например, оформленный сертификат может защищать и другие, чужие домены. Также будет отсутствовать печать доверия — значок с логотипом центра сертификации, на который часто обращают внимание пользователи.
Можно заказать сертификат в центре сертификации (удостоверяющем центре). Эти организации выпускают решения разного уровня и обязательно тщательно проверяют данные, предоставленные владельцами ресурсов. Такие сертификаты совместимы со всеми браузерами и имеют печати доверия. Еще один плюс в том, что там можно выбрать тип сертификата, соответствующий направленности ресурса и текущим задачам.
Сейчас многие хостеры на территории РФ предоставляют своим клиентам ssl-сертификаты бесплатно. Чтобы воспользоваться предложением, свяжитесь с вашим хостером через техническую поддержку для уточнения вопроса.
Типы SSL-сертификатов
Первая классификация цифровых сертификатов — по варианту изготовления. Например, их можно создать самостоятельно, но в этом случае сертификаты будут называться самоподписанными (о них говорилось выше). Однако браузер при получении таких экземпляров скорее всего будет сообщать пользователям о незащищенном соединении. Поэтому надежнее использовать сертификаты, заверенные удостоверяющими центрами — они будут рассматриваться как достоверные.
Вторая и основная классификация — по уровню безопасности. В ее рамках выделяют три вида сертификатов:
- DV — это базовый тип SSL-сертификатов. Решения Domain Validation не могут подтверждать владельцев ресурсов и позволяют удостоверять только домены. Однако справляются с главной задачей — демонстрируют, что соединение в паре «браузер-сервер» осуществляется в зашифрованном виде. Это бюджетный вариант сертификатов для ресурсов, не собирающих персональную информацию клиентов, не предполагающих совершение онлайн-оплат. Например, для лендингов-визиток или блогов. Такой сертификат легко получить — достаточно подтвердить право собственности на домен по телефону или email.
- OV — сертификаты Organization Validation, способные подтверждать владельцев домена. Такие инструменты подходят для коммерческих ресурсов, где осуществляются онлайн-платежи, например, интернет-магазинов. Также они часто применяются на форумах и развлекательных порталах. Приобрести сертификаты могут как физические лица, так и юрлица. Для получения придется пройти достаточно серьезную проверку — подтвердить право использовать домен, предоставить детальную информацию о компании и ресурсе. Эти решения значительно дороже DV, зато они способны зашифровывать сведения клиентов при транзакциях.
- EV — сертификаты Extended Validation самого высокого уровня. Они подтверждают не только домены и их владельцев, но и регистрационную информацию. Такие продукты доступны к покупке исключительно юридическим лицам, поскольку предназначены для использования на серьезных корпоративных ресурсах. Подходят для сайтов страховых, финансовых и государственных организаций, крупного бизнеса. EV-сертификаты недешево стоят и их не так просто получить, поскольку проверка данных при покупке часто занимает несколько недель. Зато пользователи ресурса будут спокойны — они смогут не только убедиться в безопасном соединении, но и увидеть исчерпывающие факты о компании, которой принадлежит сайт.
Также есть решения Wildcard (чаще их называют SSL-сертификатами с подстановочными символами). С их помощью можно защищать основные домены и несколько поддоменов (количество не ограничено). Приобрести такое решение выгоднее, чем покупать для всех поддоменов отдельные сертификаты.
Защитить доменные и поддоменные имена помогут MDC, то есть мультидоменные сертификаты. Они также используются для обеспечения безопасности поддоменов с доменами верхнего уровня, уникальных доменов. Однако такие сертификаты не подразумевают поддержки поддоменов по умолчанию. Если нужно защитить их с помощью единого MDC-решения, при заказе сертификата придется указывать все необходимые имена хостов.
К мультидоменным решениям также можно причислить сертификаты унифицированных коммуникаций — UCC. Изначально они выпускались для защиты конкретных серверов, например, Microsoft Exchange. Сейчас они используются, если нужно защитить одновременно несколько доменных имен. UCC-сертификаты могут представать в качестве решений с усиленной проверкой и гарантировать максимальную защищенность личных данных посетителей ресурса.
Выбор варианта зависит от конкретного ресурса и текущих задач. Все решения обеспечивают передачу зашифрованного трафика, поэтому не всегда есть смысл переплачивать за более дорогостоящее решение. Усиленная защита нужна, если на сайте проводятся оплаты или фигурируют персональные сведения пользователей.
Возможно ли использование единого SSL-сертификата сразу на нескольких серверах и доменах
Ответ на этот вопрос зависит от варианта решения. Например, для использования на нескольких серверах подойдут мультидоменные продукты. Они же станут оптимальным вариантом, если нужно защитить сразу несколько доменов на одном сервере (максимальное количество определяет удостоверяющий центр). Удобно, что подобные сертификаты располагают дополнительными полями, куда можно внести наименования всех доменов, для которых обеспечивается безопасность.
Для защиты нескольких доменов целесообразно применять продукты UCC, Wildcard. Вторые также подходят для неограниченного числа поддоменов.
Как получить SSL-сертификат
Выдачей документов занимаются удостоверяющие центры (сертифицирующие организации). Логичнее сначала выбрать тип решения нужного уровня безопасности, а затем выбирать издателя, который может предложить соответствующий требованиям продукт.
Алгоритм получения сертификата с высоким уровнем защиты:
- Настройка сервера, проверка записи WHOIS на соответствие данным, которые будут направлены в удостоверяющий центр. Факты о компании (в частности, название и фактический адрес) обязательно должны быть полными и актуальными.
- Формирование запроса на выдачу сертификата (это можно сделать на сервере). При необходимости следует обратиться за помощью к хостинговой компании.
- Отправка в центр запроса на проверку сведений о домене, который нуждается в защите (при необходимости и данных о компании-заказчике).
- Выдача ssl-сертификата.
- Установка и настройка.
Скорость выдачи документа в первую очередь зависит от желаемого уровня защиты. Например, решение типа DV можно получить буквально за несколько минут, а выпуска SSL-сертификата с усиленной проверкой придется ждать в среднем 7 дней.
Что происходит, если период эксплуатации SSL-сертификата заканчивается
Раньше сертификат могли выдавать на срок до 3-5 лет. Теперь максимальный период действия сертификатов ограничен 27 месяцами. То есть это 2 года и дополнительные 3 месяца на продление документа. А некоторые браузеры, например, Mozilla и Google с 2020 года применяют только годовые сертификаты. Более того, ведутся разговоры, чтобы еще сократить сроки использования.
Действие документа ограничивается строгими временными рамками, поскольку информация нуждается в актуализации. Например, компания-покупатель сертификата может уйти к другим владельцам, а веб-ресурс — быть проданным. Следовательно, поменяются данные, относящиеся к сертификатам. По окончании срока действия цифровой подписи ресурса придется получать новую, только уже на основании новых сведений. Такой подход позволяет обеспечить точность информации, используемой для аутентификации компаний и серверов.
Очень важно следить за сроком годности, чтобы по-прежнему обеспечивать безопасную передачу трафика. Если сертификат все же был просрочен, браузер выдаст пользователям соответствующее оповещение. Чем это грозит для бизнеса:
- Трафик ресурса сильно упадет из-за резкого снижения количества посетителей.
- Если на сайте ведутся продажи, их количество резко сократится. Клиенты могут посчитать ресурс небезопасным и уйти, даже если раньше неоднократно совершали покупки.
- Значительно упадут показатели ранжирования, сайт будет стремительно уходить вниз в поисковой выдаче. Это связано с тем, что при выведении ресурсов в топ учитывается активность пользователей, а из-за окончания срока эксплуатации сертификата она сильно сократится.
- На веб-ресурсе будет невозможно совершать безопасные транзакции.
Все сертифицирующие центры заблаговременно предупреждают о необходимости продления документа, рассылая напоминания на электронную почту. Обычно первое подобное сообщение приходит за 90 дней до окончания срока годности сертификата. Однако очень часто ответственные лица пропускают уведомления, особенно если в список для рассылки включен всего один адрес. Чтобы точно получить напоминание, стоит указать несколько email разных сотрудников.
Иногда сертификаты отзывают до окончания срока годности. Это чаще всего происходит из-за компрометации ключей или по просьбе заказчика. Также вероятна приостановка действия сертификата в случае каких-либо проблем с работой сайта (точный список причин приостановки стоит уточнить у удостоверяющего центра). Если компания устранит недочеты, скорее всего действие ssl-документа будет возобновлено.
Как проверить обеспечение безопасности SSL-сертификатом на конкретном сайте
Многие сайты сейчас защищаются сертификатами, поскольку на просторах интернета немало злоумышленников, желающих завладеть чувствительными данными компаний и личными сведениями посетителей ресурсов. Как убедиться, что ресурс работает в безопасном режиме:
- Посмотреть на веб-адрес. Об использовании сертификата скажет HTTPS в начале строки. Если там указано HTTP, соединение будет небезопасным.
- У сайтов с защитой в адресной строке присутствует символ замка. Если нажать на него, можно увидеть сведения о сертификате и компании (при условии, что решение по уровню выше базового).
- Если ресурс под усиленной защитой, значок замка или вся адресная строка будут зеленого цвета.
Также существуют визуальные признаки небезопасного соединения. Это открытый или красный замок, перечеркнутый линией веб-адрес, треугольник с восклицательным знаком. При виде подобных предупреждений пользователи стремятся как можно быстрее покинуть сайт, опасаясь заразить свое устройство вирусами или случайно обнародовать личные сведения.
Как сделать ресурс безопасным с помощью SSL-сертификата
Во-первых, следует правильно выбрать тип сертификата под конкретный ресурс. Если предполагается ввод персональных данных или платежной информации, следует защищать сайты решениями, подтверждающими компанию или обеспечивающими усиленную проверку. Пользователи смогут определить тип сертификата, нажав на символ замка в адресном поле. Если выбраны вышеописанные решения, клиенты сайта увидят информацию о компании и будут воспринимать ресурс как безопасный.
Во-вторых, следует следить за сроками эксплуатации сертификатов. Если вовремя не оформить продление, передачи данных в закодированном виде не будет. В этом случае существенно возрастают риски утечки персональных сведений посетителей сайта.
Помимо заботы о безопасности собственного сайта, необходимо проинструктировать сотрудников компании о мерах предосторожности при использовании чужих интернет-ресурсов. Рекомендации:
- Необходимо всегда обращать внимание на политику конфиденциальности ресурса. Добросовестные компании всегда подробно описывают, для чего и как именно будут использованы персональные данные пользователей. Если никаких сведений об этом нет, лучше не вводить важную информацию и не совершать на этом сайте платежей.
- Не стоит посещать ресурс, если браузер предупреждает о небезопасном соединении. Одной из причин тревожных уведомлений может быть окончание срока действия SSL-сертификата.
- Необходимо всегда проверять адрес сайта, ведь мошенники могут намеренно незначительно изменить доменное имя, чтобы пользователи не заметили разницы и посетили ресурс.
- Не стоит совершать онлайн-платежи или вводить личные данные на сайтах, к которым заведомо нет доверия. Например, если непонятно, кому принадлежит этот ресурс, и когда он был создан.
Многие уверены, что если веб-ресурс защищен сертификатом, он точно не может быть фишинговым. На деле это не совсем так — мошенники прекрасно осведомлены о доверии пользователей к HTTPS-сайтам и активно этим пользуются. Они тоже знают, как получить SSL-сертификат для защиты поддельных ресурсов с целью заставить посетителей потерять бдительность и оставить конфиденциальные данные.
Заключение
Чтобы защитить личные данные интернет-пользователей, продвинуть сайт в поисковой выдаче и улучшить репутацию среди клиентов, многие компании используют для своих ресурсов SSL-сертификаты. Однако в задачи организации входит обеспечение безопасности также и в свою сторону, поскольку в процессе работы сотрудникам приходится заходить в интернет. Для защиты от веб-угроз широко применяются решения SWG (Secure Web Gateway), которые помогают снизить риски атак различного типа, предотвратить внедрение вредоносных компонентов, отследить использование веб-ресурсов пользователями и т.д.
В отечественном продукте Solar webProxy также реализована возможность контролировать, расшифровывать и фильтровать HTTPS-трафик. Если веб-ресурс не предоставляет полную цепочку сертификатов для раскодировки данных, инструмент отправляет соответствующий запрос. Также решение SWG позволяет передавать трафик другим системам, например, DLP и антивирусам.
Управление SWG-решением от «Солар» осуществляется из единой консоли. У продукта удобный интерфейс, в котором без труда разберется любой пользователь. Также Solar webProxy отличается отказоустойчивостью и высокой производительностью, не зависит от аппаратных платформ, поскольку поставляется в виде ПО. И главное преимущество — решение разработано специально под особенности российского бизнеса, поэтому подходит для импортозамещения.
