Нередки случаи, когда киберпреступники перехватывают конфиденциальные данные в момент их движения. Если злоумышленникам удастся без проблем прочитать сведения, будет считаться, что произошла утечка. Чтобы личные и платежные данные не подозревающих об опасности интернет-пользователей были в безопасности, многие организации применяют в отношении своих ресурсов меры защиты. Например, в адресах сайтов часто можно увидеть наименование «https». Оно означает, что здесь реализована зашифрованная передача данных, то есть ресурсы используют TLS-сертификаты для защиты сетевых подключений. Такие решения позволяют обеспечить безопасность передачи конфиденциальной информации и помогают удостовериться в подлинности сайтов. Обсудим, как работают сертификаты, каким образом их применение помогает повысить градус доверия пользователей и вывести ресурс в топ поисковой выдачи. 

Что такое сертификат SSL/TLS

Сертификат — электронный документ, с помощью которого обеспечивается зашифрованное сетевое соединение при использовании различных веб-ресурсов. В частности тех, которые обрабатывают персональные данные пользователей или платежную информацию. Проверка безопасности реализуется путем применения специального протокола, то есть под защитой каналы передачи данных по сети и виртуальные пути соединения между устройствами пользователей.

Как узнать, что владельцы сайта установили SSL/TLS-сертификат:

  • В адресе сайта будет присутствовать https.
  • В адресном поле обнаружится символ замка. 
  • Ярлык замка или все адресное поле будут зелеными, если используется сертификат уровнем выше базового. 

Работа сертификатов строится на базе криптографической системы открытого ключа. Такая схема позволяет одной стороне убедиться в подлинности другой. Например, пользователь веб-ресурса будет уверен, что заходит именно на сайт компании, а не на его фишинговую копию. Сейчас, в период всплеска мошеннической активности в интернете это особенно актуально. 

Однако всех, кто не впервые сталкивается с сертификатами, интересует вопрос — в чем отличие TLS от SSL? По факту это одно и тоже, только TLS выступает в качестве улучшенной версии SSL 3.0. Поэтому многие по привычке называют электронные документы SSL. 

Каких целей помогает достичь TLS-сертификат

Во-первых, благодаря зашифрованному соединению в связке «сервер-браузер» киберпреступникам придется приложить больше усилий, чтобы подменить или похитить засекреченные данные пользователей. То есть наличие сертификата дает уверенность в безопасности ресурса и способствует повышению градуса доверия клиентов.

Во-вторых, благодаря сертификату пользователи могут удостовериться, что ресурс подлинный. Конечно, это не панацея, ведь хакеры тоже используют такие решения для фишинговых страниц. Поэтому всем посетителям веб-ресурсов рекомендуется внимательно проверять не только информацию, которая содержится в сертификате, но и доменное имя. Злоумышленники специально делают так, чтобы оно отличалось совсем незначительно, например, на одну букву.

В-третьих, на многие компании распространяются нормы обеспечения конфиденциальности информации, связанные с направлением деятельности. Например, организации, проводящие онлайн-платежи, обязаны соблюдать PCI DSS — стандарт безопасности данных платежных карт. Он подразумевает использование SSL/TLS-решений. 

И четвертый аргумент — установка TLS-сертификата положительно сказывается на позициях сайта в топе выдаче поисковой системы. Дело в том, что крупные «поисковики» включили наличие такой защиты в перечень факторов ранжирования. Ресурсы с сертификатом скорее попадут в топ выдачи, чем подобные ресурсы без него. 

Основные факторы  работы SSL/TLS-соединений

Зашифрованные сеансы с помощью SSL/TLS-решений осуществляются на базе трех принципов:

  • Шифрование — представление исходящих данных таким образом, чтобы их не могли случайно или намеренно прочесть третьи лица. Это действие основано на ассиметричной криптографической концепции , в которой для шифрования и расшифровки данных используются пары ключей — открытый и закрытый. Закрытые ключи – секретные и имеются только у серверов. Если файлы были закодированы с помощью открытых ключей, для их расшифровки применяются закрытые ключи. В рамках такого процесса одна сторона соединения (то есть браузер) удостоверяется в подлинности другой (сервер).
  • Аутентификация — процесс отправки от сервера к браузеру публичного ключа, который имеется в TLS-сертификате. Затем браузер проверяет сам сертификат и подлинность сервера.
  • Использование цифровой подписи — комбинации уникальных значений, которая присваивается каждому сертификату. Она помогает понять, что сертификат в процессе эксплуатации не был искажен внешними сторонами. Это проверяется путем генерации новых значений и их сравнения с оригинальной цифровой подписью.

По таким принципам работают все виды сертификатов независимо от уровня защиты. Комбинация этих процессов обеспечивает безопасное сообщение компьютерных систем в интернете.

Что входит в TLS-сертификат

По сути сертификат — электронный документ, который включает следующие компоненты:

  • Информацию о центре, выдавшем сертификат, его цифровую подпись.
  • Доменные имена.
  • Даты выпуска и окончания срока годности.
  • Название версии документа.
  • Публичный ключ.

Удостоверяющая организация, выдавшая сертификат, обязательно подписывает его. Таким образом подтверждается принадлежность главного компонента — открытого ключа его владельцу. Владельцем считается лицо, которое отвечает за безопасное хранение ключей и отслеживает жизненный цикл TLS-сертификата. Существует и такое понятие, как заявитель, который не всегда является владельцем. Это лицо (физическое или юридическое), обратившееся в удостоверяющий центр с запросом на выпуск сертификата.

Виды сертификатов

Существует две основные классификации сертификатов — по уровню проверки и обеспечения безопасности, количеству и типу защищаемых доменов. В рамках первой характеристики различают TLS-сертификаты, подтверждающие домены или организации и сертификаты расширенной проверки. Вторая классификация основана на количестве доменов, которые могут быть под защитой. Подробнее разберем все варианты. 

Виды SSL/TLS-сертификатов по уровням проверки:

  • Extended Validation — решения, гарантирующие высокую степень шифрования и проверки данных. Для получения EV-сертификата заявитель (юридическое лицо) должен предоставить расширенный набор информации о компании (включая фактический адрес организации). Удостоверяющий центр будет особо тщательно проверять сведения, поэтому выдача документа может затянуться на срок от 7 и более дней. Зато пользователи сайтов смогут видеть полную информацию о компании, что сильно повысит уровень доверия. Это дорогостоящее решение, поэтому есть смысл его использовать только в том случае, если на ресурсе обрабатываются строго конфиденциальные данные. Вариант подходит для финансовых и государственных организаций, крупного бизнеса, то есть владельцев серьезных веб-ресурсов.
  • Organization Validation — сертификаты проверки организации. С точки зрения безопасности они занимают второе место после EV-решений. Процесс проверки данных удостоверяющими центрами будет менее строгим, однако придется подтвердить право собственности на домен. OV-сертификаты подходят для интернет-магазинов и других ресурсов, на которых предусмотрены онлайн-платежи, а также социальных сетей, форумов и т.д. Они содержат исчерпывающую информацию о компании, и могут быть без проблем проверены в браузере.
  • Domain Validation — решения с низким уровнем проверки, предназначенные для подтверждения доменов. Это бюджетный вариант, применяемый в основном для информационных ресурсов, где не фигурирует важная конфиденциальная информация (например, блогов). Чтобы получить DV-сертификаты, достаточно подтвердить право собственности на домен по телефону или электронной почте. Однако документы не будут содержать информацию о бизнесе, поэтому не смогут обеспечить должную безопасность для посетителей сайтов.

Теперь обсудим TLS-сертификаты по количеству и типу доменов:

  • Решения для защиты одного домена или субдомена (веб-адреса, предшествующего ключевому домену). Такие сертификаты не могут использоваться для двух доменов одновременно.
  • Подстановочные решения для защиты ключевого домена и всех субдоменов.
  • Мультидоменные продукты, которые также называют сертификатами объединенных коммуникаций. Они обеспечивают защиту нескольких доменных имен на сервере или нескольких серверах, принадлежащих одному владельцу.

При выборе решений стоит опираться на масштабы и отрасль деятельности компании, тип интернет-ресурсов. Например, для развлекательного портала или блога не нужны дорогостоящие варианты с усиленным кодированием информации.

как работают ssl/tls-сертификаты

Как работают SSL/TLS-сертификаты

Безопасный веб-сеанс организовывается с применением алгоритма, который условно называется «рукопожатием». Это одна из технологий защищенной связи https, построенная на комбинации http и SSL/TLS. Если у сайта нет защиты, используется только протокол http, который выдает веб-серверу данные в виде легко воспринимаемого текста. Это значит, что если злоумышленники перехватят информацию, то без проблем смогут ее прочитать. Чтобы этого не произошло, браузеры используют безопасный протокол https. 

Даже если трафик перехватят злоумышленники, это не будет означать, что произошла утечка данных. Поскольку информация передается в зашифрованном виде, хакерам будет сложно прочитать и как-то применить ее. В этом весь смысл защиты с помощью сертификата. 

Алгоритм принципа «рукопожатия»:

  • Браузер открывает сайт с сертификатом, затем осуществляется подключение к серверу.
  • Браузер запрашивает данные, которые помогут ему идентифицировать ресурс и удостовериться, что он не поддельный.
  • Сервер направляет в ответ SSL/TLS-сертификат, содержащий открытый (публичный) ключ.
  • Браузер убеждается в соответствии сертификата домену веб-ресурса и проверяет срок годности. Если проблем не возникло, данные кодируются с помощью публичного ключа, который также используется в процессе отправки сообщений с секретным сеансовым ключом.
  • С использованием закрытого ключа сервер раскодирует сообщения браузера, получает ключ сеанса, отправляет обратно зашифрованный ответ.
  • Благодаря тому, что сервер и браузер эксплуатируют идентичный ключ сеанса, осуществляется безопасный обмен данными.

Теперь подробнее расскажем о ключе сеанса, с помощью которого сразу после аутентификации SSL/TLS поддерживается зашифрованное соединение в комбинации «сервер-браузер». По факту это инструмент симметричной криптографии — технологии, подразумевающей кодировку и раскодировку с помощью одного ключа.

выдача и проверка ssl tls-сертификата

Как происходит выдача и проверка SSL/TLS-сертификата

Продажей сертификатов и анализом данных компаний-заказчиков занимаются специализированные центры сертификации (сокращенно — ЦС). Перед выпуском сертификатов сотрудники таких организаций тщательно проверяют полученную от владельцев сайтов информацию о домене и компании. 

Сертификационным центром может стать организация, которая будет соответствовать требованиям корпораций, выпускающих операционные системы, мобильные устройства и компьютеры, браузеры. Компания, желающая заниматься сертификатами, подает заявку, все сведения о ней проверяются, после чего новый ЦС включается в список корневого центра. Далее организация имеет право выдавать сертификаты, которые будут считаться доверенными и обеспечивать защищенное соединение в процессе эксплуатации веб-ресурсов. 

Срок действия TLS-сертификата, жизненный цикл

Жизненный цикл — период от отправки запроса на получение электронного документа до момента прекращения срока действия документа. Он включает следующие этапы:

  • Заявка на выпуск (Certificate Signing Request или CSR) — зашифрованный запрос, содержащий информацию о компании и домене, а также открытый ключ. То есть предоставление всех данных, которые необходимо проверить и внести в электронный документ.
  • Выпуск документа, то есть одобрение запроса и выдача сертификата заявителю. 
  • Приостановление действия TLS, например, при компрометации ключей, закрытии сайта или попытке взлома.  
  • Проверка SSL/TLS-сертификата и повторное введение его в эксплуатацию, если еще не закончился срок годности. Такое возможно в случае устранения причин, повлекших приостановление.
  • Отзыв сертификата до окончания срока эксплуатации без возможности возобновления его действия.
  • Плановое прекращение действия сертификата по окончанию срока эксплуатации, если не последовало продления.  

Сейчас срок действия сертификата ограничен 13 месяцами. По факту он работает год, а дополнительный тринадцатый месяц дается на его продление. Еще недавно период эксплуатации был намного больше, но популярные браузеры заявили о недоверии к «долгоиграющим» сертификатам. Дело в том, что пролонгированное использование порождает дополнительные риски, например, хакеры могут применять действительные TLS-сертификаты из просроченных доменов для своих фишинговых ресурсов. 

Если период действия SSL/TLS-сертификата истечет, браузер будет предупреждать посетителей о том, что ресурс небезопасен. В результате сильно упадет трафик, снизится количество продаж и онлайн-транзакций. А сам сайт уйдет вниз в поисковой выдаче, поскольку существенно ухудшатся показатели ранжирования. 

Главная задача владельцев веб-ресурса — отслеживать предупреждения об окончании срока действия сертификата и вовремя подавать заявки на продление. Если все в порядке, старый документ будет отозван и заменен обновленным. В таком случае удастся избежать рисков для безопасности при использовании ресурса. 

Заключение

Специалисты по обеспечению информационной безопасности рекомендуют всем владельцам интернет-ресурсов использовать TLS-сертификаты для защищенного соединения. Благодаря таким решениям данные будут передаваться в зашифрованном виде, что позволит снизить риски перехвата конфиденциальной информации. Для расшифровки трафика целесообразно использовать специальные шлюзы — Secure Web Gateway (SWG). Например, Solar webProxy может выступать посредником между сервером и пользователем. В этом инструменте реализована возможность запроса цепочки сертификатов для расшифровки данных. Если сертификатов на устройствах нет, шлюз перенаправит пользователей на страницы, посвященные их установке. 

Solar webProxy поставляется в виде ПО, благодаря чему обеспечивается быстрая масштабируемость и исключается зависимость от аппаратных компонентов. Решение легко интегрируется с другими инструментами обеспечения безопасности, например, DLP-системами. Оно управляется из единого удобного интерфейса, не требует специальных навыков при использовании и обеспечивает стабильно высокую производительность.