SSL/TLS-сертификат: что это, как он работает и как узнать, что у сайта он есть?

Аналитический отдел компании Falcongaze часто пишет про политики конфиденциальности и безопасности разных приложений и сервисов. Многие из них используют SSL/TLS-сертификат, который указывает на то, что веб-сайт использует безопасное соединение. Так ли это, как работает сертификат и как понять, что сайт его использует, – мы постарались дать ответы на эти вопросы.

Что такое SSL/TLS-сертификат?

SSL расшифровывается как Secure Sockets Layer, TLS – Transport Layer Security. Сертификат представляет собой технологию безопасности, с помощью которой шифруется связь между браузером и сервером. Из-за такого сертификата хакерам намного сложнее украсть или подменить данные пользователей. SSL/TLS-сертификат устанавливают на сервер. Помимо шифрования всех коммуникаций, с его помощью можно проверить подлинность веб-сайта.

Может возникнуть вопрос: а в чем разница между сертификатами SSL и TLS? Ответ: ее нет. TLS 1.0 создавали как обновленную версию SSL 3.0 вместо SSL 4.0. Это также было сделано, чтобы подчеркнуть, что создание SSL/TLS больше не связано с компанией Netscape. Именно она выпустила первый SSL. А людям просто удобнее использовать название «SSL-сертификат», поэтому оно прижилось.

Как это работает?

Для того чтобы установить https-соединение между браузером и веб-сервером, используется «SSL-рукопожатие». Сначала сервер и клиент согласуют шифронабор (набор алгоритмов, которые определяют параметры безопасного соединения). Потом сервер отправляет клиенту SSL-сертификат. Клиент же проверяет его на подлинность. Если все в порядке, создается «сеансовый ключ».

И вот мы подошли к SSL-криптографии. Для установки SSL-соединения нужен один симметричный (сеансовый) ключ и два ассиметричных.

• Симметричный ключ и шифрует, и расшифровывает сообщение. Он бывает 128- и 256-битным. Чем он длиннее, тем сложнее его взломать. Длина ключа зависит от возможностей ПО сервера и клиента.
• Когда происходит ассиметричное шифрование, генерируются два ключа – публичный и приватный. Публичный ключ шифрует данные, а приватный расшифровывает их. Приватный ключ хранится только на сервере. Ассиметричные ключи бывают 1024- и 2048-битными.

Публичный ключ шифрует сеансовый ключ, который потом отправляется на сервер. Сервер расшифровывает сообщение с помощью приватного ключа и сохраняет сеансовый ключ. После этого устанавливается безопасное соединение https. Как только пользователь закроет вкладку с сайтом, сеансовый ключ будет удален.

Весь процесс обычно занимает несколько сотен миллисекунд.

«Лаборатория Касперского» предупреждает, что хотя шифрование – это хорошо, и информацию не смогут заполучить третьи лица, но сертификат ничего не говорит о самом сайте. Хакеры могут создать фишинговую страницу, получить сертификат и шифровать все передаваемые между пользователем и сервером данные. Поэтому всегда нужно тщательно проверять доменное имя, так как оно может отличаться всего на одну букву от оригинала.

Все SSL-сертификаты одинаковые?

SSL-сертификаты различаются по сертифицируемым доменам: сертификат на один домен, wildcard-сертификат используется для домена и его поддоменов, а мультидоменный сертификат может использоваться сразу для нескольких доменов и серверов.

SSL-сертификаты также бывают разными в зависимости от уровня валидации:

• Domain Validation (DM) используется для подтверждения доменного имени. Он чаще всего устанавливается на информационные сайты и блоги и имеет самый низкий уровень доверия;
• Organization Validation (OV) подтверждает некоторые данные о владельце домена (компанию, физический адрес и доменное имя). Имеет средний уровень доверия;
• Extended Validation (EV) – этот сертификат необходим для компаний, у которой есть конфиденциальные данные. Он обладает самым высоким уровнем безопасности. При выдаче такого сертификата происходит проверка корпоративных документов, проверка личности клиента и т.д.   

Как узнать, есть ли у сайта SSL-сертификат?

Будет несколько визуальных подсказок: замок рядом с адресной строкой, в адресе будет использоваться https вместо http. Если сайт получил EV-сертификат, в адресной строке можно будет увидеть зеленый ярлык (Green Bar).