05 сентября 2023 Время чтения: 5 минут

Сказ о славных SSL в мире интернета

ispmanager

Дисклеймер: статья опубликована до обновления Google Chrome с удалением замков из интерфейса, авторы понимают, что это может уйти, но сейчас у нас есть такой UX, и мы уже научились так, поэтому смотрим так :) Да и замок всё ещё будет, просто припрятан ;)

Что-то подсказывает, что вы пользователь интернетов, а значит, каждый раз сталкиваетесь с SSL-сертификатами, даже если не знаете о них. Сейчас мы расскажем больше о том, какие бывают сертификаты, как их различать пользователям и какие выбирать владельцам сайтов.

Самоподписанные сертификаты

first comics picture
В далёкой-далёкой стране были рыцари, и у каждого было по замку. И в глазах граждан любой, у кого был замок, уже считался рыцарем, но не все сразу внушали доверие

Самоподписанные сертификаты — это SSL, которые создаёт владелец сайта, сам же заверяет и сам выпускает внутри своего сервера. Вот такой молодец, сам себе удостоверяющий центр. Подписи от этого центра всё ещё легитимны, но при заходе на сайт любой браузер заподозрит что-то неладное и выдаст предупреждение. В нём будет указано, что сайт настроен неверно, сертификат самоподписанный или просрочен. А значит, вас как пользователя могут тут обмануть. Обычно такими сертификатами пользуются в серых сетях, развёрнутых внутри компаний, или локально на тестовом окружении, когда домен ещё не куплен. Разработчики привыкли видеть такие сообщения во время работы и могут быть уверены, что их сайт test123.ru точно не собирается красть данные. Но сайт с предупреждением лучше обойти стороной, особенно если попадаешь на него из поисковика. Ведь этот скачанный бесплатно и без СМС реферат может не стоить украденных данных.

types of lock
Браузер никогда не будет доверять самоподписанным сертификатам просто так: знак замочка на сайтах с таким сертификатом отличается. Избежать этого можно, только если пользователь вручную добавит сертификат прямо в браузер. Но владелец сайта не может заставить всех посетителей это сделать

DV-сертификаты и фантастические Let’s Encrypt

second comics picture
Далёкая-далёкая страна помогала тем, кто хотел стать рыцарем и имел регистрацию, но не имел средств на замок

Если же домен уже куплен, почему бы не провести всё как надо? Есть два пути: бесплатный и платный. Начнём с первого.

В 2014 году несколько организаций объединились, чтобы сделать интернет безопаснее доступным способом. Принцип их работы прост: если вы купили домен и готовы подтвердить, что владеете им, Let’s Encrypt даёт вам сертификат после автоматической проверки. Платить не надо, но через 90 дней вернитесь и повторите процедуру. Если точнее, они предлагают возвращаться каждые 60 дней, чтобы точно не просрочить, но большинство панелей управления автоматизируют этот процесс. К тому же есть скрипты, позволяющие запускать обновление по графику. Это позволило сотням миллионов сайтов стать безопаснее для пользователей и для себя. Но что таится под бесплатностью такого сертификата? Да ничего. Кроме того, любой может получить сертификат после покупки домена. И это не так сложно сделать и даже не показать своих банковских или персональных данных, например через криптовалюту. Или вовсе получить бесплатный домен. А значит, такие сайты легко использовать для фишинга или мошенничества. Даже сам Let’s Encrypt не отрицает этого и предлагает жаловаться на такие сайты через специальные формы.

Let’s Encrypt выдаёт Domain Validation сертификаты бесплатно. Тип проверки понятен из названия: проверяется домен, а точнее владение им. Есть несколько видов проверок, которыми пользуется Let’s Encrypt. Самый распространённый — банальная проверка доступности сайта, точнее конкретного файла на нём (HTTP-01). Существует и проверка по DNS, где проверяются специальные TXT-записи для доменного имени (DNS-01). Проведя успешные испытания, Let’s Encrypt видит, что всё в порядке, выдаёт сертификат, и теперь можно использовать шифрованное соединение.

browsers report
Сайт, защищённый бесплатным сертификатом от Let’s Encrypt, имеет соответствующую подпись

Платные DV-сертификаты обычно самые дешёвые и работают по схожему принципу проверки. Вот в чём отличие от бесплатного:

  • сертификат будет работать год (раньше было аж 5 лет, но со временем срок становится всё меньше);
  • владельцу сайта надо будет провести оплату, а значит, уже как-то показать себя;
  • платные сертификаты имеют страховку от удостоверяющего центра (да-да, если что-то произойдёт из-за сертификата и это будет доказано, владельцу сайта будет выплачена компенсация);
  • сертификаты поддерживаются старыми устройствами, в отличие от Let’s Encrypt.

Что это всё значит для пользователя интернета? Если видите Let’s Encrypt в подписи сертификата, подумайте несколько раз, доверять ли такому сайту. Если этот сайт не просит у вас денег или личные данные, скорее всего, всё в порядке: ваше соединение защищено. Но что делать если вас просят оставить номер телефона или — о ужас! — оплатить что-то, введя данные банковской карточки? Стоит ли верить платным DV-сертификатам от других удостоверяющих центров? Каждый тут уже решает сам, ведь люди, которые заводили этот сайт, никак не подтверждали свою личность или компанию.

Лирическое отступление.

Сейчас на территории РБ и РФ (и для доменных зон стран) стало труднее найти удостоверяющий центр, который выпустит сертификаты. Из-за этого многие сайты перешли на DV или даже Let’s Encrypt сертификаты вместо сертификатов уровней выше. Плохо ли это? Не очень хорошо, и есть альтернативы, например, сертификаты от GlobalSign

Гигачады OV- и EV-сертификации

third comics picture
Настоящие рыцари не боятся показать лицо и рассказать, откуда родом

Для серьёзных компаний есть два вида сертификатов: с подтверждением организации (Organization Validation, OV) и с расширенной проверкой (Extended Validation, EV). Что это всё значит? При таких проверках сайт не просто автоматически прогонят по скриптам, проверив существование домена и то, кому он выдан, но проверят и саму компанию, её существование в государственных записях, узнают, чем она занимается и где находится. В случае OV-сертификата название компании будет даже вписано в него. Открыв подробную информацию о сертификате, вы увидите название компании, которая владеет сайтом, и её адрес. Такие проверки выполняются дольше. Поэтому OV-сертификаты, в отличие от DV, могут выдаваться несколько дней. Удостоверяющие центры даже могут отказать в выдаче, если что-то не соответствует гайдлайнам. Особенно это касается EV-сертификатов. Там есть целый перечень , как проверять компанию. Ещё удостоверяющий центр берёт на себя ответственность и обещает выплатить страховку, если из-за SSL-сертификата произойдёт утечка информации. У EV-сертификатов страховка будет больше, чем у OV. Впрочем, удостоверяющие центры стараются всеми силами не допустить просчёта и обеспечить наивысшую надёжность.

Стоит ли платить больше и мучиться с документами для EV? По большому счёту нет. И OV, и EV уже подтверждают надёжность организации, в отличие от DV. Оба типа сертификации включают главное: проверку существования организации и её легитимность. Сайт — это уже рыцарь с красивым замком, но если он хочет сияющие доспехи и статус сэра, нужно купить EV-сертификат.

difference between DV, OV, EV
В подробной информации о сертификате можно увидеть, как меняется описание компании, в зависимости от уровня проверки сертификата. Начиная с простого названия домена и заканчивая адресом компании. В разделе «Политики сертификата» написано, какую именно проверку проводил удостоверяющий центр

Что касается пользователя, и OV, и EV сертифицированным сайтам можно доверять (да и DV можно, как мы выяснили раньше). Такие сайты застрахованы удостоверяющими центрами от перехватов данных или утечки со стороны шифрования SSL/TLS. Такое случается крайне редко и грозит серьёзными последствиями, поэтому в интересах удостоверяющих центров тщательно всё проверять и поддерживать актуальные способы шифрования.

Вот такая история о рыцарях с замками и сайтах с замками. Берегите свой замок, и безопасного вам интернет-сёрфинга ;)