SSL-cертификат
SSL-сертификат — это цифровой документ, который устанавливается на сайт, чтобы защитить данные пользователей и подтвердить подлинность сайта. Как именно работает SSL-сертификат и как он повышает безопасность интернета, расскажем далее.
Для чего нужны SSL-сертификаты
Защитить данные пользователей
Пользователи вводят на сайтах пароли, личные данные или любую информацию, а злоумышленники могут перехватить её и использовать во вред. SSL-сертификат защищает от этого: он шифрует информацию, которая передаётся между компьютером пользователя и сайтом. Даже если хакер перехватит сообщение, он не сможет воспользоваться им, потому что получит только набор бессмысленных символов.
Сохранить трафик на сайт
Браузеры и поисковые системы заинтересованы в безопасности интернета, поэтому поощряют владельцев сайтов за наличие SSL и штрафуют за отсутствие. Важное требование: сертификат должен быть выдан известным удостоверяющим центром. В иных случаях (если SSL сгенерирован самостоятельно, просрочен или не установлен) владельца сайта ждут следующие последствия:
- Браузеры могут заблокировать доступ посетителей к сайту без SSL. Если сертификат просрочен, изготовлен неизвестным сертификационным центром, установлен с ошибками или отсутствует, при попытке зайти на сайт, посетители будут видеть предупреждение, что он небезопасен.
- Отсутствие SSL может плохо влиять на положение сайта в поисковой системе. «Яндекс» учитывает атрибут безопасности при ранжировании. То же самое относится к Google.
Типы SSL-cертификатов
SSL-сертификаты отличаются между собой по способу выдачи (от удостоверяющего центра и самоподписанные), способу проверки (DV, OV, EV) и наличию опций (SAN, WC, SANWC, защита IP). Разберёмся с каждым видом отдельно.
Виды SSL по способу выдачи
Самоподписанные сертификаты может создать любой человек со знаниями командной строки или даже без них с помощью онлайн-генератора. Однако пользы от таких SSL немного. Дело в том, что браузеры не доверяют по умолчанию самоподписанным сертификатам, потому что не могут убедиться в качестве шифрования. Для браузеров такие неизвестные сертификаты — как бутылка с подозрительной жидкостью и надписью «вода» — неизвестно, что произойдет, если слепо довериться этикетке.
Когда посетитель зайдёт на сайт с самоподписанным SSL, то увидит предупреждение о небезопасном соединении. Чтобы оно не появлялось, пользователь вручную должен добавить сертификат в список доверенных, а это происходит очень редко. Поэтому для публичных сайтов самоподписанные сертификаты не подходят — они будут существенно снижать посещаемость.
Сертификаты от удостоверяющих центров (УЦ) выпускаются специальными организациями. В отличие от самоподписанных SSL, сертификаты от УЦ подходят для публичных сайтов. Браузеры отмечают сертификаты от УЦ как заслуживающие доверия, и посетители могут беспрепятственно заходить на сайты с такими сертификатами. Большинство SSL-сертификатов от удостоверяющих центров платные, но есть и бесплатные — Let’s Encrypt. Однако у Let’s Encrypt есть ограничения: только базовый уровень валидации DV, требуется продление каждые три месяца и не поддерживается старыми браузерами и устройствами. Также для бесплатных сертификатов нет страховых выплат — если по вине удостоверяющего центра пострадает сайт, его владелец не получит компенсацию. Платные SSL-сертификаты страхуются.
Виды SSL-сертификатов по способу проверки
Сертификаты делятся на три типа в зависимости от способа проверки или валидации.
DV-сертификаты (domain validation) — сертификаты с проверкой доменного имени. При их выдаче удостоверяющий центр проверяет только, есть ли у заказчика доступ к домену. Как правило, DV-сертификаты самые недорогие, и получить их можно за несколько минут.
OV-сертификаты (organization validation) — сертификаты с проверкой организации. Удостоверяющий центр, как и в случае DV-cертификата, владеет ли заказчик доменом. А ещё действительно ли существует организация, которая заказывает SSL, и не выдаёт ли заказчик сертификата себя за кого-то другого. OV-сертификаты стоят дороже, чем DV, а их получение может занимать несколько дней.
EV-сертификаты (extended validation) — сертификаты с расширенной проверкой. Они включают все предыдущие уровни валидации (DV и OV), но при этом подразумевают более глубокую проверку организации, которая заказала сертификат. Так, удостоверяющий центр может запросить учредительные документы или позвонить на контактные номера. Цель проверки не только подтвердить наличие организации, но и то, что она действительно работает. EV-сертификаты стоят дороже других, а их получение может занимать более недели.
От типа валидации зависит сложность и сроки получения сертификата, его цена и косвенно уровень доверия пользователей сайта.
Дополнительные опции SSL-сертификата
К сертификатам любого типа — DV, OV или EV — могут предлагаться опции.
Опция SAN (Subject Alternative Names) — защищает дополнительное доменное имя, помимо основного. При покупке сертификата вы можете защитить основной домен example.com, а кроме этого, доплатить за опцию SAN и защитить этим же сертификатом любой другой домен или поддомен, например 2example.ru. Таким образом, одним SSL c опцией SAN можно защитить десятки доменов. Сертификаты с SAN очень удобны в больших проектах: не нужно продлевать SSL-сертификаты отдельно для каждого сайта. Кроме того, это может быть дешевле и быстрее, чем покупка большого числа обычных сертификатов.
Опция Wildcard или WC — защищает не только основной домен, но и его поддомены на выбранном уровне. Опция WC работает следующим образом: при заказе сертификата вы можете указать символ звёздочки * слева от домена. Например: *.example.com. Сертификат будет защищать сам домен example.ru и любые поддомены на уровне со звёздочкой: 1.example.ru, my.example.ru и т. д.
Опция SANWC — малоизвестная, тем не менее очень удобная и помогает хорошо сэкономить тем, у кого много доменов и поддоменов. SANWC объединяет опции SAN и WC, то есть с её помощью можно не только защитить любые поддомены основного домена, но и любые поддомены дополнительно купленных доменов. Таким образом, одним сертификатом с SANWC можно покрыть множество доменов и их поддоменов.
Одним сертификатом с опцией SANWC можно закрыть огромное число доменов. В это примере покупатель приобрел защиту на основной домен example.com, опции SAN для дополнительной защиты поддомен 1.example.com и домен example.org. А затем купил SANWC и защитил все поддомены на уровнях ниже.
Опция SubSAN — позволяет добавить поддомен к основному домену. Например, к домену ispmanager.ru — поддомен forum.ispmanager.ru.
Защита IP-адреса — ещё одна малоизвестная возможность. Сертификаты с такой опцией можно получить не на доменное имя, а на IP-адрес. Чтобы всё работало, IP-адрес должен быть статичным и публичным.