Как работает SSL-сертификат и зачем он нужен — разбираемся с помощью Гарри Поттера

Бывает сложно понять, как работают SSL-сертификаты, как они устроены и зачем вообще нужны. В этой статье постараемся разобраться.

SSL-сертификат — это цифровой сертификат безопасности, свидетельствующий о подлинности ресурса, на котором он установлен. Он обеспечивает зашифрованное соединение между пользователем и сервером, на котором размещён сайт. Данные передаются по специальному протоколу, который и защищает взаимодействие.

Google рекомендует использовать этот протокол, ссылаясь на то, что поисковая система тратит огромное количество человеческих и финансовых ресурсов на обеспечение безопасности в интернете, а шифрование помогает защищать веб-сайты и их пользователей. Владельцам ресурсов установка сертификата тоже поможет: сейчас это важный фактор ранжирования, который поднимает сайт в поисковой выдаче.

SSL-сертификат становится обязательным не только для сайтов, которые собирают информацию о посетителях и принимают платежи, но и для любых уважающих себя ресурсов, рассчитывающих на благосклонность поисковых гигантов. Пессимизация происходит по бюрократическому признаку: без бумажки ты букашка. Нет сертификата? Иди в конец очереди — при запросе в поиске такой сайт окажется на последнем месте.

Вот как работает SSL-сертификат, если объяснять на пальцах.

Представьте, что вы герой шпионского детектива. Вам необходимо отправить сообщнику послание, но сделать это так, чтобы его невозможно было расшифровать, даже если оно попадёт в руки врагов.

Вы заранее договорились, на каком «языке» будете общаться. Допустим, решили использовать книгу «Гарри Поттер и Кубок огня», которая есть и у вас, и у вашего приятеля.

Вы пишете письмо и используете цифры 495. Они указывают, что необходимое слово находится на 4-й странице, в 9-й строчке, на 5-м по счёту месте. В итоге вы отправляете сообщение примерно такого содержания: 879-745-928-859-495 и расшифровывать его можно только по вашей договорённости. Если у вас с приятелем единственные экземпляры книг, враги не смогут расшифровать вашу переписку, потому что такой последовательности страниц в мире больше не существует.

Получается, SSL-сертификат необходим для безопасной передачи данных между браузером и сервером.

SSL-сертификат:

• подтверждает источник передачи данных;
• зашифровывает полученную информацию для последующей отправки;
• гарантирует, что получателю придут уникальные данные.

По сути, SSL-сертификат — это электронный документ с криптографическим ключом, который широко используется там, где необходимо подтвердить подлинность. Например, программисты подтверждают подлинность программного продукта, сетевые администраторы — личность сотрудника, подключающегося к VPN-каналу компании.

Принцип работы криптографических ключей зависит от того, какая программа выполняет сканирование и какая именно технология при этом используется. SSL-сертификат работает с протоколом TLS (Transport Layer Security), который способен зашифровать любые пакеты данных и используется во многих типах приложений, работающих через интернет: начиная с сайтов и электронной почты и заканчивая IP-телефонией.

Так что, если вы заходите на сайт, название которого начинается с https://, имейте в виду: здесь используется стандарт безопасности TLS с установленным SSL-сертификатом.

Вот как браузер проверяет, стоит ли доверять SSL-сертификату. Когда посетитель переходит на сайт по протоколу HTTPS, сервер предоставляет браузеру открытую часть SSL-сертификата. Так мгновенно проверяется его достоверность: был ли он выдан проверенным центром сертификации, который указан в ключе.

Случается, что сертификат уже неактуален: например, его вовремя не продлили, неправильно установили или получили в сомнительном центре сертификации. Тогда пользователь видит предупреждение, что не стоит предоставлять личные данные этому сайту, потому что они не будут защищены как следует.

Сообщение о подозрительном SSL-сертификате может означать не только то, что владелец домена — забывчивый человек и просто не успел обновить сертификат, но и то, что ресурс действительно вредоносный. Вполне может быть, что хакеры взломали серверы хостинга, на котором расположен сайт, и нелегально собирают данные посетителей для дальнейшего использования в своих интересах. Поэтому, приобретая сертификат у непроверенных компаний, вы тоже рискуете. Самый надёжный метод — заказывать у своего хостера. Например, AdminVPS предоставляет SSL-сертификат Let’s Encrypt бесплатно при аренде виртуального хостинга или VPS/VDS-сервера.

Если проверка безопасности при входе на сайт проходит успешно и нет предупреждения об опасности, значит браузер гарантирует подключение к аутентичному серверу.

Вот как можно проверить, установлен ли на сайте SSL-сертификат.

Нажмите «Подробнее» и узнаете наименование центра сертификации. А если установлен сертификат с наивысшим уровнем доверия — EV или OV SSL, в нём пропишут и название компании, которой его выдали.

Правда, SSL-сертификат говорит только, что эти веб-страницы принадлежат именно указанной компании и что это предприятие официально зарегистрировано. Честная ли это фирма, обманывает ли своих клиентов, платит ли налоги, неизвестно. Это уже не сфера ответственности SSL-сертификата. Здесь поможет только дополнительный поиск информации о компании.

Шифрование SSL-сертификатов происходит с помощью криптографических ключей. После успешной проверки сервер и браузер за сотые доли секунд выполняют сложную процедуру обмена ключами. Потом браузер получает зелёный открытый ключ, чаще всего 2048-битный асимметричный, и вместе с ним сертификат. Асимметричный, потому что расшифровать полученные данные браузер не может, только зашифровать.

Красный дешифровальный ключ находится на сервере и никому не отправляется. Вот и получается, что кто угодно может надёжно зашифровать данные и безопасно передать их на сервер благодаря зелёному ключу, а дешифрованные данные получить не может никто, даже отправитель.

Похожая система шифрования используется для работы с электронной почтой, но тут применяются PGP-ключи. Сервер отправляет браузеру открытый ключ асимметричного шифрования, тот создаёт и шифрует код сеанса. Кто угодно может создать такую пару ключей. После чего вы, например, передаёте открытый ключ кому-либо или даже публикуете на сайте, чтобы любой желающий мог его зашифровать и отправить вам обратно в конфиденциальном порядке. Затем расшифровываете его своим закрытым ключом. Благодаря такому методу шифрования можно передавать необходимые данные в одном направлении.

Гарантии SSL-сертификата не помогут, если на вашем компьютере уже есть вирус или установлено какое-либо шпионское программное обеспечение. Такие программы распознают ваши личные данные ещё до того, как они будут зашифрованы. Поэтому учитывайте, что безопасность хранения файлов на вашем компьютере обеспечивают другие программы, технологии и приложения. А вот от перехвата данных SSL-сертификат защищает вполне надёжно.

Есть, конечно, некоторая вероятность, что кто-то сохранит защищённые данные, передаваемые по Сети, чтобы через десятилетия, благодаря появившейся новой технологии, их расшифровать. Если они будут актуальны спустя такое время.

Многие старые битовые ключи уже открыты. Так что гипотетически, если через 10 лет вами заинтересуется какое-то продвинутое учреждение национальной безопасности, ваше письмо бабушке, написанное в отрочестве из детского лагеря «Зубрёнок», будет без труда прочитано третьими лицами.

«Википедия» утверждает, что 2048-битные ключи, которые мы используем сейчас, будут взломаны где-то в 2030-х годах. Но к тому времени все наверняка перейдут на новый стандарт. А пока все данные вроде паролей и номеров кредитных карт вполне себе безопасно передавать через TLS-протокол.