В утилите sudo, используемой для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2019-18634), которая позволяет повысить свои привилегии в системе. Проблема […]

Выпуск WordPress 5.3 улучшает и расширяет представленный в WordPress 5.0 редактор блоков новым блоком, более интуитивным взаимодействием и улучшенной доступностью. Новые функции в редакторе […]

После девяти месяцев разработки доступен мультимедиа-пакет FFmpeg 4.2, включающий набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами (запись, преобразование и […]

  • Новые функции в Linux Mint 19.2 Cinnamon

    Linux Mint 19.2 является выпуском с долгосрочной поддержкой, который будет поддерживаться до 2023 года. Он поставляется с обновленным программным обеспечением и содержит доработки и множество новых […]

  • Вышел дистрибутив Linux Mint 19.2

    Представлен релиз дистрибутива Linux Mint 19.2, второго обновления ветки Linux Mint 19.x, формируемой на пакетной базе Ubuntu 18.04 LTS и поддерживаемой до 2023 года. Дистрибутив полностью совместим […]

    • Доступны новые сервисные релизы BIND, которые содержат исправления ошибок и улучшения функций. Новые выпуски могут быть скачано со страницы загрузок на сайте разработчика: […]

    Exim — агент передачи сообщений (MTA), разработанный в Кембриджском университете для использования в системах Unix, подключенных к Интернету. Он находится в свободном доступе в соответствии с […]

    После почти двух лет разработки представлен релиз ZFS on Linux 0.8.0, реализации файловой системы ZFS, оформленной в виде модуля для ядра Linux. Работа модуля проверена с ядрами Linux c 2.6.32 по […]

    Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола ACME (Automatic Certificate Management Environment) […]

    Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, подвёл итоги прошедшего года и рассказал о планах на 2019 год. […]

    HTTPS — что за зверь?

    Если вы уже сталкивались с созданием собственного сайта, то наверняка краем уха слышали бессвязный набор фраз «сертификат ssl https что это». В статье мы расскажем, что, как и почему. И эти слова перестанут быть для вас пустым звуком.

    Невероятно, но факт: любое действие в Интернете — это обмен данными. Когда вы открываете любимый сайт, ищете видеоролик на «YouTube» или загружаете картинку в инстаграм, ваш поисковый браузер и сервер обмениваются информацией. Каждый вбитый в поисковую строку запрос проходит путь от вас (пользователя) к серверу и обратно. Такая коммуникация возможна благодаря работе протокола HTTP . Он был изобретён ещё в начале 90-х. Всем HTTP хорош, кроме одного: не шифрует данные. Следовательно, их без труда может перехватить третья сторона, личная информация (пароль, номер банковской карты, реквизиты, паспортные данные) может быть украдена злоумышленниками.

    В современном мире защита данных имеет принципиальное значение. Поэтому внедрили HTTPS, который расшифровывается как протокол безопасного соединения. Принципом работы защищённого протокола HTTPS является обмен ключами шифрования. Прежде чем ответить на запрос от браузера, сервер предъявляет ключ — SSL-сертификат. Браузер проверяет подлинность ключа в Центре сертификации. Если ключ «подошёл», браузер и сервер доверяют друг другу и договариваются о разовом шифре. Так происходит каждую сессию, то есть каждый раз при обмене запросами и ответами. Вот таким хитрым способом и обеспечивается сохранность данных и конфиденциальность при обмене информацией.

    Зачем нужен SSL-сертификат?

    Чтобы сайт стал работать по протоколу безопасного соединения HТТPS, нужен SSL-сертификат. Это виртуальный документ, который содержит данные об организации, её владельце и подтверждает их существование. SSL позволяет узнать сервер и подтвердить безопасность сайта.

    Использование SSL-сертификата гарантирует:

    • Подлинность ресурса, к которому обращается пользователь. Это повышает у посетителей уровень доверия.
    • Целостность передаваемой информации. При транспортировке от сервера к браузеру данные не изменятся и не потеряются.
    • Конфиденциальность . 256-разрядное шифрование исключает доступ злоумышленников к информации.

    Что дает SSL-сертификат для сайта кроме защиты данных? Он также помогает в SEO-продвижении проекта — позволяет занять более высокую позицию в поисковой выдаче. Поисковые системы (Google, Яндекс и пр.) дорожат доверием аудитории и выше ранжируют сайты, которые работают через безопасное соединение.

    HTTP или HTTPS? Вот в чём вопрос!

    Защита сайта протоколом HTTPS уже давно не просто признак хорошего тона, а необходимость. Несмотря на то, что некоторые сайты ещё работают по HTTP-соединению, очень скоро HTTPS станет обязательным требованием «экологии» Интернета.

    Решать, конечно, вам. Но имейте в виду, что с июля 2018 года Google считает небезопасным каждый веб-сайт, не использующий протокол HTTPS. Также WordPress и другие популярные CMS заявили, что некоторые функции теперь будут доступны только для веб-сайтов с протоколом HTTPS.

    У меня до сих пор HTTP, что делать?

    Если ваш сайт обслуживается на хостинге сайт, достаточно заказать SSL-сертификат и перейти с HTTP протокола на HTTPS. Полный цикл:

    Готово. Теперь ваш сайт будет работать по HTTPS.

    Все сайты по умолчанию используют протокол HTTP для получения и передачи информации. Он применяется для отображения HTML-страниц, тех самых, что видит каждый пользователь, заходя по адресу сайта. Особенность HTTP в том, что он не хранит никакой информации о том, был ли посетитель на сайте раньше или нет. Это ускоряет загрузку сайта, но при этом нет практически никакой безопасности. В результате появился протокол HTTPS — (Secure HyperText Transfer Protocol).

    «Безопасный HTTP» специально разработали для обмена конфиденциальной информацией — паролями, персональными данными, банковскими реквизитами. Такие данные необходимо передавать по безопасному каналу, чтобы третьи лица не могли перехватить их или взломать сайт.

    Поскольку HTTP и HTTPS очень схожи между собой, пользователь разницу не чувствует. Но HTTPS обладает дополнительным уровнем защиты, используя специальный протокол для шифрования данных — SSL. HTTPS отвечает за то, чтобы данные были переданы в полном объеме, без потерь. SSL-протокол обрабатывает передаваемую информацию и шифрует ее от злоумышленников. Действуя «сообща», HTTPS и SSL надежно защищают данные от взлома и утечки. Google фиксирует это важное отличие от HTTP и проверяет его при отображении сайта в поиске.

    Если сайт не защищен SSL-сертификатом, то в строке браузера Google Chrome, рядом с адресом появится отметка «Не защищено». Она предупреждает пользователя, что небезопасно оплачивать услуги на сайте, отправлять персональные данные через формы и даже ставить лайки и делать репосты в соцсетях.

    Что хочет Google?

    Google заботится о своих пользователях и хочет, чтобы сайты, по которым попадает клиент из поиска, были надежно защищены и безопасны для использования. Для этого поисковик запрашивает у сайта специальный SSL-сертификат. Получить его можно, обратившись в специальные организации, которые выступают в качестве доверительной стороны между клиентом и сайтом. Наличие сертификата серьезно влияет на выдачу сайта в поиске и получить его нужно даже если компания не занимается обработкой персональных данных пользователей.

    Если сайт не защищен SSL-сертификатом, то постепенно он начнет терять свои позиции в поиске Google. Отсутствие HTTPS-протокола говорит пользователям и поисковику, что безопасность данных будет под угрозой, а значит, отображать сайт на первых страницах результатов поиска и переходить на него нельзя. Кроме этого, в строке браузера Google Chrome, рядом с адресом появится отметка «Не защищено». Она предупредит пользователя, что небезопасно оплачивать услуги на сайте, отправлять персональные данные через формы и даже ставить лайки и делать репосты в соцсетях.

    Каким типам сайтов нужен SSL?

    • интернет-магазинам;
    • сайтам с личным кабинетом;
    • сайтам, где есть формы связи, собирающие контакты и т.п;
    • а если коротко — всем.

    Как отсутствие SSL-сертификата повлияет на сайт?

    Очень негативно. Фактически, сертификат сайта — его «паспорт» в интернете. Может ли гражданин полноценно существовать без паспорта?

    • Google будет серьезно понижать сайты без SSL-сертификата в своей поисковой выдаче. Каким бы крупным не был сайт, отсутствие безопасной связи с посетителями считается поисковым гигантом серьезным недочетом, из-за которого продвигать сайт в ТОПе нельзя. Он уйдет с первых страниц поиска.
    • Ваша компания будет считаться ненадежной. Надпись «Не защищено» заставит потенциальных клиентов с подозрением относиться к вашему бизнесу или проекту и негативно воспринимать просьбу отправить персональные данные через формы обратной связи.
    • Все крупные и популярные сервисы отказываются работать с сайтами без HTTPS, к примеру, Яндекс Касса.
    • Сайт будет выглядеть подозрительно . Отсутствие защищенного канала для передачи данных не дает гарантии, что сообщение не изменилось в процессе доставки, пользователь настоящий, а общение клиента с менеджером конфиденциально.
    • Принесет репутационные потери — небезопасный сайт пользователи оценят как недействительный, а компанию — фиктивной или ненадежной. SSL-сертификат подтверждает, что бизнес легальный, компания действительно существует и корректно взаимодействует с клиентами.

    Что делать?

    Установить SSL-сертификат.

    Клиентам компании WebCanape доступна услуга установка SSL-сертификатов, с помощью которых сохранится репутация компании и сайта.

    При заказе нового сайта, оплате доменного имени и хостинга через WebCanape — установка и обслуживание SSL-сертификата в течение первого года — бесплатно.

    Как это работает?

    SSL-сертификат — специальный протокол связи, проверяющий подлинность и шифрующий данные между пользователем и веб-сайтом. Злоумышленники не взломают и не украдут персональную информацию, платежные сведения и другие данные — расшифровать информацию можно только с помощью специального генерируемого ключа, уникального для каждого пользователя.

    Существует три типа сертификатов: «начальный», «бизнес» и «расширенного уровня». Какие они?

    • DV-сертификаты (DomainSSL) — доступны частным лицам и организациям, подтверждает права на доменное имя. Самые простые и дешевые.
    • OV-сертификаты (OrganizationSSL) — подтверждают существование доменного имени и компании, владеющей сайтом.
    • EV-сертификаты (ExtendedSSL) — самый престижный тип сертификатов, вызывающий максимальное доверие пользователей. Адресная строка при открытии сайта с таким сертификатом становится зеленой, подписывается название магазина или организации. Это выделяет компанию на фоне конкурентов, не оставляя тени сомнения в надежности бизнеса.

    Обратите внимание на дополнительные опции SSL-сертификатов

    Кроме сертификата, есть «печать доверия» или «логотип доверия». Это изображение с логотипом центра сертификации, демонстрирующее факт проверки сайта. Ее ставят вместе с сертификатом, чтобы продемонстрировать, что сайт был проверен и надежно защищен. Существует два вида:

    • Статическая печать. Для недорогих сертификатов, отображает информацию сертификационного центра. По клику на картинку открывается сайт центра, где компания проходила проверку.
    • Динамическая печать . При наведении открывает окошко с подробностями о компании и SSL-сертификате.

    Некоторые сертификаты не просто защищают домен сайта. К примеру:

    • WC (WildCard) — защищает домен и поддомены, вплоть до третьего уровня (smolensk.shop.test.ru);
    • MD (Multidomain, SAN) — защищает до 100 доменов (shop.ru, domain.ru, smolensk.ru);
    • IDN (Internationalized Domain Name) — для корректной защиты национальных доменов, в том числе, кириллических адресов (тест.рф);
    • SGC (Server Gated Cryptography) — помогает повысить безопасность клиентов, использующих старые браузеры. Это особенно важно, к примеру, для сайтов госструктур.

    С первого взгляда выглядит сложно, поэтому расскажем подробнее, что купить, чтобы все было хорошо.

    Алгоритм выбора SSL-сертификата для сайта

    Шаг 1. Определите особенности сайта

    • Если 1 латинский домен и поддомен www, то выбирайте практически любой сертификат
    • Если нужна защита поддоменов, то выбирайте сертификат с пометкой Wildcard
    • Если у вас много сайтов и хотите защитить всех одним сертификатом, то правильным выбором станут SAN или Multi-Domain сертификаты
    • Если у вас кириллистический домен, то берите IDN-сертификат
    • В случае кириллического домена с поддоменами — Wildcard+IDN

    Шаг 2. Домен оформлен на физическое или юридическое лицо?

    • Домен оформлен на физлицо — можно покупать только DV-сертификат (начального уровня)
    • Домен оформлен на юридическое лицо — покупайте любой сертификат

    Шаг 3. Насколько крупный сайт?

    • Если проект небольшой, а сайт информационный, нужно дешево и просто — выбирайте DV-сертификат, подойдет и для поисковиков, и для безопасного соединения
    • В случае интернет-магазина государственного учреждения или корпоративного сайта организации , желательно выбрать SSL-сертификат бизнес-уровня. Он выделит вас среди конкурентов, обезопасит сделки с клиентами и надежно защитит данные
    • Крупный интернет-магазин, финансовые организации, корпоративные порталы и десятки конкурентов на рынке? Необходим расширенный SSL-сертификат

    Доступные для покупки сертификаты в WebCanape

    1. GlobalSign AlphaSSL . Выдается очень быстро, доступен физлицам и организациям, защищает поддомены, но не поддерживает кириллические адреса. Совместим со всеми браузерами и мобильными устройствами, имеет бесплатный значок AlphaSSL. Без технической поддержки. Отличный базовый вариант для простых проектов.
    2. GlobalSign DomainSSL . Очень популярный в Интернете SSL-сертификат, подтверждающий права на домен. Кроме тех параметров, что уже перечислены в AplhaSSL, содержит имя домена, значок аутентичности, его установка возможна на бесконечное число серверов.
    3. GlobalSign OrganizationSSL . Доступен только юридическим лицам, поддерживает кириллические адреса и подтверждает как домен, так и легальность компании. Название организации отображается на значке и в сертификате.
    4. GlobalSign ExtendedSSL. Высочайший класс защиты. При заходе на сайт адресная строка подсвечивается зеленым, отображается название организации. Серьезно повышает доверие клиентов и посетителей сайта, что как следствие — повысит продажи товаров и услуг. Оформляется только на юридическое лицо.
    5. Comodo PositiveSSL . Один из самых дешевых SSL-сертификатов на рынке, не требует документов о владении доменом, логотип безопасности бесплатен. Поддерживает кириллицу. Подходит только для базовых проектов.
    6. Comodo EssentialSSL. Практически полный аналог Comodo PositiveSSL с длинным ключом шифрования (до 2048 бит) и печатью сертификации Comodo. Подходит только для базовых проектов.

    На начальном этапе мы рекомендуем установить сертификат GlobalSign DomainSSL от Reg.ru. Если вы клиент нашего хостинга и покупали доменное имя через WebCanape, то сертификат дается на первый год в подарок, далее его продление будет стоить около 2500 руб. в год. Плюс переустановка на хостинг — 3000 руб. Однако этот сертификат не работает с кириллическими доменами и не защищает домены третьего уровня.

    Secure Sockets Layer (SSL) является одним из самых распространенных протоколов безопасности, используемых в Интернете сегодня. Большинство веб-разработчиков слышали этот термин ранее, и знают смысл «значка замка» и «зеленой адресной строки». Сегодня мы обсудим основные моменты в работе SSL и возможные варианты защиты вашего сайта.

    Как работает SSL шифрование?

    SSL позволяет шифровать данные, как правило, конфиденциальную информацию (например номера кредитных карт), отправляемую браузером пользователя на ваш сервер. Необходимость в шифровании очевидна, поскольку обычно данные передаются в незашифрованном виде с компьютера на компьютер, пока не достигнут конечной цели. С любого компьютера, через который проходит поток информации, можно просмотреть данные. Если хакер сможет прослушивать информацию, которая передается от браузера клиента к серверу, ему не составит труда украсть секретную информацию.

    Отправка конфиденциальной информации без использования SSL равносильна тому, если бы вы записали ее на любом клочке бумаги и дали скопировать всем подряд.

    Браузер и сервер, устанавливая SSL соединение, используют довольно сложный процесс, называемый «криптография открытого ключа» и много математики. По сути, две части данных используются для создания SSL соединения: открытый ключ и секретный ключ. Все, что шифруется с помощью открытого ключа пользователя, может быть расшифровано только при помощи секретного ключа и наоборот.

    Например, если Петя посылает Васе сообщение, зашифрованное с помощью открытого ключа Васи, то только Вася сможет открыть его, используя секретный ключ.

    Если Вася посылает сообщение Пети, зашифрованное секретным ключем Пети, то кто угодно может прочитать его, так как любой имеет доступ к Петиному открытому ключу. Так же, если вам удалось открыть сообщение, вы знаете, что именно Петя прислал его, потому что только он имеет доступ к своему секретному ключу.

    Поскольку шифрование и дешифрование с помощью открытого и секретного ключа использует много процессинговой энергии, оно используется только при первом создании SSL соединения для получения так называемого симетрического ключа. Симетрический ключ используют далее для шифрования данных веб-страницы.

    Это упрощенная схема процесса создания SSL соединения:

    Что такое SSL сертификат?

    Почти все интернет-программы, включая браузеры, серверы, почтовые и VPN-клиенты и т.д. поддерживают SSL шифрование. Однако они требуют сертификат до того, как SSL становится доступен. Происходит это потому, что сертификат содержит открытый ключ, который идентифицирует сервер. Сертификат так же включает «содержание». Оно содержит личность владельца сертификата (название компании и местонахождение).

    Самая важная часть сертификата – цифровая подпись доверительного поставщика. Почему именно так? Любой человек может создать свой сертификат в считанные секунды. Но это так же, как если бы вы самостоятельно сделали себе водительские права, но они ведь не служили бы залогом доверия. Ведь когда вы хотите получить права, вы идете в гос. орган, потому что знаете, что государство не выдаст вам фальшивые права. Ваш браузер имеет список организаций, которые называются Центрами сертификации (СА), в надежности которых вы можете быть уверенны. Это означает, что если один из таких центров сертификации выдаст SSL сертификат вашей организации, сертификату будут доверять все компьютеры мира, так как СА внесен в списки браузеров по умолчанию. Это так же создает огромные трудности хакерам для создания фишинг-сайтов, поскольку СА не будет подтверждать наличие сертификата на таком сайте.

    Использование SSL сертификата от доверенного поставщика позволяет пройти проверку, завоевать доверие посетителей и защитить ваш сайт от фишинга.

    Когда мне нужно использовать SSL?

    Не все коммуникации требуют шифрования, но вы должны всерьез рассмотреть возможность использования SSL в следующих случаях:

    • Шифрование необходимо для любых страниц вашего сайта, где передается финансовая информация или данные кредитных карт;
    • Шифрование необходимо для любых страниц вашего сайта, где передается другая личная или конфиденциальная информация (например медицинская информация или номер страхового полиса);
    • Шифрование необходимо, когда доступен пользовательский вход на сайт;
    • Шифрование необзодимо для почтового сервера, чтобы вы могли пересылать важную информацию сохранно.

    Разные типы SSL сертификатов

    Существует много разновидностей SSL сертификатов.

    Domain Validated Certificates

    Данные сертификаты выдаются с минимальной проверкой (как правило, автоматически). Вам надо доказать лишь что вы являетесь владельцем домена отвечая на письмо или звонок с использованием информации из Whois. Это делает сертификаты более дешевыми, но менее доверительными для пользователей.

    Extended Validation Certificates

    EV SSL сертификаты относительно новы, обеспечивают самую высокую степень защиты, потому что перед выпуском данного сертификата проводится детальная проверка. Такие сертификаты дороже других, но они обеспечивают «зеленую адресную строку» в большинстве браузеров.

    Wildcard Certificates

    Большинство SSL сертификатов будут защищать лишь одно конкретное доменное имя. Например, если ваш сертификат выдан для secure.mydomain.com, а вы попытаетесь использовать его на www.mydomain.com, браузер будет выдавать предупреждение, что имя домена не соответствует имени, прописанному в сертификате. Это необходимо для предотвращения фишинга. Тем не менее, Wildcard сертификат будет защищать все поддомены одного домена. Например, сертификат для *.mydomain.com, будет защищать secure.mydomain.com, www.mydomain.com, mail.mydomain.com и т.д.

    SAN Certificates

    SAN сертификаты так же позволяют защитить несколько доменных имен, но не неограниченное количество. Каждое имя прописывается в поле сертификата Subject Alternative Name. Имена могут быть внутренними и включать несколько разных доменов.

    Code Signing Certificates

    Сертификаты отличаются от других SSL сертификатов. Они позволяют подписать приложение чтобы пользователи смогли проверить, что приложение действительно принадлежит организации, которая его выпустила и не является поддельным.

    Self Signed Certificates

    Самоподписанные сертификаты можно создать бесплатно самостоятельно, но пользователи будет видеть предупреждение, что сертификат не является доверенным.

    SSL полностью защищает мой сайт?

    Нет. Важно помнить, что использование SSL сертификата является лишь частью обеспечения защиты вашего сайта. Необходимо убедиться, что вы приняли и другие меры для защиты вашего сайта.

    Как я могу получить SSL сертификат?

    Процесс заказа SSL сертификата выглядит приблизительно так:

    • Обновление записей в Whois.
    • Создание CSR запроса на вашем сервере.
    • Поиск необходимого SSL сертификата и поставщика.
    • Передача CSR запроса и другой необходимой информации для проверки вашего домена и организации.
    • Установка выданного сертификата.

    Добрый день, уважаемые подписчики, уверен, что в подавляющем большинстве вы слышали такие слова как сертификат безопасности или шифрования, либо SSL сертификат, и я уверен, что большинство из вас даже знает их назначение., если нет, то я вам об этом очень подробно расскажу на личных примерах, все как полагается, после этого вы уже будите более тонко понимать все рубежи безопасности, которые предоставляют нам SSL сертификаты, без них сейчас уже не возможно представить современный IT мир, с его банковскими переводами, электронной почтой smime или интернет магазинами.

    Что такое SSL и TLS

    Secure Socket Layer или ssl это, технология, призванная сделать доступ к сайтам более надежным и безопасным. Сертификат шифрования позволяет, надежно защитить трафик, передаваемый между браузером пользователя и веб ресурсом (сервером), к которому браузер обращается, все это происходит за счет протокола https. Сделано, это все после того, как бурное развитие интернета привело к огромному количеству сайтов и ресурсов, которые требуют от пользователя ввод личных, персональных данных:

    • Пароли
    • Номера кредитных карт
    • Переписка

    Именно эти данные и являются добычей для хакеров, сколько уже было громких дел, с кражей персональной информации и сколько еще будет, ssl сертификат шифрования, призван это минимизировать. Разработкой технологии SSL выступила компания Netscape Communications, позднее она представила Transport Layer Security или проще TLS, это протокол основанный по спецификации SSL 3.0. И Secure Socket Layer и Transport Layer Security призваны обеспечить передачу данных между двумя узлами по интернету.

    SSL и TLS не имеют принципиальных различий в своей работе, могут даже быть использованы на одном сервере одновременно, делается это исключительно из соображений обеспечения работы новых устройств и браузеров, так и устаревших, где Transport Layer Security не поддерживается.

    Если рассматривать современный интернет, то там в качестве сертификата безопасности сервера и шифрования используется TLS, просто знайте это

    Для примера откройте сайт Яндекса, я это делаю в Google Chrome, там на против адресной строки есть значок замка, щелкаем по нему. Тут будет написано, что подключение к веб-сайту защищено и можно нажать подробнее.

    сразу видим значок Secure TLS connection, как я и говорил, большая часть интернет ресурсов именно на этой технологии. Давайте посмотрим сам сертификат, для этого жмем View certificate.

    В поле о сведениях о сертификате видим его предназначение:

    1. Обеспечивает получение идентификации от удаленного компьютера
    2. Подтверждает удаленному компьютеру идентификацию вашего компьютера
    3. 1.2.616.1.113527.2.5.1.10.2

    Всегда нужно знать историю, как сертификат шифрования эволюционировал и какие у него выходили версии. Так как зная это и принцип работы, будет проще искать решение проблем.

    • SSL 1.0 > данная версия в народ так и не попала, причины, возможно нашли его уязвимость
    • SSL 2.0 > эта версия ssl сертификата была представлена в 1995 году, на стыке тысячелетий, она так же была с кучей дыр безопасности, сподвигнувшие компанию Netscape Communications к работе над третье версией сертификата шифрования
    • SSL 3.0 > пришел на смену SSL 2.0 в 1996 году. Стало это чудо развиваться и в 1999 году крупные компании Master Card и Visa купили коммерческую лицензию на его использование. Из 3.0 версии появился TLS 1.0
    • TLS 1.0 > 99 год, выходит обновление SSL 3.0 под названием TLS 1.0, проходит еще семь лет, интернет развивается и хакеры не стоят на месте, выходит следующая версия.
    • TLS 1.1 > 04.2006 это его отправная точка, было исправлено несколько критичных ошибок обработки, а так же появилась защита от атак, где делался режим сцепления блоков шифротекста
    • TLS 1.2 > появился в августе 2008
    • TLS 1.3 > появится в конце 2016 года

    Принцип работы TLS и SSL

    Давайте разбираться как работает протоколы SSL и TLS. Начнем с основ, все сетевые устройства имеют четко прописанный алгоритм общения друг с другом, называется он OSI, который порезан на 7 уровней. В ней есть транспортный уровень отвечающий за доставку данных, но так как модель OSI это некая утопия, то сейчас все работаю по упрощенной модели TCP/IP, из 4 уровней. Стек TCP/IP, сейчас стандарт передачи данных в компьютерных сетях и он включает в себя, большое количество известных вам протоколов прикладного уровня:

    Список можно продолжать очень долго, так их более 200 наименований. Ниже представлена схема сетевых уровней.

    Ну и схема стека SSL/TLS, для наглядности.

    Теперь все тоже самое простым языком, так как не всем понятны эти схемы и принцип работы ssl и tls не понятен. Когда вы открываете например мой блог сайт, то вы обращаетесь по прикладному протоколу http, при обращении сервер видит вас и передает на ваш компьютер данные. Если это представить схематично, то это будет простая матрешка, прикладной протокол http, кладется в стек tcp-ip.

    Если бы на сайт стоял бы сертификат шифрования TLS, то матрешка протоколов была бы посложнее и выглядела бы вот так. Тут прикладной протокол http, кладется в SSL/TLS, который в свою очередь кладется в стек TCP/IP. Все тоже самое, но уже зашифровано, и если хакер перехватит эти данные по пути их передачи, то получит всего навсего цифровой мусор, а вот расшифровать данные может только та машина, которая устанавливала соединение с сайтом.

    Этапы установки соединения SSL/TLS


    Вот еще одна красивая и наглядная схема создания защищенного канала.

    Установка соединения SSL/TLS на уровне сетевых пакетов

    На иллюстрации, черные стрелки показывают сообщения, которые отправляются открытым текстом, синие - это сообщения, подписанные открытым ключом, а зеленые - это сообщения, отправленные с помощью шифрования объёмных данных и того MAC, о которых стороны договорились в процессе переговоров.

    Ну и подробно про каждый этап обмена сетевых сообщений протоколов SSL/TLS.

    • 1. ClientHello > пакет ClientHello делает предложение со списком поддерживаемых версий протоколов, поддерживаемые наборы шифров в порядке предпочтения и список алгоритмов сжатия (обычно NULL). Еще от клиента приходит случайное значение 32 байта, его содержимое указывает отметку текущего времени, его позже будут использовать для симметричного ключа и идентификатора сессии, который будет иметь значение ноль, при условии, что не было предыдущих сессий.
    • 2. ServerHello > пакет ServerHello, отсылается сервером, в данном сообщении идет выбранный вариант, алгоритма шифрования и сжатия. Тут так же будет случайное значение 32 байта (отметка текущего времени), его также используют для симметричных ключей. Если ID текущей сессии в ServerHello имеет значение ноль, то создаст и вернёт идентификатор сессии. Если в сообщении ClientHello был предложен идентификатор предыдущей сессии, известный данному серверу, то протокол рукопожатия будет проведён по упрощённой схеме. Если клиент предложил неизвестный серверу идентификатор сессии, сервер возвращает новый идентификатор сессии и протокол рукопожатия проводится по полной схеме.
    • 3.Certificate (3) > в данном пакете сервер отправляет клиенту свой открытый ключ (сертификат X.509), он совпадает с алгоритмом обмена ключами в выбранном наборе шифров. Вообще можно сказать в протоколе, запроси открытый ключ в DNS, запись типа KEY/TLSA RR. Как я писал выше этим ключом будет шифроваться сообщение.
    • 4. ServerHelloDone > Сервер говорит, что сессия установилось нормально.
    • 5. ClientKeyExchange > Следующим шагом идет отсылка клиентом ключа pre-master key, используя случайные числа (или отметки текущего времени) сервера и клиента. Данный ключ (pre-master key) как раз и шифруется открытым ключом сервера. Данное сообщение может расшифровать только сервер, с помощью закрытого ключа. Теперь оба участника вычисляют общий секретный ключ master key из ключа pre-master.
    • 6. ChangeCipherSpec - клиент > смысл пакета, указать на то, что теперь весь трафик, который идет от клиента, будет шифроваться, с помощью выбранного алгоритма шифрования объёмных данных и будет содержать MAC, вычисленный по выбранному алгоритму.
    • 7. Finished - клиент > Это сообщение содержит все сообщения, отправленные и полученные во время протокола рукопожатия, за исключением сообщения Finished. Оно шифруется с помощью алгоритма шифрования объемных данных и хэшируется с помощью алгоритма MAC, о которых договорились стороны. Если сервер может расшифровать и верифицировать это сообщение (содержащее все предыдущие сообщения), используя независимо вычисленный им сеансовый ключ, значит диалог был успешным. Если же нет, на этом месте сервер прерывает сессию и отправляет сообщение Alert с некоторой (возможно, неконкретной) информацией об ошибке
    • 8. ChangeCipherSpec - сервер > пакет, говорит, что теперь весь исходящий трафик с данного сервера, будет шифроваться.
    • 9.Finished - сервер >Это сообщение содержит все сообщения, отправленные и полученные во время протокола рукопожатия, за исключением сообщения Finished
    • 10. Record Protocol (протокол записи) > теперь все сообщения шифруются ssl сертификатом безопасности

    Как получить ssl сертификат безопасности

    Давайте теперь поймем где взять сертификат шифрования, или как получить ssl сертификат безопасности. Способов конечно несколько, есть как платные, так и бесплатные.

    Бесплатный способ получить tls сертификат безопасности

    Этот способ, подразумевает использование самоподписного сертификата (self-signed), его можно сгенерировать на любом веб-сервере с ролью IIS или Apache. Если рассматривать современные хостинги, то в панелях управления, таких как:

    • Directadmin
    • ISPmanager
    • Cpanel

    там это штатный функционал. Самый большой плюс в самоподписных сертификатах шифрования, это то, что они бесплатные и начинаются, сплошные минусы, так как никто кроме вас не доверяет этому сертификату, вы наверняка видели в браузерах вот такую картину, где сайт ругается на сертификат безопасности.

    Если у вас самоподписный сертификат, используется исключительно для внутренних целей, то это нормально, а вот для публичных проектов, это будет огромный минус, так как ему никто не доверяет и вы лишитесь большого числа клиентов или пользователей, которые у видя ошибку сертификата безопасности в браузере, сразу его закроют.

    Давайте смотреть как можно получить ssl сертификат безопасности, для этого формируется запрос на выпуск сертификата, называется он CSR запрос (Certificate Signing Request). Делается это чаще всего у специальной компании в веб форме, которая спросит вас несколько вопросов, про ваш домен и вашу компанию. Как только вы все внесете, сервер сделает два ключа, приватный (закрытый) и публичный (открытый). Напоминаю открытый ключ не является конфиденциальным, поэтому вставляется в CSR запрос. Вот пример Certificate Signing Request запроса.

    Все эти не понятные данные легко можно интерпретировать специальными CSR Decoder сайтами.

    Примеры двух сайтов CSR Decoder:

    • http://www.sslshopper.com/csr-decoder.html
    • http://certlogik.com/decoder/

    Состав CSR запроса

    • Common Name: доменное имя, которое мы защищаем таким сертификатом
    • Organization: название организации
    • Organization Unit: подразделение организации
    • Locality: город, где находится офис организации
    • State: область или штат
    • Country:двухбуквенный код, страны офиса
    • Email: контактный email технического администратора или службы поддержки

    Как только Certificate Signing Request сгенерирован, можно начинать оформлять заявку на выпуск сертификата шифрования. Центр сертификации будет производить проверку, всех данных указанных вами в CSR запросе, и если все хорошо, вы получите свой ssl сертификат безопасности и вы его сможете использовать для https. Теперь ваш сервер, автоматом сопоставит выпущенный сертификат, со сгенерированным приватным ключом, все вы можете шифровать трафик подключения клиента к серверу.

    Что такое центр сертификации

    Что такое CA - Certification Authority или центр сертификации, читайте по ссылке слева, я подробно рассказал об этом там.

    Какие данные содержит в себе SSL сертификат

    В сертификате хранится следующая информация:

    • полное (уникальное) имя владельца сертификата
    • открытый ключ владельца
    • дата выдачи ssl сертификата
    • дата окончания сертификата
    • полное (уникальное) имя центра сертификации
    • цифровая подпись издателя

    Какие существуют виды SSL сертификатов шифрования

    Основных видов сертификатов безопасности три:

    • Domain Validation - DV > Это сертификат шифрования, который только подтверждает доменное имя ресурса
    • Organization Validation - OV > Это сертификат шифрования, который подтверждает организацию и домен
    • Extendet Validation - EV > Это сертификат шифрования, который имеет расширенную проверку

    Назначение Domain Validation - DV

    И так сертификаты шифрования, подтверждающие только домен ресурса, это самые распространенные в сети сертификаты, их делают всех быстрее, автоматически. Когда вам нужно проверить такой сертификат безопасности, отправляется email с гиперссылкой, кликая по которой подтверждается выпуск серта. Хочу отметить, что письмо вам отправят, только не подтвержденный email (approver email), указанный при заказе сертификата шифрования.

    approver email так же имеет требования, логично, что если вы заказываете сертификаты шифрования для домена, то и электронный ящик должен быть из него, а не mail или rambler, либо он должен быть указан в whois домена и еще одно требование название approver email, должно быть по такому шаблону:

    • webmaster@ваш домен
    • postmaster@ваш домен
    • hostmaster@ваш домен
    • administrator@ваш домен
    • admin@

    Я обычно беру ящик postmaster@ваш домен

    Сертификат tls-ssl подтверждающие доменное имя выпускаются, когда CA произвел валидацию того, что заказчик обладает правами на доменное имя, все остальное, что касается организации в сертификате не отображается.

    Назначение Organization Validation - OV

    Сертификаты шифрования tls-ssl, будет содержать название вашей организации, его получить частное лицо просто не сможет, его культурно пошлют регистрировать ИП. Делается он от 3 до десяти рабочих дней, все зависит от центра сертификации, который его будет выпускать.

    Назначение Extendet Validation - EV

    И так, вы направили CSR запрос на выпуск сертификата шифрования для вашей организации, CA начинает проверять, реально ли ИП рога и копыта существуют, как в CSR и принадлежит ли ей домен указанный в заказе.

    • Могут посмотреть есть ли организация международных желтых страницах, кто не знает, что это такое, то это телефонные справочники в Америке. Проверяют так не все CA.
    • Смотрят whois домена у вашей организации, делают это все центры сертификации, если в whois нет ни слова о вашей организации, то с вас будут требовать гарантийное письмо, что домен ваш.
    • Свидетельство о государственной регистрации ЕГРИП или ЕГРЮЛ
    • Могут проверить ваш номер телефона, запросив счет у вашей телефонной компании, в котором будет фигурировать номер.
    • Могут позвонить и проверить наличие компании по этому номеру, попросят к телефону человека указанного администратором в заказе, так что смотрите, чтобы человек знал английский.

    Сам сертификат шифрования extendet Validation - EV, самый дорогой и получается всех сложнее, у них кстати есть green bar, вы его точно видели, это когда на сайте в адресной строке посетитель видит зеленую стоку с названием организации. Вот пример клиент банка от сбербанка.

    К расширенным сертификатам шифрования (extendet Validation - EV) самое большое доверие, это и логично вы сразу видите, что компания существует и прошла жесткие требования к выдаче сертификата. SSL cертификаты extendet Validatio делаются CA, только при выполнении двух требований, что организация владеет нужным доменом и, что она сама существует в природе. При выпуске EV SSL сертификатов, существует строгий регламент, в котором описаны требования перед выпуском EV сертификата

    • Должен проверить правовую, физическую и операционную деятельности субъекта
    • Проверка организации и ее документов
    • Право владения доменом, организации
    • Проверить, что организация полностью авторизована для выпуска EV сертификата

    SSL cертификаты extendet Validatio выпускаются примерно от 10-14 дней, подходят как для некоммерческих организаций, так и для государственных учреждений.

    Типы SSL сертификатов шифрования

    Следующим важным вопросом, будет какие типы SSL - TLS сертификатов шифрования существуют, и их отличия и стоимость.

    • Обычные SSL сертификаты > это самые распространенные сертификаты, делаются автоматически, для подтверждения только домена. Стоят в среднем 18-22 доллара.
    • SGC сертификаты > это SSL - TLS сертификаты с поддержкой, более высокого уровня шифрования. Они в основном идут для старперных браузеров, у которых есть поддержка только 40-56 битное шифрование. SGC принудительно повышает уровень шифрования, до 128 бит, что в несколько раз выше. Так как XP доживает свои последние годы, скоро SGC сертификаты шифрования не будут нужны. Стоит это чудо около 300-ста баксов за год.
    • Wildcard сертификаты > Требуются, для субдоменов вашего основного домена. Простой пример мой блог сайт, если я покупаю Wildcard, то имею возможно его вешать на все домены 4 уровня у себя, *.сайт. Стоимость Wildcard сертификатов шифрования варьируется от количества поддоменов, от 190 баксов.
    • SAN сертификаты > Допустим у вас есть один сервер, но на нем хостятся много разных доменов, вот SAN сертификат можно повесить на сервер и все домены будут использовать его, стоит от 400 баксов в год.
    • EV сертификаты > про расширенные мы уже все обсудили выше, стоят от 250 баксов в год.
    • Сертификаты c поддержкой IDN доменов

    список сертификатов, у которых есть такая поддержка, IDN доменов:

    • Thawte SSL123 Certificate
    • Thawte SSL Web Server
    • Symantec Secure Site
    • Thawte SGC SuperCerts
    • Thawte SSL Web Server Wildcard
    • Thawte SSL Web Server with EV
    • Symantec Secure Site Pro
    • Symantec Secure Site with EV
    • Symantec Secure Site Pro with EV

    Полезные утилиты:

    1. OpenSSL - самая распространенная утилита для генерации открытого ключа (запроса на сертификат) и закрытого ключа.
      http://www.openssl.org/
    2. CSR Decoder - утилита для проверки CSR и данных, которые в нем содержаться, рекомендую использовать перед заказом сертификата.
      http://www.sslshopper.com/csr-decoder.html или http://certlogik.com/decoder/
    3. DigiCert Certificate Tester - утилита для проверки корректно самого сертификата
      http://www.digicert.com/help/?rid=011592
      http://www.sslshopper.com/ssl-checker.html

    В будущих статьях, мы еще сами по настраиваем CA и будем на практике использовать SSL/TLS сертификаты шифрования.