Стремительное развитие интернет-технологий привело к росту необходимости защиты информации от утечки, несанкционированного доступа и перехвата вводимых данных злоумышленниками. Одним из средств решения проблемы стало использование защищенного SSL-сертификата. Он обеспечивает защиту подключения между двумя точками, а сложность шифрования предотвращает декодирование передаваемых данных третьей стороной.

Что такое протокол SSL?

В 1996 году компания Netscape, занимающаяся разработкой ПО для Интернета, предложила собственное решение для защиты обмена данными между клиентом и сервером – протокол SSL (Secure Socket Layer). Возможности технологии оценили во всем мире, после чего началось его повсеместное использование. Протокол SSL интегрирован во все современные браузеры и WEB-серверы.

Несмотря на модернизацию протокола защиты сокетов, в 2014 году была официально признана уязвимость шифрования. На смену привычного всем протокола SSL пришла технология TLS, но создаваемое безопасное соединение по-прежнему чаще называют SSL.

Особенность защищенного протокола

Протокол разработан для контроля целостности и защиты передачи данных. Решение предназначено для обеспечения безопасности обмена информацией между приложениями, использующими для передачи TCP/IP.

Чтобы обезопасить подключение, протокол SSL использует:

• одно- или двустороннюю SSL-аутентификацию – асимметричное шифрование;
• защиту конфиденциальности – симметричное шифрование;
• контроль целостности – проверка цифровой подписи.

Удобство SSL системы в том, что в рамках одного сертификата используется одновременно несколько различных криптографических механизмов, что повышает степень защиты подключения.

Какие криптографические методы применяются

Чтобы обеспечить безопасное соединение, протокол SSL использует 2 метода шифрования:

• симметричный;
• асимметричный.

Каждый из методов предполагает использование различных криптографических систем, увеличивая надежность соединения от вмешательства злоумышленников. На взлом кода без ключа потребуется несколько недель или даже лет.

Симметричное шифрование

В симметричном шифровании применяется единый ключ для кодирования и декодирования, который используют клиент и сервер. Преимущество этого метода в высокой скорости обработки. Это рациональное решение в ситуациях, когда необходимо обработать большой объем информации.

Первый симметричный алгоритм разработан в IBM – Data Encryption Standard или DES. Шифрование представляло собой блочный шифр с длиной ключа 56 бит, размером блока – 64 и состояло из 16 циклов. Эволюцией метода DES стал 3DES, в котором в 3 раза увеличились размер ключа и количество циклов. На смену блочному шифру пришел потоковый RC4, разработанный на основе алгоритма RC2, использующего переменную длину ключа. Все эти методы являются устаревшими и не могут самостоятельно обеспечить требуемый уровень защиты.

В 2002 году был утвержден стандарт шифрования – Advanced Encryption Standard (AES). Помимо улучшенной защиты, алгоритм работает в 6 раз быстрее. Система имеет 10, 12, 14 циклов, блок на 128 бит и ключ 128, 192 или 256 бит.

Асимметричное шифрование

Асимметричное шифрование предполагает использование открытого и закрытого ключа, которые выполняют обратные действия и работают в паре. Это обеспечивает безопасное соединение для обеих сторон.

Асимметричные методы криптографии:

• RSA;
• DSA;
• ECC.

Алгоритм RSA назван в честь его создателей – Rivest, Shamir, Adleman. С помощью этого метода осуществляется шифрование и цифровая подпись. Технологию поддерживают все типы сертификатов SSL.

Digital Signature Algorithm (DSA) использует вычислительную сложность логарифмов в конечных полях. Как и следует из названия, DSA используется исключительно для цифровой подписи. Степень защиты обоих методов идентичны.

Elliptic Curve Cryptography (ECC) аналогичным образом применяется для создания цифровой подписи. Метод позволяет сократить длину ключа, повысив его уровень защиты: 256-битный ключ, полученный по технологии ECC можно сравнить с 3072-битным ключом, созданным по методу RSA.

Как осуществляется SSL-аутентификация

При переходе на сайт, клиент отправляет запрос на сервер, получая в ответ открытый ключ и копию SSL. После этого браузер сверяет полученные из копии данные: доменное имя, срок действия, надежность сертификата. Если информация не вызывает сомнений в безопасности, то генерируется предварительный секрет, действующий в рамках данной сессии. Полученный открытый ключ является основой для генерации секрета.

Расшифровывая предварительный секрет, сервер предлагает браузеру задать общий секрет и метод его шифрования. Защищенное соединение устанавливается исключительно на время сессии – при повторном посещении интернет-ресурса, процедура повторяется заново.

Сам сертификат содержит информацию о:

• домене, которому он выдан;
• владельце (юридическом или физическом лице);
• центре сертификации и электронной подписи;
• дате выдачи и окончании действия сертификата;
• используемых алгоритмах.

Двусторонняя аутентификация осуществляется аналогичным образом, но в этом случае обе стороны выступают в роли и клиента, и сервера.

Разновидности SSL-сертификатов и их особенности

Посетитель сайта может самостоятельно определить наличие сертификата защиты у ресурса. Для этого достаточно взглянуть на адресную строку, где вместо устаревшего «HTTP» отображается «HTTPS». Начиная с 2018 года, популярные браузеры отмечают площадки с безопасным подключением как надежные, а отсутствие SSL означает появление надписи «Не защищено» в адресной строке. Это негативно отражается на имидже проекта и приводит к существенному оттоку аудитории.

Типы сертификатов и их назначение:

1. Domain Validation (DV) – выдается физическим и юридическим лицам на основании проверки домена. Подтверждает нахождение посетителя на конкретном сайте и отсутствие перенаправления. Это сертификат начального уровня, который выдается в автоматическом режиме в течение 2-10 минут. Подходит для персональных сайтов, блогов, форумов, одностраничников.
2. Organization Validation (OV) – подтверждение домена и существования организации владельца. Выдается только юридическим лицам в срок до 10 дней. Проверка включает правильное оформление данных и подтверждение владения доменом. Бизнес стандарт используется интернет-магазинами, региональными представительствами, мелкими и средними компаниями коммерческой и некоммерческой направленности.
3. Extended Validation (EV) – подтверждение владения доменом, существования компании и комплексная проверка документации. Часть адресной строки выделена зеленым цветом, где сообщается название компании-владельца. Расширенная проверка длится до 14 рабочих дней. Это решение для крупных корпораций и финансовых организаций, международных гипермаркетов, платежных систем.

По количеству подключаемых доменов сертификаты можно разделить на такие группы:

• однодоменные (Single);
• мультидоменные;
• поддоменные (WildCard).

Разделение сертификатов по типам подписи:

• доверенные – от проверенных центров сертификации;
• самоподписанные – сертификат, подписанный самим сертификатом;
• недоверенные – подписывающая сертификат организация не имеет полномочий.

Только в одном случае пользователь не будет видеть ошибку и предупреждений об угрозе безопасности – при наличии подписи от проверенных центров сертификации. Их существует достаточно много.

Популярные центры сертификации:

1. Comodo.
2. Geotrust.
3. Symantec.
4. Thawte.
5. Trustwave.
6. GlobalSign.

Преимущества использования сертификатов от уполномоченных центров сертификации:

• отсутствие уведомлений о небезопасном подключении в браузере;
• наличие печати доверия;
• служба поддержки.

Самоподписанные сертификаты используются для обеспечения безопасного соединения в рамках локальной сети, а также для проверки функционирования приложений. Центры сертификации дают официальную гарантию надежности, страхуя пользователя на случай утечки данных или ошибочно выданного сертификата ресурсам злоумышленников. Сумма компенсации внушительная: от десяти тысяч долларов и более.

Преимущества использования защищенного протокола передачи данных

Перехват данных злоумышленниками при наличии SSL-сертификата не имеет смыла: на дешифровку уйдет много времени, а за этот период информация утратит значимость и сессия будет завершена. Все это демонстрирует важность использования защищенного протокола связи для любых коммерческих организаций, а также ресурсов, собирающих данные о пользователях.

Что дает наличие SSL-сертификата:

• надежность в глазах аудитории площадки;
• защиту конфиденциальности;
• соответствие сайта закону о сохранности персональных данных посетителей;
• возможность для пользователей сохранять комбинацию логин/пароль – в противном случае блокируется браузером.

Что же касается мнения поисковых систем, то они поощряют усиление защиты и безопасности. Представителями популярных поисковиков неоднократно заявлялось, что наличие безопасного соединения отразится на ранжировании. Приоритет в выдаче принадлежит сайтам с SSL-сертификатом.

Исходя из этого, можно сформировать список достоинств, получаемых при использовании технологии:

1. Улучшение позиций в рейтинге поисковой выдачи, что способствует увеличению трафика.
2. Увеличение конверсии за счет роста доверия со стороны пользователей.
3. Снижение процента отказов благодаря отсутствию угрозы безопасности, о которой сигнализирует браузер.
4. Улучшение поведенческого фактора.
5. Влияние на имидж проекта.

Исследования центра сертификации GlobalSign демонстрируют, что лишь 16% пользователей готовы оформить покупку в интернет-магазине без установки защищенного соединения, а около половины участников опроса заявили, что внимательно изучают надежность площадки перед оформлением сделки. Это показывает, что вести предпринимательскую деятельность на собственном ресурсе без сертификата будет проблематично из-за большой потери потенциальных клиентов.

Заказать оформление у партнеров или самостоятельно обратиться в центр сертификации?

Ответ на этот вопрос нельзя назвать ожидаемым. Причина в том, что регистрация через партнеров стоит дешевле, чем самостоятельное оформление сертификата в центре сертификации. Еще одним достоинством заказа услуги является качественная служба поддержки и бесплатная консультация при выборе подходящего продукта – получить ответы на вопросы при прямом обращении в компетентные органы без знаний английского языка не всегда возможно.

Владельцам сайтов рекомендуется установить SSL-сертификат при запуске проекта, чтобы в будущем сэкономить время на настройке редиректов. Подключение защищенного протокола передачи данных может входить в комплект услуг хостинг-компании или регистратора доменного имени. В качестве примера можно привести платформу InSales, где владельцу площадки сертификат предоставляется бесплатно при условии подключения тарифов «Продвигающий» и «Бизнес». Аналогичные предложения есть и у других поставщиков услуг, но следует уточнить условия использования. Некоторые сервисы предлагают такой «подарок» на срок в 1-3 месяца, после чего необходимо оплатить перевыпуск.

Еще один важный момент, который стоит уточнить – это совместимость с кириллическими доменами. Поддержка IDN доменов присутствует не у всех центров сертификации, что означает некорректную работу протокола.

Слабые стороны технологии SSL/TLS

Несмотря на совершенствование криптографических алгоритмов, выявлено множество уязвимостей SSL/TLS. Для предотвращения утечки данных необходимо провести серьезную отладку работы сервера, а также клиента, который обращается к серверу. Сложность процесса делает нереальным повышение уровня безопасности для рядового пользователя, но по мере возможностей, решения поступают вместе с обновлениями браузеров.

Результаты исследований демонстрируют статистику – около 5,5% сайтов, из числа наиболее посещаемых, являются уязвимыми для полной или частичной дешифровки передаваемых данных. Причина проблемы кроется во взаимодействии между сервером и используемым клиентом, а также в подключении сторонних скриптов. Слабым звеном цепочки является браузер пользователя: сервер понижает защиту, чтобы продолжить взаимодействие с клиентом. В число уязвимых входят крупные ресурсы корпораций, сайты банков и финансовых организаций, государственные порталы.

Для поддержания высокого уровня безопасности необходимо оперативно реагировать на появление новых угроз, внося корректировки в работу сервера. Несмотря на наличие уязвимостей, сертификат SSL является наиболее удобным решением для обеспечения безопасного соединения, а при своевременном внесении правок, протокол отличается надежностью и качественной защитой конфиденциальности пользователя.

Подведем итоги

SSL – это реальное средство защиты, поднявшее безопасность обмена данными на новый уровень. Технология не стоит на месте и продолжает совершенствоваться, что повышает надежность протокола. Используемые криптографические алгоритмы способны обеспечить полную защиту передаваемых данных, но для безопасности подключения необходимо корректировать работу сервера и клиента.

Создание безопасного подключения – это забота о посетителях. Многие эксперты рекомендуют использовать протокол HTTPS для интернет-магазинов, торговых площадок и сервисов, где необходимо использовать личную информацию пользователя. Учитывая тенденции активного перехода ресурсов на использование технологий SSL/TLS, целесообразно установить сертификат для площадки любого типа. Это необходимо, чтобы бороться за поисковую выдачу и активно развивать ресурс. Без сертификата SSL сложно представить успешный проект уже в ближайшем будущем.