SSL-сертификат: зачем нужен, как работает и где получить

SSL-сертификат (Secure Sockets Layer) — цифровой сертификат, подтверждающий подлинность сайта. Он даёт возможность установить зашифрованное соединение между сервером и браузером.

Использование SSL-сертификата привело к появлению протокола под названием HTTPS (Hypertext Transfer Protocol Secure). Все данные, передаваемые по HTTPS, зашифрованы в криптографическом протоколе SSL (или TLS) — это обеспечивает их защиту.

Как работает SSL-сертификат

SSL-сертификат гарантирует надёжность передачи данных между пользователем и сайтом (или между двумя системами).

SSL использует шифрование данных, кодируя конфиденциальную информацию, имена, финансовые данные и номера карт. Такая защита не даёт третьим лицам шанса перехватить ценную информацию.

Последовательность работы SSL-сертификата для сайта: основные шаги

1. Сервер или браузер пытается выполнить подключение к сайту (серверу), который защищён с помощью SSL-протокола.

2. Сервер или бразуер делает запрос идентификации.

3. В ответ сайт отправляет серверу или браузеру копию своего SSL.

4. Браузер или сервер производят проверку и сообщают сайту, если он является доверенным.

5. Сайт возвращает подтверждение с цифровой подписью.

6. Стартует сеанс, зашифрованный с помощью SSL сертификата. Сервер или браузер и сайт используют данные совместно.

Описанную последовательность действий называют подтверждением SSL-соединения. Все шаги длятся несколько миллисекунд. Если веб-сайт защищен SSL-сертификатом, в веб-адресе появляется аббревиатура HTTPS. Если выпуска SSL-сертификата не было и безопасное соединение не подтверждено — появляется аббревиатура HTTP.

Чтобы просмотреть сведения о сертификате безопасности, нужно щелкнуть значок замка, расположенный на панели браузера в строке с названием сайта. Там хранятся следующие данные:

• доменное имя, для которого выпущен сертификат;
• лицо, организация или устройство, для которого выпущен сертификат;
• центр сертификации;
• цифровая подпись центра сертификации;
• связанные поддомены;
• дата выдачи сертификата;
• срок действия;
• открытый ключ (закрытый ключ не раскрывается).

Зачем необходим SSL-сертификат

SSL-сертификаты сайтов нужны для того, чтобы обеспечить безопасность данных пользователей: подтверждения прав собственности на сайт, предотвращения создания поддельной версии сайта и сохранения доверия со стороны клиентов.

Если для использования сайта нужны такие шаги, как войти в систему, ввести личные данные или изучить конфиденциальную информацию, то без SSL-сертификата не обойтись.

SSL-сертификаты помогают сохранить конфиденциальность онлайн-транзакций и гарантируют пользователям, что сайт является подлинным и безопасным для ввода личных данных.

SSL-сертификат — помощник в защите такой информации, как:

• учётные данные для входа в систему;
• операции по банковской карте и информация о банковском счёте;
• личная информация;
• юридические документы и контракты;
• медицинские документы;
• конфиденциальная информация.

Все эти данные будут надёжно защищены от третьих лиц.

А вот от каких мошеннических сценариев даёт защиту SSL:

1. Похищение данных пользователей из потока с целью последующего использования;
2. Изменение данных: к примеру, пользователь переводит деньги, а злоумышленник меняет счёт получателя и сумму.

Получить SSL-сертификат — ещё и способ бесплатно продвинуть сайт, взяв новую высоту в результатах поисковой выдачи. Наличие SSL поисковики воспринимают как знак заботы о безопасности пользователей, благодаря которому вы заслуживаете более высокого места в рейтинге. Вот почему получение SSL означает больше, чем просто выполнение обязательных предписаний.

Что будет, если не получить SSL-сертификат

Нельзя просто так взять и проигнорировать сертификацию. Если для сайта не оформили SSL-сертификат, браузеры станут выдавать предупреждение. Пользователя будут информировать, что для безопасности данных, которые он вводит на сайте, существует угроза. Это может выглядеть как зачеркнутый замочек в адресной строке или разделе «Сведения о сайте». А может отображаться в формате текстового сообщения. 

И в том, и в другом случае доверие пользователя к странице снижается. Он с меньшей вероятностью захочет вводить номер карты и оформлять заказ — для электронной коммерции это критично.

Всё дело здесь в разнице протоколов HTTP и HTTPS. Как видно на примере выше, браузер (в данном случае Google Chrome) при попытке открыть http-страницу демонстрирует предупреждение. И предлагает вернуться обратно к безопасной странице, создавая препятствие для посещения сайта. Зачем пользователю рисковать, если он может выбрать из множества более безопасных предложений конкурентов.

Если же к аббревиатуре добавляется буква «S», что значит «secure» (безопасный), — SSL-сертификат в порядке, никаких преград на пути пользователя нет.

SLL-сертификаты позволяют протоколу HTTPS защищать данные пользователя: браузер и сервер обмениваются данными в зашифрованном виде, и им ничего не угрожает. Передача информации производится по принципу обмена уникальными ключами, которые распознаются только этими двумя сторонами. Хакер не сможет вклиниться в канал связи по принципу «человек посередине» — он просто не сможет сделать расшифровку данных, даже если и возьмёт какой-то их фрагмент. Это то, для чего и нужен SLL-сертификат.

Когда с безопасностью сайта всё в порядке, Chrome отметит это в разделе «Сведения о сайте» с помощью нормального символа замочка и фразы «Подключение защищено». Там же появится галочка у слов «Действительный сертификат». Без SLL протоколом HTTPS пользоваться не получится.

Какие бывают SSL-сертификаты

Перед тем как сделать SSL-сертификат, нужно разобраться в существующих разновидностях и их функциях. Их различают по уровням проверки и доступности — помимо платных версий существуют free.

Типы SSL-сертификатов и их уровни проверки:

• EV SSL — с расширенной проверкой;
• OV SSL — подтверждают организацию;
• DV SSL — подтверждают домен;
• Wildcard — с подстановочными символами;
• UCC — с унифицированными коммуникациями;
• MDC — мультидоменный.

На возможность выбрать тип SSL-сертификата для сайта влияет ваш правовой статус.

Физические лица в России могут сделать только базовые простые DV SSL-сертификаты с валидацией домена. Они выдаются практически сразу же. Всё, что нужно предоставить, — почта, номер телефона и домен. Почтовый ящик нужно создать на вашем сайте.

Юридические лица в России могут заказать любой SSL-сертификат, включая OV SSL и трастовый EV SSL с расширенной проверкой. Они для того и придуманы, чтобы подтверждать, что сайт принадлежит конкретной организации и она работает. Чтобы выпустить сертификат, потребуется подтвердить номер телефона компании — по нему позвонят. Обычно срок выдачи OV-сертификата составляет около 3 дней.

Чтобы пройти сертификацию типа OV и EV, нужны доказательства того, что ваша организация действительно существует, а деятельность её соответствует заявленной в уставных документах. Поэтому в удостоверяющий центр нужно будет предоставить:

• выписку из ЕГРЮЛ (получить её онлайн можно бесплатно на официальном сайте ФНС России);
• идентификационный номер налогоплательщика (ИНН);
• сведения об упоминании компании в общедоступных источниках;

О каждом типе сертификатов

Сертификаты с расширенной проверкой (EV SSL)

Самый высокорейтинговый и дорогой тип SSL-сертификатов. Его получают популярные веб-сайты, которые собирают данные и используют онлайн-платежи. Подходящее решение для интернет-магазинов и сайтов микрофинансовых организаций.

После установки EV SSL-сертификата в адресной строке браузера отображаются замок, HTTPS, название и страна компании. Данные о владельце веб-сайта в адресной строке помогают отличить сайт от вредоносных. Чтобы настроить сертификат, владелец веб-сайта должен пройти стандартную проверку. Она заключается в подтверждении, что владелец на законных основаниях имеет исключительные права на домен.

Сертификаты, подтверждающие организацию (OV SSL)

Максимальная защита и доверие: чтобы создать такой сертификат, владелец веб-сайта должен пройти основательную проверку. При использовании сертификата данные о владельце веб-сайта отображаются в адресной строке — так отличить сайт от вредоносного в разы легче.

OV SSL-сертификаты для сайтов находятся на втором месте по стоимости (после EV). Их главная функция — шифровать конфиденциальные данные пользователей при транзакциях. Такие сертификаты принято выпускать для коммерческих и общедоступных сайтов, чтобы защищать клиентские данные.

Сертификаты, подтверждающие домен (DV SSL)

Процесс проверки — простой, быстрый и дешёвый. Поэтому DV SSL-сертификаты — это минимальная защита и уровень шифрования. Именно здесь можно найти версии free.

DV SSL-сертификаты используют, чтобы создавать блоги, а также для информационных веб-сайтов. То есть для страниц, которые не связаны с онлайн-платежами или сбором данных.

Чтобы пройти проверку, владельцу веб-сайта нужно указать права собственности на домен в электронном письме или телефонном разговоре. В адресной строке браузера отображается только HTTPS и замок (без слов, то есть без обозначения названия компании).

Сертификаты с подстановочными символами (Wildcard)

Преимущество Wildcard заключается в том, что они позволяют защитить базовый домен и неограниченное количество поддоменов с помощью одного сертификата. Если поддоменов несколько, то выйдет намного дешевле, чем покупать сертификат отдельно для каждого поддомена.

Wildcard-сертификаты содержат звездочку (*) — это часть общего имени. Звездочка указывается вместо любого допустимого в составе одного базового домена.

Мультидоменные сертификаты (MDC)

Используют для защиты нескольких доменных и поддоменных имён, включая сочетания уникальных доменов и поддоменов с разными доменами верхнего уровня (TLD). Исключения — локальные (внутренние) домены.

По умолчанию мультидоменные сертификаты не поддерживают поддомены. Если нужно защитить сайты www.example.com и example.com с помощью одного мультидоменного сертификата, при его получении важно указать оба имени хоста.

Сертификаты унифицированных коммуникаций (UCC)

Функция таких сертификатов — защита серверов Microsoft Exchange и Live Communications. Любой владелец веб-сайта может использовать эти сертификаты, чтобы обеспечить защиту нескольких доменных имён с помощью одного сертификата.

UCC-сертификаты проверяются на уровне организации. Для них в браузере отображается значок замка. Сертификаты унифицированных коммуникаций могут заменить сертификаты с расширенной проверкой, а значит, обеспечить максимум безопасности посетителям веб-сайта.

Как получить SSL-сертификат

SSL-сертификат выпускается в центрах сертификации. Ознакомьтесь с правилами перед его получением.

Последовательность действий и объём данных, которые необходимо предоставить на проверку в центр, будет зависеть от того, к какому типу сертификат принадлежит.

Этапы получения сертификата

1. Подготовка. Настройте сервер и убедитесь, что ваша запись WHOIS обновлена и соответствует данным, отправляемым в центр сертификации. WHOIS — это сетевой протокол, необходимый для получения в текстовом виде регистрационных данных владельцев IP-адресов и доменных имен. Запись должна правильно отображать название, адрес компании и другие сведения.

2. Создание запроса на сервере на подпись SSL-сертификата (CSR). Запрос заключается в текстовом файле, в котором в зашифрованном виде содержится информация об администраторе домена. Вместе с CSR формируется приватный ключ. За помощью в создании запроса онлайн можно обратиться к вашей хостинговой компании.

3. Отправка запроса в центр сертификации для проверки данных вашего домена и организации. У удостоверяющего центра могут возникнуть вопросы — тогда он запросит дополнительные документы.

4. Установка сертификата. После получения файлов на почту SSL-сертификат необходимо настроить на вашем веб-хосте или серверах (если вы обеспечиваете хостинг веб-сайта самостоятельно). Скачайте файлы и проведите установку.

Скорость получения сертификата зависит от его типа и поставщика. Проверка тоже может занимать разное время. К примеру, простой SSL-сертификат для подтверждения домена может быть выпущен в течение нескольких минут после заказа и сразу доступен для загрузки, а получение сертификата с расширенной проверкой может занять целую неделю.

Самые популярные центры сертификаций:

• Digicert
• Thawte
• GlobalSign
• Geotrust
• Sectigo
• AlphaSSL
• RapidSSL
• GogetSSL
• Certbot

Возможно ли заказать SSL-сертификат бесплатно

Остановимся подробнее на предложениях базового уровня, так как получить SSL сертификат для сайта бесплатно можно в том случае, если речь идёт о типе DV. Эти решения подойдут для сайтов, которые не просят посетителей указать номера банковских карт и другие «опасные» данные.

Пара сайтов, на которых есть возможность бесплатно оформить SSL-сертификат онлайн:

1. ZeroSSL. На тарифе free сервис предлагает сертификат типа DV на 90 дней. Здесь можно получить сертификат менее чем за 5 минут, а затем продлевать по мере необходимости. Предусмотрена возможность автоматизации с помощью ACME и REST API.

2. Let’s Encrypt. В этой некоммерческой организации тоже можно запросить выпуск SSL сертификата для вашего домена бесплатно. Центр специализируется именно на DV-типе, видя своей миссией создавать более безопасное интернет-пространство за счёт распространения HTTPS. На сайте организации есть активный форум — значит, опытные пользователи смогут дать вам необходимые подсказки.

Сайт LeaderSSL и некоторые другие сертифицирующие организации не рекомендуют такое решение, как получить SSL сертификат бесплатно. Нередко бывает так, что перевыпуск уже требует оплаты. Вот почему надо заранее изучить полную информацию о поставщике услуг, чтобы избежать подводных камней и знать, куда обращаться. 
Ещё один важный момент в 2024 году — возможность заказать и оплатить SSL сертификаты для российских клиентов. В РФ LeaderSSL выдаёт платные SSL сертификаты типа GlobalSign. Они подходят для физических и юридических лиц, выпуск занимает от 5 минут. Аналогичное предложение действует для Беларуси.