Как SSL-сертификаты защищают Интернет?
SSL-сертификаты выпускаются для защиты важного трафика между веб-сайтами и пользователями, чтобы злоумышленники не могли перехватить конфиденциальные данные. Давайте посмотрим, как SSL-сертификаты работают в Интернете!
Что такое SSL/TLS?
SSL, что означает Secure Sockets Layer, представляет собой протокол, используемый для шифрования трафика между двумя компьютерами. Интересно, что мы по-прежнему часто ссылаемся на SSL, но на самом деле TLS (Transport Layer Security) сейчас является и был стандартным протоколом для защиты трафика между веб-сайтами и пользователями, так как SSL был объявлен устаревшим в 1999 году.
При этом, когда мы говорим о SSL и SSL-сертификатах, мы, скорее всего, говорим об одной и той же технологии шифрования. Если вас действительно интересуют мельчайшие детали работы TLS, вы можете прочитать RFC TLS 1.3 здесь.
Какова цель SSL/TLS?
Протокол SSL/TLS был изобретен и реализован для защиты данных между сетевыми компьютерами путем шифрования и аутентификации трафика в сети. Обычно, когда два компьютера объединены в сеть или пользователь посещает веб-сайт, трафик и содержимое не зашифрованы и доступны для перехвата. Включив шифрование, пользователи данных вводят в формы, а информация, которая передается между двумя системами, защищена от посторонних глаз.
В современном мире неспособность настроить зашифрованную связь для защиты пользователей и данных — это прямой путь к катастрофе. Поскольку злоумышленники прячутся в каждом уголке сети, необходимо принять дополнительные меры предосторожности для защиты вашего веб-сайта и сетей. Независимо от того, подключены ли вы к общедоступной сети Wi-Fi в кафе, вводите конфиденциальную финансовую информацию в онлайн-форму или просто входите в свою электронную почту, ваши данные будут подвержены риску без шифрования SSL и TLS.
Как на самом деле работает SSL/TLS?
SSL и TLS работают, создавая пары ключей, используя открытый и закрытый ключ, для аутентификации соединений и определения личности веб-сайта. Закрытый ключ хранится на веб-сайте в безопасности, а открытый ключ доступен для пользователей.
То, как открытые и закрытые ключи работают вместе, позволяет браузерам автоматически шифровать пользовательский трафик с помощью открытого ключа таким образом, чтобы его можно было расшифровать только с помощью закрытого ключа. Это означает, что если веб-сайт правильно настроен с помощью TLS, весь трафик между вами и сервером (включая, помимо прочего, формы и входы в систему) защищен, зашифрован и может быть расшифрован и расшифрован только веб-сайтом. Это защитит вас от злоумышленника в вашей сети, отслеживающего трафик и восстанавливающего конфиденциальные данные.
Как это выглядит в браузере?
В вашем браузере вы увидите значок замка. Если вы щелкнете по нему, вы должны увидеть больше информации о соединении и о том, является ли оно безопасным или незащищенным. Многие браузеры выделяют кнопку блокировки, а также окрашивают ее в зеленый или красный цвет. Если вы не уверены, защищено ли ваше соединение, вы можете нажать на этот значок и просмотреть дополнительную информацию.
Кроме того, вы можете видеть в браузере https, а не http. Наличие этого в URL-адресе не означает, что он защищен, но может быть еще одним признаком того, что это, вероятно, так. Большинство браузеров четко предупредят вас, если сайт претендует на безопасность, но на самом деле таковым не является.
Как реализованы SSL-сертификаты?
Теперь, когда вы знаете, что такое SSL и TLS и как они защищают трафик, давайте посмотрим, как мы можем реализовать наш собственный сертификат SSL. Процесс прост! Сгенерируйте запрос на подпись сертификата, отправьте CSR и получите SSL-сертификат, установите SSL-сертификат и установите промежуточный сертификат.
Сгенерировать CSR (открытый и закрытый ключ)
Первым шагом к получению SSL-сертификата является создание на вашем сервере запроса на подпись сертификата или CSR. Когда вы создаете CSR, вы указываете доменное имя защищаемого веб-сайта, свою организацию и адрес и, наконец, тип и размер ключа.
Этот процесс создает открытый и закрытый ключи на вашем сервере и генерирует файл CSR, который содержит открытый ключ. Обратите внимание на расположение файлов, так как вам может понадобиться открыть его в текстовом редакторе и скопировать содержимое.
Отправить открытый ключ CSR в CA для проверки
Создав свой CSR, вы отправите его в Центр сертификации (ЦС) для проверки. Любой может создавать SSL-сертификаты, но современные браузеры доверяют только сертификатам от центров сертификации.
Когда вы отправите свой CSR в Центр сертификации, они отправят вам обратно SSL-сертификат. Этот сертификат сертифицирован центром сертификации для подключения к вашему веб-сайту, что предотвращает подделку собственного сертификата другими пользователями.
Получить и установить SSL-сертификат
Когда вы получили сертификат SSL от ЦС, теперь вы можете установить его на свой сервер и подключить к своему веб-сайту. Многие панели управления упрощают этот процесс, но он зависит от вашей операционной системы и настроек сервера. Если вы работаете с cPanel или Plesk, вы можете установить SSL-сертификаты через панель инструментов. Если вы используете свой веб-сайт без панели управления, вам придется немного поработать вручную, чтобы настроить его. Поздравляем! Вы почти закончили.
Реализовать промежуточный сертификат
Промежуточный сертификат подписывается корневым сертификатом центра сертификации, доказывая, что они проверили сертификат SSL. Промежуточный сертификат по существу подписывает ваш SSL-сертификат и создает кольцо доверия и аутентификации между вашим веб-сайтом, ЦС и пользователями по всему миру. После того, как вы внедрите промежуточный сертификат, вы свяжете соединение между вашим сервером, вашим веб-сайтом и центром сертификации, обеспечивая безопасность пользователей!
Где я могу получить SSL-сертификат?
После всего сказанного давайте поговорим о том, как мы можем получить наш собственный SSL-сертификат, подписанный доверенным центром сертификации.
Что касается создания файла CSR, вам нужно будет выяснить, как это сделать в вашей операционной системе и настройке сервера. Если вы используете виртуальный или управляемый хостинг, это должно быть так же просто, как обратиться за помощью. Если вы используете Windows Server, вы можете ознакомиться с этим руководством здесь. А пользователи Linux, я уверен, вы разберетесь!
Чтобы подписать ваш CSR, вы можете найти популярные центры сертификации, включая DigiCert, Comodo, Symantec и RapidSSL. У многих регистраторов доменных имен есть услуги, которые помогут вам получить подпись в доверенном центре сертификации, и хостинг-провайдеры делают то же самое!
Теперь становится проще, чем когда-либо, внедрять SSL и методы безопасного шифрования на свой веб-сайт, и это может принести пользу всем! Не теряйте времени и установите свой первый SSL-сертификат уже сегодня!