Сертификаты HTTPS и SSL: сделайте свой сайт безопасным (и почему вам это следует сделать)

Когда дело доходит до отправки личной информации через Интернет — будь то контактная информация, учетные данные для входа, информация об учетной записи, информация о местоположении или что-либо еще, чем можно злоупотребить, — общественность, в целом, совершенно параноидально относится к хакерам и похитителям личных данных. И это справедливо. Страх того, что ваша информация может быть украдена, подделана или присвоена не по назначению, далеко не иррационален. Заголовки об утечках и нарушениях безопасности за последние несколько десятилетий доказывают это. Но, несмотря на этот страх, люди продолжают заходить в Интернет, чтобы заниматься банковскими операциями, покупками, ведением дневников, знакомствами, общением и другими личными и профессиональными делами. И есть одна маленькая вещь, которая дает им уверенность в этом. Я покажу это вам:

Хотя не все из них понимают, как это работает, этот маленький замок в адресной строке сигнализирует веб-пользователям, что у них есть надежное соединение с законным веб-сайтом. Если посетители не увидят этого в адресной строке, когда откроют ваш сайт, вы не получите — и не должны — получить их бизнес.

Чтобы получить этот маленький замок в адресной строке для вашего веб-сайта, вам нужен сертификат SSL. Как его получить? Читай дальше что бы узнать.

Краткое содержание статьи:

• Что такое SSL/TLS?
• Как использовать HTTPS?
• Что такое SSL-сертификат и как его получить?
• Руководство по покупке SSL-сертификатов
  • Центр сертификации
  • Проверка домена против расширенной проверки
  • Общий SSL против частного SSL
  • Доверительные печати
  • SSL-сертификаты с подстановочными знаками
  • Гарантии
  • Бесплатные SSL-сертификаты и самоподписанные SSL-сертификаты
• Установка SSL-сертификата
• HTTPS плюсы и минусы

Что такое SSL/TLS?

В Интернете данные передаются с использованием протокола передачи гипертекста. Вот почему перед всеми URL-адресами веб-страниц стоят «http://» или «http s ://».

В чем разница между http и https? Эта дополнительная маленькая буква S имеет большое значение: безопасность.

Позволь мне объяснить.

HTTP — это «язык», который ваш компьютер и сервер используют для общения друг с другом. Этот язык общепонятен, что удобно, но у него есть и свои недостатки. Когда данные передаются между вами и сервером через Интернет, они делают несколько остановок на своем пути, прежде чем достигнут конечного пункта назначения. Это таит в себе три больших риска:

• Что кто-то может подслушать ваш разговор (что-то вроде цифровой прослушки).

• Что кто-то может выдавать себя за одну (или обе) стороны на любом конце.

• Что кто-то может подделать передаваемые сообщения.

Хакеры и мошенники используют комбинацию вышеперечисленного для ряда мошенничеств и ограблений, включая фишинговые уловки, атаки «человек посередине» и старую добрую рекламу. Вредоносные атаки могут быть такими же простыми, как перехват учетных данных Facebook путем перехвата незашифрованных файлов cookie (подслушивание), или они могут быть более изощренными. Например, вы можете подумать, что говорите своему банку: «Пожалуйста, переведите 100 долларов моему интернет-провайдеру», но кто-то посередине может изменить сообщение следующим образом: «Пожалуйста, переведите 100 долларов всех моих денег моему интернет-провайдеру Пегги в Сибирь» (подделка данных). и олицетворение).

Итак, это проблемы с HTTP. Чтобы решить эти проблемы, HTTP может быть дополнен протоколом безопасности, что приведет к HTTP Secure (HTTPS). Чаще всего буква S в HTTPS предоставляется протоколом Secure Sockets Layer (SSL) или новым протоколом Transport Layer Security (TLS). При развертывании HTTPS предлагает двунаправленное шифрование (для предотвращения подслушивания), аутентификацию сервера (для предотвращения выдачи себя за другое лицо) и аутентификацию сообщений (для предотвращения подделки данных).

Как использовать HTTPS

Как и разговорный язык, HTTPS работает только в том случае, если обе стороны хотят на нем говорить. На стороне клиента выбор использования HTTPS можно сделать, введя «https» в адресную строку браузера перед URL-адресом (например, вместо ввода http://www.facebook.com введите https://www.facebook .com) или установив расширение, которое автоматически активирует HTTPS, например HTTPS Everywhere для Firefox и Chrome . Когда ваш веб-браузер использует HTTPS, вы увидите значок замка, зеленую панель браузера, большой палец вверх или какой-либо другой обнадеживающий признак того, что ваше соединение с сервером безопасно.

Однако для использования HTTPS веб-сервер должен его поддерживать. Если вы веб-мастер и хотите предлагать HTTPS своим посетителям, вам понадобится сертификат SSL или сертификат TLS. Как получить сертификат SSL или TLS? Продолжай читать.

Дополнительная информация: Некоторые популярные веб-приложения позволяют выбрать HTTPS в настройках пользователя. Прочтите наши рецензии на Facebook , Gmail и Twitter .

Что такое SSL-сертификат и как его получить?

Чтобы использовать HTTPS, на вашем веб-сервере должен быть установлен сертификат SSL или сертификат TLS. Сертификат SSL/TLS — это своего рода удостоверение личности с фотографией вашего сайта. Когда браузер, использующий HTTPS, получает доступ к вашей веб-странице, он выполняет «рукопожатие», во время которого клиентский компьютер запрашивает сертификат SSL. Сертификат SSL затем проверяется доверенным центром сертификации (CA), который проверяет, является ли сервер тем, кем он себя называет. Если все подтвердится, ваш веб-посетитель увидит обнадеживающую зеленую галочку или значок замка. Если что-то пойдет не так, они получат предупреждение от веб-браузера о том, что личность сервера не может быть подтверждена.

Покупка SSL-сертификата

Когда дело доходит до установки SSL-сертификата на ваш веб-сайт, необходимо принять решение по множеству параметров. Давайте пробежимся по самому важному:

Центр сертификации

Центр сертификации (CA) — это компания, которая выдает ваш SSL-сертификат и будет проверять ваш сертификат каждый раз, когда посетитель заходит на ваш сайт. Хотя каждый поставщик сертификатов SSL будет конкурировать по цене и функциям, первое, что следует учитывать при проверке центров сертификации, — это наличие у них сертификатов, которые предварительно установлены в наиболее популярных веб-браузерах. Если центр сертификации, выдающий ваш SSL-сертификат, отсутствует в этом списке, пользователю будет выведено предупреждение о том, что сертификат безопасности сайта не является доверенным. Конечно, это не означает, что ваш сайт незаконен — это просто означает, что вашего центра сертификации (пока) нет в списке. Это проблема, поскольку большинство пользователей не будут читать предупреждение или исследовать нераспознанный центр сертификации. Они, вероятно, просто щелкнут.

К счастью, список предустановленных центров сертификации в основных браузерах довольно велик. В него входят как крупные торговые марки, так и менее известные и более доступные центры сертификации. Бытовые названия включают Verisign , Go Daddy , Comodo, Thawte, Geotrust и Entrust.

Вы также можете посмотреть в настройках своего браузера, какие центры сертификации предустановлены.

• В Chrome перейдите в «Настройки» -> «Показать дополнительные настройки…» -> «Управление сертификатами».
• В Firefox выберите «Параметры» -> «Дополнительно» -> «Просмотр сертификатов».
• Для IE: Свойства обозревателя -> Содержимое -> Сертификаты.
• В Safari зайдите в Finder, выберите «Перейти» -> «Утилиты» -> «Доступ к цепочке ключей» и нажмите «Система».

Проверка домена против расширенной проверки

Сертификат SSL предназначен для подтверждения подлинности веб-сайта, на который вы отправляете информацию. Чтобы гарантировать, что люди не используют фальшивые сертификаты SSL для доменов, которые они не контролируют по праву, центр сертификации проверит, что лицо, запрашивающее сертификат, действительно является владельцем доменного имени. Обычно это делается посредством быстрого подтверждения по электронной почте или телефонному звонку, аналогично тому, как веб-сайт отправляет вам электронное письмо со ссылкой для подтверждения учетной записи. Это называется сертификатом SSL с проверкой домена . Преимущество этого заключается в том, что сертификаты SSL можно выдавать практически мгновенно. Вероятно, вы могли бы пойти и получить SSL-сертификат с проверкой домена за меньшее время, чем вам потребовалось, чтобы прочитать эту публикацию в блоге. Имея SSL-сертификат, подтвержденный доменом, вы получаете висячий замок и возможность шифровать трафик вашего веб-сайта.

Преимущества SSL-сертификата с проверкой домена заключаются в том, что его можно быстро, легко и дешево получить. Это тоже их недостаток. Как вы можете себе представить, легче обмануть автоматизированную систему, чем систему, которой управляют живые люди. Это похоже на то, как если бы какой-нибудь старшеклассник вошел в DMV и сказал, что он Барак Обама, и хотел получить удостоверение личности, выданное правительством. Человек за столом взглянет на него и позвонит федералам (или в психушку). Но если бы это был робот, работающий в киоске для удостоверения личности с фотографией, ему, возможно, повезет. Аналогичным образом фишеры могут получить «поддельные идентификаторы» для таких веб-сайтов, как Paypal, Amazon или Facebook, обманывая системы проверки домена. В 2009 году Дэн Камински опубликовал пример способа мошенничества с центрами сертификации для получения сертификатов, благодаря которым фишинговый веб-сайт будет выглядеть так, будто это безопасное и законное соединение. Человеку эту аферу было бы легко обнаружить. Однако в то время в автоматизированной проверке домена не было необходимых проверок, чтобы предотвратить подобное.

В ответ на уязвимости SSL и SSL-сертификатов с проверкой домена отрасль ввела сертификат расширенной проверки . Чтобы получить сертификат EV SSL, ваша компания или организация должна пройти строгую проверку, чтобы убедиться, что она имеет хорошую репутацию в вашем правительстве и по праву контролирует домен, на который вы подаете заявку. Эти проверки, среди прочего, требуют участия человеческого фактора и, следовательно, занимают больше времени и стоят дороже.

В некоторых отраслях требуется сертификат EV. Но для других польза зависит только от того, что узнают ваши посетители. Для обычных посетителей Интернета разница незначительна. Помимо значка замка, адресная строка становится зеленой и отображает название вашей компании. Если вы нажмете кнопку «Дополнительная информация», вы увидите, что проверена личность компании, а не только веб-сайт.

Вот пример обычного HTTPS-сайта:

А вот пример HTTPS-сайта сертификата EV:

В зависимости от вашей отрасли сертификат EV может не стоить того. Кроме того, чтобы получить его, вы должны быть представителем компании или организации. Хотя крупные компании стремятся к сертификации EV, вы заметите, что большинство сайтов HTTPS по-прежнему не поддерживают EV. Если это достаточно хорошо для Google, Facebook и Dropbox, возможно, оно подойдет и вам.

И еще: существует промежуточный вариант, называемый сертификацией , подтвержденной организацией или бизнесом . Это более тщательная проверка, чем автоматическая проверка домена, но она не соответствует отраслевым нормам для сертификата расширенной проверки (обратите внимание, что расширенная проверка пишется с заглавной буквы, а слово «организационная проверка» — нет?). Сертификация OV или подтвержденная бизнесом информация стоит дороже и занимает больше времени, но она не даст вам зеленой адресной строки и информации, подтверждающей личность компании. Честно говоря, я не могу придумать причину платить за сертификат OV. Если вы можете придумать что-нибудь, пожалуйста, просветите меня в комментариях.

Общий SSL против частного SSL

Некоторые веб-хосты предлагают услугу общего SSL, которая зачастую более доступна, чем частный SSL. Помимо цены, преимущество общего SSL заключается в том, что вам не нужно получать частный IP-адрес или выделенный хост. Обратной стороной является то, что вы не можете использовать собственное доменное имя. Вместо этого безопасная часть вашего сайта будет выглядеть примерно так:

https://www.hostgator.com/~вашдомен/secure.php

Сравните это с частным адресом SSL:

https://www.вашдомен.com/secure.php

Для общедоступных сайтов, таких как сайты электронной коммерции и сайты социальных сетей, это, очевидно, является препятствием, поскольку создается впечатление, что вас перенаправили с основного сайта. Но для областей, которые обычно не просматриваются широкой публикой, таких как внутренности почтовой системы или область администратора, общий SSL может быть хорошим решением.

Доверительные печати

Многие центры сертификации позволяют вам разместить печать доверия на вашей веб-странице после того, как вы подписались на один из их сертификатов. Это дает практически ту же информацию, что и щелчок по замку в окне браузера, но с более высокой видимостью. Включение печати доверия не требуется и не повышает вашу безопасность, но если это дает вашим посетителям теплую информацию о том, кто выдал SSL-сертификат, во что бы то ни стало, бросьте его туда.

SSL-сертификаты с подстановочными знаками

Сертификат SSL подтверждает подлинность одного домена. Итак, если вы хотите использовать HTTPS на нескольких поддоменах, например groovypost.com, mail.groovypost.com и forum.groovypost.com , вам потребуется купить три разных сертификата SSL. В определенный момент сертификат SSL с подстановочными знаками становится более экономичным. То есть один сертификат для одного домена и всех поддоменов, например *.groovypost.com.

Гарантии

Какой бы давней ни была хорошая репутация компании, в ней есть уязвимые места. Хакеры могут атаковать даже доверенные центры сертификации, о чем свидетельствует взлом VeriSign, о котором не сообщалось еще в 2010 году. Кроме того, статус центра сертификации в списке доверенных можно быстро отозвать, как мы видели на примере DigiNotar в 2011 году. Всякое случается. .

Чтобы развеять любое беспокойство по поводу возможности таких случайных актов SSL-разврата, многие центры сертификации теперь предлагают гарантии. Страховое покрытие варьируется от нескольких тысяч долларов до более миллиона долларов и включает убытки, возникшие в результате неправильного использования вашего сертификата или других происшествий. Я понятия не имею, действительно ли эти гарантии повышают ценность или нет, и выигрывал ли кто-нибудь когда-либо иск. Но они здесь для вашего рассмотрения.

Бесплатные SSL-сертификаты и самоподписанные SSL-сертификаты

Доступны два типа бесплатных сертификатов SSL. Самоподписанные сертификаты SSL, используемые в основном для частного тестирования и полноценные общедоступные сертификаты SSL, выданные действительным центром сертификации. Хорошей новостью является то, что в 2018 году есть несколько вариантов получения 100% бесплатных, действительных 90-дневных сертификатов SSL от SSL for Free или Let's Encrypt . SSL for Free — это, прежде всего, графический интерфейс API Let’s Encrypt. Преимущество сайта SSL for Free в том, что он прост в использовании и имеет приятный графический интерфейс. Однако Let's Encrypt удобен, поскольку вы можете полностью автоматизировать запрос у них SSL-сертификатов. Это идеально, если вам нужны сертификаты SSL для нескольких веб-сайтов/серверов.

Самозаверяющий SSL-сертификат бесплатен навсегда. Имея самозаверяющий сертификат, вы являетесь собственным центром сертификации. Однако, поскольку вы не входите в число доверенных центров сертификации, встроенных в веб-браузеры, посетители получат предупреждение о том, что центр сертификации не распознается операционной системой. Таким образом, на самом деле нет никакой гарантии, что вы тот, за кого себя выдаете (это все равно, что выдать себе удостоверение личности с фотографией и попытаться выдать его в винном магазине). Однако преимущество самоподписанного сертификата SSL заключается в том, что он обеспечивает шифрование веб-трафика. Это может быть полезно для внутреннего использования, когда вы можете попросить своих сотрудников добавить вашу организацию в качестве доверенного центра сертификации, чтобы избавиться от предупреждающего сообщения и работать над безопасным соединением через Интернет.

Инструкции по настройке самозаверяющего сертификата SSL см. в документации OpenSSL. (Или, если будет достаточный спрос, я напишу учебник.)

Установка SSL-сертификата

После приобретения SSL-сертификата вам необходимо установить его на свой веб-сайт. Хороший веб-хостинг предложит сделать это за вас. Некоторые могут даже пойти на то, чтобы купить его для вас. Зачастую это лучший способ, поскольку он упрощает выставление счетов и гарантирует правильную настройку вашего веб-сервера.

Тем не менее, у вас всегда есть возможность установить сертификат SSL, который вы купили самостоятельно. Если вы это сделаете, возможно, вы захотите начать с консультации с базой знаний вашего веб-хостинга или с открытия заявки в службу поддержки. Они направят вас к лучшим инструкциям по установке сертификата SSL. Вам также следует ознакомиться с инструкциями, предоставленными центром сертификации. Они дадут вам лучшее руководство, чем любой общий совет, который я могу вам дать здесь.

Вы также можете ознакомиться со следующими инструкциями по установке сертификата SSL:

• Как реализовать SSL в IIS (Windows Server)
• Шифрование Apache SSL/TLS

Все эти инструкции предполагают создание запроса на подпись сертификата SSL (CSR). Фактически, вам понадобится CSR только для того, чтобы получить сертификат SSL. Опять же, ваш веб-хостинг может помочь вам в этом. Более подробную информацию о создании CSR своими руками можно найти в этой статье от DigiCert .

Плюсы и минусы HTTPS

Мы уже твердо установили преимущества HTTPS: безопасность, безопасность и еще раз безопасность. Это не только снижает риск утечки данных, но также вселяет доверие и повышает репутацию вашего веб-сайта. Сообразительные клиенты могут даже не утруждать себя регистрацией, если увидят «http://» на странице входа.

Однако у HTTPS есть некоторые недостатки. Учитывая необходимость HTTPS для определенных типов веб-сайтов, имеет смысл рассматривать это как « соображения », а не как негативные моменты.

• HTTPS стоит денег . Во-первых, есть стоимость покупки и продления вашего SSL-сертификата, чтобы обеспечить его годовую действительность. Но для HTTPS также существуют определенные «системные требования», такие как выделенный IP-адрес или план выделенного хостинга, которые могут быть более дорогостоящими, чем пакет общего хостинга.
• HTTPS может замедлить ответ сервера. Есть две проблемы, связанные с SSL/TLS, которые могут замедлить скорость загрузки вашей страницы. Во-первых, чтобы начать взаимодействие с вашим веб-сайтом в первый раз, браузер пользователя должен пройти процесс установления связи, который возвращается на веб-сайт центра сертификации для проверки сертификата. Если веб-сервер центра сертификации работает медленно, загрузка вашей страницы будет происходить с задержкой. Это во многом находится вне вашего контроля. Во-вторых, HTTPS использует шифрование, которое требует большей вычислительной мощности. Эту проблему можно решить, оптимизировав контент для пропускной способности и обновив оборудование на вашем сервере. У CloudFare есть хорошая запись в блоге о том, как и почему SSL может замедлить работу вашего сайта.
• HTTPS может повлиять на усилия по SEO. При переходе с HTTP на HTTPS; вы переходите на новый сайт. Например, http://www.groovypost.com не будет совпадать с https://www.groovypost.com . Важно убедиться, что вы перенаправили свои старые ссылки и написали правильные правила под капотом вашего сервера, чтобы не потерять драгоценный ссылочный сок.
• Смешанный контент может вызвать желтый флаг . В некоторых браузерах, если основная часть веб-страницы загружена по HTTPS, а изображения и другие элементы (например, таблицы стилей или скрипты) загружены по URL-адресу HTTP, может появиться всплывающее окно с предупреждением о том, что страница содержит незащищенный контент. . Конечно, наличие защищенного контента лучше, чем его отсутствие, даже если последнее не приводит к появлению всплывающего окна. Но все же, возможно, стоит убедиться, что на ваших страницах нет «смешанного контента».
• Иногда проще привлечь стороннюю платежную систему . Нет ничего постыдного в том, чтобы позволить Google Checkout, Paypal или Checkout by Amazon обрабатывать ваши платежи. Если все вышеперечисленное кажется слишком сложным, вы можете позволить своим клиентам обмениваться платежной информацией на защищенном сайте Paypal или защищенном сайте Google и избавить себя от проблем.

Есть ли у вас какие-либо вопросы или комментарии по поводу сертификатов HTTPS и SSL/TLS? Позвольте мне услышать это в комментариях.