Brzi vodič za SSL certifikate: što trebate znati o njima i kako odabrati

Nedavno se povećava udio važećih SSL certifikata u različitim domenama, kao i opći interes za SSL tehnologije. Ipak, nisu svi shvatili s čime se bave kad čuju tu riječ. Stoga ćemo i dalje pokušavati razumjeti što to znači, a mi ćemo vam pomoći da odaberete upravo onaj certifikat koji je potreban posebno za vaš projekt (i je li uopće potreban).

Za siguran prijenos podataka između korisnikovog preglednika i poslužitelja koristi se ključna infrastruktura, koja vam omogućuje šifriranje prenesenih informacija pomoću javnog ključa (poznato svima) i njihovo dešifriranje pomoću privatnog ključa (poznat samo njegovom vlasniku), koji se naziva asimetrično šifriranje. Sama ta infrastruktura podliježe međunarodnom standardu x.509, koji određuje sastav elektroničkog certifikata:

  • broj verzije certifikata (1-3);
  • redni broj;
  • identifikator algoritma potpisa;
  • naziv organizacije koja je izdala certifikat;
  • razdoblje valjanosti certifikata;
  • ime nositelja certifikata;
  • javni ključ vlasnika certifikata;
  • digitalni potpis

X.509 standard ne osigurava specifičan algoritam šifriranja, ali najčešći je RSA, što je ono što se koristi u SSL certifikatima.

Prije odabira certifikata bilo bi lijepo saznati zašto su potrebne i koje funkcije obavljaju.

Bilo koji SSL certifikat izvršava tri važne funkcije odjednom:

  • šifriranje prenesenih informacija;
  • provjera autentičnosti resursa (autentifikacija);
  • osiguravanje integriteta prenesenih informacija.

Prema tome, korisniku se pokazuje da se web-resursu na koji je certifikat povezan može vjerovati.

Da biste razumjeli kako funkcioniraju ove tri funkcije SSL certifikata, razmislite o jednostavnom primjeru. Djevojka Anya mora kupiti avionsku kartu putem internetske stranice zrakoplovne tvrtke, a za to joj pošaljite podatke o kreditnoj kartici. Kako bi bili sigurni da njezine podatke neće presresti treća strana, Anya provjerava dostupnost SSL certifikata na web stranici odabrane zrakoplovne tvrtke. To je jednostavno: dovoljno je osigurati da se na početku adresne trake nalazi oznaka https veze, koja je obično označena zelenom bojom. On potvrđuje da su podaci između korisnikovog preglednika i poslužitelja tvrtke šifrirani. U ovom slučaju, zrakoplovna tvrtka ima dva ključa: otvorena, koja je dostupna svima, i zatvorena, što samo ona zna. Poruka šifrirana javnim ključem može se dešifrirati samo pomoću privatnog ključa, a šifrirani privatni ključ može se koristiti s javnim ključem. Ako je SSL certifikat tvrtke koju je odabrao naš putnik izdao važeći centar za certifikaciju, Aniov preglednik prepoznaje ga kao pouzdanu (autentifikaciju) i šifrira svoje podatke pomoću javnog ključa. Čak i ako napadač presretne informacije koje prenosi Anya, on to neće moći pročitati, jer nema privatni ključ za dešifriranje.

Samopotpisani SSL certifikati

Dobivanje SSL certifikata, naravno, košta novac, a vrijedi ograničeno vrijeme. Stoga mnogi ljudi koriste takozvane samopotpisane SSL certifikate. Možete ih generirati pomoću kontrolne ploče hostinga izravno na web poslužitelju, a to možete učiniti besplatno. Međutim, nije uvijek preporučljivo koristiti samopotpisani certifikat.

Bilo koji preglednik provjerava je li certifikat izdan od strane tijela za izdavanje certifikata koje mu je poznato, a ako ne (a to je slučaj s samopotpisanim certifikatom), daje pogrešku i prikazuje veliki znak koji kaže: "Sigurnosni certifikat web-mjesta nije pouzdan!".

Takva poruka zasigurno će uplašiti potencijalnog klijenta od resursa, a on će ga htjeti ostaviti, a vlasnik stranice će zauzvrat izgubiti značajan dio svoje publike. Dakle, ako govorimo o web-lokacijama s velikim prometom ili internetskim trgovinama, korištenje samopotpisanih SSL certifikata nije preporučljivo.

Takve opasnosti čekaju svakoga tko ne mari za sigurnu https vezu. Ipak, samopotpisani certifikati su vrlo prikladni za internu uporabu: na primjer, unutar male organizacije, čiji su zaposlenici dodali certifikat povjerljivim, jer znaju njegovo porijeklo. Također su prikladni za korištenje Apache poslužitelja pri razvoju i testiranju aplikacija.

Sigurnosne ranjivosti s SSL certifikatima

Govoreći o kupnji SSL certifikata, važno je razumjeti da to samo po sebi nije čarobni štapić, dok ga mahanjem odmah oslobodite svih problema povezanih s sigurnošću web-mjesta. Bez obzira na to koliko su kriptografski mehanizmi šifriranja složeni, krajnji autoritet u infrastrukturi SSL certifikata još uvijek su ljudi, te stoga sva pitanja povjerenja leže na ljudskom faktoru. Tako je u rujnu 2015. Symantec, greškom svojih zaposlenika, izdao 164 nezakonita certifikata za 76 imena domena. Još jedan osjetljiv trenutak pomoću SSL certifikata je pohranjivanje tajnog ključa: ne možete ga sakriti u sigurnom, izolirati ga od vanjskog svijeta, jer se često koristi u procesu HTTPS veze, a postoji i mogućnost hakiranja poslužitelja za presretanje privatnog ključa. Krivac za hakiranje može opet biti osoba - administrator poslužitelja koji iz nekog razloga nije mogao zaštititi poslužitelj. Stoga vlasnici privatnih ključeva često postavljaju lozinke na njih.

Vrste SSL certifikata

Ako se odlučite za kupnju SSL certifikata od jedne od ustanova za izdavanje certifikata, trebali biste saznati koje njihove varijante postoje. Na prvi pogled, prilično je teško odabrati SSL certifikat među mnogima koji su danas zastupljeni na tržištu: razlika u cijeni može doseći 100.000 rubalja, a nije uvijek jasno koja od mogućnosti pojedinog certifikata vaš projekt stvarno treba. Međutim, to možete razumjeti koristeći četiri glavna kriterija koje treba uzeti u obzir prilikom kupnje SSL certifikata:

  1. željeni stupanj povjerenja u resurs;
  2. broj domena i poddomena za koje je certifikat kupljen;
  3. vrsta predmetnog certifikata o stjecanju: fizička ili pravna osoba;
  4. Veličina financijskih mogućnosti za stjecanje certifikata

Najprije ćemo razumjeti prvu stavku.

Valjanost vašeg resursa može se potvrditi s tri različita stupnja njezine provjere. Prema tome, postoje tri različite vrste SSL certifikata koji se razlikuju u vrsti provjere valjanosti:

  • potvrde o vlasništvu domene (provjera domene);
  • potvrde koje potvrđuju, osim domene, i pravno postojanje organizacije (Validacija organizacije);
  • potvrde s proširenom provjerom valjanosti.

Provjera domene

DV potvrde potvrđuju samo činjenicu da vlasnik certifikata stvarno posjeduje ovu domenu i da je najpristupačniji tip SSL certifikata. Ovi certifikati su najprikladniji za forume i male web-lokacije ili blogove s vrlo malo posjetitelja.

SSL certifikat ove razine:

  • daje samo početnu razinu zaštite;
  • dostupni fizičkim i pravnim osobama;
  • ne zahtijeva pružanje dodatnih dokumenata;
  • Dostupno za 5-10 minuta;
  • košta oko 1-4 tisuća rubalja godišnje.

Validacija organizacije

OV-certifikat potvrđuje poslovni status organizacije i uzrokuje mnogo više povjerenja korisnika od DV certifikata. Ova vrsta certifikata prikladna je za online trgovinu i drugo malo online poslovanje.

Certifikat o razini zaštite OV:

  • osigurava prosječnu razinu zaštite;
  • izdaju se samo pravnim osobama;
  • za registraciju morate dostaviti kopije dokumenata organizacije, račun telefonske tvrtke s navedenim nazivom organizacije i telefonskim brojem njegovog vlasnika;
  • Dostupno u 1-5 dana;
  • koštat će od oko 4.000 rubalja do 50.000 rubalja godišnje.

Proširena validacija

Napredni SSL certifikati su najpouzdaniji, ali i najskuplji. Pogodno za veliku i ozbiljnu organizaciju za koju su prestiž i sigurnost važni.

Certifikat razine EV:

  • Nudi najvišu razinu sigurnosti i najvišu razinu povjerenja među ostalim SSL certifikatima.
  • izdaju se samo pravnim osobama;
  • za registraciju su potrebni sljedeći dodatni dokumenti: potvrda o poreznoj registraciji, obavijest o registraciji pravne osobe, obavijest o registraciji kao osiguratelj i druge;
  • podržava ćirilične domene;
  • Dostupno za 3-10 dana.
  • koštat će od oko 10.000 do 100.000 rubalja godišnje.

Nakon provjere dokumentacije, pružatelj usluga može nazvati i telefonski broj koji je objavio organizacija, čime se dovršava dodatni korak provjere. No, nakon što prođete kroz sve to, vaš će site imati najvišu razinu povjerenja, kao što je naznačeno zelenom utičnicom s nazivom tvrtke u adresnoj traci. Prema njemu, korisnici će moći odrediti visoki poslovni status tvrtke, a kada kliknete na panel, saznajte sve informacije o organizaciji. Certifikati ove vrste služe kao izvrsna zaštita od phishinga: zbog strogih zahtjeva za provjerom, napadači neće moći proći sve faze verifikacije, što će rezultirati time da se „lažni“ EV certifikati nalaze u iznimno rijetkim slučajevima.

Pitate koji certifikat odabrati? Sve ovisi o fokusu Vaše web lokacije i proračuna. Također je korisno vidjeti koji SSL certifikati koriste vaši partneri, konkurenti ili veća mjesta. Na primjer, dobro poznata usluga rezerviranja hotela ostrovok.ru koristi PositiveSSL Wildcard certifikat od Comodo; Popularna internetska trgovina wildberries.ru koristi SGC OV SSL Wildcard certifikat maksimalne sigurnosti. Tinkoff.ru web-mjesto koristi SSL certifikat EV certifikata iz Thawte registracijskog centra.

Preporučujemo korisnicima da pažljivo provjere naziv tvrtke, budući da prevaranti mogu stvoriti „lažnu“ organizaciju sa sličnim imenom i povezati s njom SSL certifikat.

Što učiniti ako trebate zaštititi više poddomena ili različitih domena na istom poslužitelju?

U tom slučaju morat ćete kupiti SAN (UCC) certifikat, koji je savršen za projekte s više domena i MS Exchange proizvode. Postoje zamjenski certifikati za zaštitu samo nekoliko poddomena. Kupnjom takvog certifikata osiguravate šifriranje ne samo za glavnu domenu, već i za neograničen broj poddomena tipova poddomene1.domain.com, poddomena2.domena.com itd. Međutim, nisu svi pružatelji usluga izdavali Wildcard certifikate sa zaštitom glavne domene, pa je prije naručivanja vrijedno obratiti posebnu pozornost na to. Iako su glavne prednosti Wildcard certifikata praktičnost i ušteda (ne morate voditi brigu o certifikatu za svaku poddomenu i plaćati ih), ponekad je jeftinije i dalje kupiti zasebne SSL certifikate za svaku poddomenu, osobito ako ih nije previše.

Napravimo malu usporedbu glavnih pružatelja SSL usluga: Symantec, Thawte i Comodo. Unatoč činjenici da, u stvari, sve tvrtke prodaju gotovo isti proizvod, postoje značajne razlike u usluzi. Symantec ima najveće prošireno jamstvo, dosegnuvši 1.750.000 dolara. Taj iznos bit će isplaćen kao šteta ako Symantec prekrši uvjete jamstva. Također, tvrtka ima antivirusnu zaštitu, koja svakodnevno skenira stranice na vašem hostu kako bi otkrila zlonamjerni softver. No, vrijedi napomenuti da oni mnogo traže za ovu funkcionalnost - Symantec ima najskuplje certifikate iz svih triju prezentiranih centara. Comodo ima najpristupačnije certifikate koji također nude usluge antivirusnog skeniranja i PCI analize. Thawte ne nudi nikakve dodatne značajke i ima prosjek svih cijena za SSL certifikat.

Želio bih napomenuti da danas većina vlasnika stranica odmah dobiva SSL certifikate od pružatelja hosting usluga. Unatoč činjenici da su, zapravo, posrednici, cijena certifikata, na štetu velikih količina prodaje, može biti čak i niža od one u samom certifikacijskom centru!

Važno je imati na umu da svi certifikati ne podržavaju IDN (internacionalizirana imena domena). Možete odabrati certifikat s idealnim omjerom cijene i kvalitete, ali ako ga kupite za ćirilično područje, to uopće nije činjenica da će vam odgovarati. SSL certifikati s podrškom za IDN mogu se kupiti od tvrtki kao što su GlobalSign, Thawte, Comodo ili Symantec.

U zaključku

Prilikom odabira SSL certifikata, imajte na umu koje certifikate su vaši konkurenti odabrali i samo tvrtke s identičnim proizvodom, broj publike i način razmjene informacija s njim. Također imajte na umu da će dobar bonus za kupnju SSL certifikata biti činjenica da su web-lokacije s HTTPS vezom rangirane iznad ostatka Googlea. Osim toga, kako je nedavno izvijestio Google, sve web lokacije bez SSL certifikata i prihvaćanje zaporki i brojeva kreditnih kartica bit će stavljene na Google Chrome kao nesigurne. Ovo je još jedan razlog za razmišljanje o kupnji SSL certifikata, pogotovo jer je danas HTTPS veza mnogo pristupačnija korisnicima nego prije nekoliko godina, a neke tvrtke nude profitabilne promocije i čak daju certifikate kao bonus.

Pogledajte videozapis: Preuzimanje i instaliranje certifikata za pristup nPISEJS aplikacijama (Kolovoz 2019).

Ostavite Komentar