Сайты, оперирующие с конфиденциальной информацией (например, платёжными персональными данными), должны гарантировать пользователю её сохранность. Для этого обмен секретной информацией между браузером пользователя и веб-сервером производится посредством криптографического протокола (алгоритма) SSL (Secure Sockets Layer).

Этот протокол делает передаваемые данные закодированными. Такая информация, даже будучи похищенной, не сможет использоваться злоумышленником. Ведь у него нет специального ключа для её расшифровки.

Стандартный интернет-протокол HTTP обмена данными не поддерживает передачу закодированной по SSL информации. Для этого должен быть использован усовершенствованный обменный протокол HTTPS. Передаваемые по нему данные «упаковываются» по правилам криптографического протокола SSL. Визуальное отличие HTTPS – наличие в адресной строке браузера зелёной иконки замочка. Обменный протокол HTTPS может быть реализован только при условии предварительного получения и установки на сервер SSL сертификата.

Что входит в SSL сертификат и о чём он говорит

Сертификат SSL обычно включает следующие данные:

• доменное имя, на который оформлен сертификат;
• юридическое лицо – владелец;
• географический адрес (страна, город) владельца;
• срок действия сертификата;
• реквизиты организации, выдавшей сертификат.

Таким образом, сертификат подтверждает подлинность владельца сертификата и однозначно идентифицирует его. Поэтому при необходимости с ним нетрудно связаться. Пользователь может доверить свою конфиденциальную информацию только внушающему доверие сайту. Документом, удостоверяющим надёжность сайта, и является сертификат SSL веб-сервера, на котором он расположен. Наличие сертификата показывает, что сайт заботится о безопасности персональных данных своих посетителей. Это повышает их доверие к нему. «Любят» такие сайты и поисковые системы.

Затраты на приобретение сервером сертификата часто входят в стоимость предоставляемого владельцу сайта хостинга. Известно его 3 вида – виртуальный, виртуальный выделенный (VPS) и выделенный. Большинство сайтов арендует VPS-хостинг, обеспечивающий комфортные условия работы в среднем ценовом сегменте. Замочек протокола HTTPS практически всегда сопровождает VPS-хостинг. Такой сайт считается серьёзным, солидным и долговременным. Ведь его владелец платит повышенную стоимость аренды хостинга провайдеру.

Типы SSL сертификатов

Внушающие доверие SSL сертификаты подписываются и заверяются центрами сертификации, специализирующимися на их выдаче. Самые известные – компании Thawte и VerySign, в России – RU-CENTER. Сертификат может быть установлен только на такой домен web-сервера, который прошёл проверку подлинности – аутентификацию.

Существующие SSL сертификаты бывают разных типов.

• С проверкой домена (Domain Validation). Это – самый простой и поверхностный тип, проверяющий достоверность адреса сайта. Сертификат можно получить за несколько минут, требующихся для диалога между пользователем и центром сертификации. Пользователь идентифицирует себя как арендатора домена двумя способами. Можно перейти по ссылке посланного на почту домена электронного письма, или загрузить на сервер специальный текстовый хеш-файл.
• С проверкой компании (Organization Validation). Проверяется подлинность адреса сайта и организация – владелец домена. В центр сертификации необходимо отослать документы компании и пообщаться по телефону. Период выдачи – 2–10 дней.
• С расширенной проверкой (Extended validation). Особо тщательно проверяются компания, владеющая доменом. Требуются нотариально заверенные переводы документов на английский язык и подтверждение данных третьей стороной. Регистрация такого сертификата занимает до 10 дней, а стоит он в разы дороже обычного. С таким сертификатом высокого уровня часто работают сайты банков. Он отличается и визуально – зелёной адресной строкой браузера.
• С поддержкой субдоменов (Wildcard). Сертификат, проверяющий достоверность домена и его субдоменов. Простая разновидность выдаётся за несколько минут, а сложная – за 2–10 дней.
• SAN SSL сертификаты. Ориентированы на защиту нескольких доменных имён, IP-адресов, шлюзов и межсетевых экранов.
• Для ПО (CodeSigning SSL). Результат отсутствия этого сертификата пользователи видят, скачивая непроверенные программные продукты.

Существуют также самоподписанные и подписанные недоверенным центром сертификаты. Их наличие ничего не подтверждает, поскольку получить их без проверки может любой желающий. Поэтому браузеры предупреждают об этом пользователей.

• Назад
• Вперед