Цифровые сертификаты безопасности
HTTPS-соединение
Проверить наличие защищенной передачи данных можно с помощью URL-адреса, который распложен в адресной строке. Зашифрованное соединение должно начинаться с “https://” . Также универсальным показателем для определения подлинности сайта и наличия https-соединения является значок зеленого замка, расположенный левее адресной строки браузера. В современных версиях браузеров, в адресной строке, у сайтов, использующих незашифрованное http-соединение, префикс "http" не пишется.
Данный протокол является расширением http-протокола (hypertext transfer protocol), предназначенного для передачи данных. Окончание «s» в аббревиатуре https, обозначает secure – безопасный.
Предоставление зашифрованного соединения не является обязательным требованием для всех видов Интернет-ресурсов. Безопасное соединение желательно для сайтов, где пользователю необходимо оставлять личную информацию (соцсети, форумы, страницы регистрации в интернет-магазинах), а также на ресурсах, где производятся онлайн-платежи или банковские операции. Обязательное использование https протокола для подобных ресурсов нормативно нигде не закреплено, однако сайты, которые “заботятся” о защите личных данных пользователей, вызывают большее доверие. Кроме того, существует тенденция к повсеместному переходу с обычного http-соединения на безопасное https как для ресурсов, работающих с личными данными пользователей, так и для развлекательных или информационных ресурсов. Стимулом к этому служит продвижение подобных ресурсов в поисковой выдаче. С января 2017 года поисковый сервис Google помечает сайты, работающие по http-протоколу, как небезопасные, а в дальнейшем будет отмечать их как ненадежные. Исключением служат страницы, в которых отсутствуют формы для ввода пользовательской информации.
Защищенное https соединение устанавливается благодаря шифрованию передаваемой информации с помощью протокола TLS (англ. transport layer security — безопасность транспортного уровня). TLS – комбинированная криптографическая система, сочетающая в себе методы ассиметричного и симметричного шифрования.
Ассиметричное шифрование – метод, использующий открытые ключи для создания общего секретного ключа и аутентификации.
Симметричное шифрование – метод, использующий секретный (сеансовый) ключ для шифрования передаваемой информации.
У каждого участника «диалога» есть пара ключей – открытый и закрытый. Открытый ключ находится в свободном доступе и используется для шифрования информации. Закрытый ключ используется для дешифрования и получения исходного сообщения и должен хранится в секрете. Ни один из ключей не может выполнять обе функции.
Схема установления шифрованного соединения
Пусть Паша и Даша - две стороны, осуществляющие обмен открытыми ключами. У каждого из них есть закрытые и открытые ключи.
- Компьютер Даши генерирует сеансовый ключ и шифрует им условное сообщение «привет». После этого шифруется сеансовый ключ открытым ключом Паши «0123456789» и отправляется сообщение, содержащее зашифрованные приветствие и сеансовый ключ.
- Паша, получив сообщение, сперва дешифрует вторую строчку с помощью своего закрытого ключа и получает сеансовый ключ. Затем с помощью сеансового ключа дешифрует первую строчку и получает исходное сообщение.
- Паша формирует ответ, условное сообщение «привет получил», и шифрует его тем же сеансовым ключом. Также шифрует сеансовый ключ открытым ключом Даши («0987654321») и отправляет сообщение.
- Даша получает, расшифровывает входящее сообщение и убеждается, что Паша прочитал ее первое сообщение. Дальнейшее общение будет вестись симметричным шифрованием с использованием установленного сеансового ключа для шифрования и дешифрования.
С помощью приведенного алгоритма две стороны могут получить общий сеансовый ключ, который будет действовать до разрыва соединения.
Аутентификация. Цифровые сертификаты
Для того чтобы убедиться, что диалог осуществляется именно с нужным клиентом (пользователем или веб-страницей), предусмотрена процедура аутентификации, которая осуществляется посредством проверки цифрового сертификата. Подобный сертификат подтверждает принадлежность открытого ключа конкретному клиенту, т.е. подтверждает, что субъект является тем, с кем и планировалось установить соединение.
Чтобы сертификату можно было доверять, его подписывает специальный аккредитованный удостоверяющий центр (Center Authority, CA). Центр сертификации проверяет: принадлежит ли домен лицу, запрашивающему сертификат. Когда CA убеждается в этом, центр подписывает сертификат, т.е. подтверждает тот факт, что открытый ключ действительно принадлежит лицу, запросившему сертификат, и ему можно доверять.
Узнать информацию о сертификате конкретного ресурса можно, нажав на значок замка, расположенный левее адресной строки. На что следует обратить внимание:
- центр сертификации, выдавший данный сертификат;
- вид сертификата;
- период действия;
- название организации, которой принадлежит данный домен.
Виды сертификатов
- Самоподписной сертификат. Это самый простой сертификат, который можно выпустить самостоятельно. Также преимуществом является то, что он бесплатный. Недостаток заключается в том, что сайты с самоподписным сертификатом браузеры помечают как небезопасные или фишинговые. По этой причине данный вид используется достаточно редко, так как появление подобного предупреждения, как правило, отпугивает пользователей.
- Сертификаты, подтверждающие только доменное имя (Domain Validation — DV). Данный сертификат получается автоматически через центр сертификации. Как следует из названия, такие сертификаты подтверждают только доменное имя. Рядом с адресной строкой для таких сайтов отображается замок белого или серого цвета (в зависимости от браузера), что свидетельствует только о наличии шифрования при передаче данных.
- Сертификаты с валидацией организации (Organization Validation – OV). Получить подобный сертификат может только компания. Для его выдачи Центр сертификации проверяет: реально ли существует данная организация и принадлежит ли ей конкретный домен. Сайты с данным типом сертификата также отмечаются белым или серым замком рядом с адресной строкой.
- Сертификаты с расширенной проверкой (Extendet Validation – EV). Самый дорогой и самый сложный в получении вид сертификата. Это обусловлено тем, что для его выдачи центр сертификации проверяет правовую, физическую и операционную деятельность субъекта, а также убеждается, что организация соответствует официальным документам. Помимо этого необходимо убедиться, что компания имеет исключительное право на домен, который указан в сертификате EV. Отличительной особенностью является то, что для сайтов с EV сертификацией рядом с адресной строкой отображается значок зеленого замка.
Выдачей сертификатов занимаются специализированные центры сертификации, среди которых можно выделить наиболее известные: Thawte, Comodo, Symantec, Geotrust, Trustwave, WoSign.
Рекомендации
- Передавать личные данные и совершать денежные операции только через ресурсы, которые используют протокол https.