Можете да изберете дали да четете сайта в светла или тъмна тема

Какво е SSL / TLS сертификат и защо е важен за успеха на Вашия сайт?

SSL-сертификат

SSL е абревиатура от Secure Sockets Layer – криптографски протокол за връзка клиент-сървър, разработен от Netscape Communications Corporation, за пренос на информация в интернет.

SSL сертификатът има за цел да защити данните, които се обменят между клиента (потребител) и сайт (сървър) така, че да не могат да бъдат хакнати или “прихванати”. Напримeр, когато пазарувате от електронен магазин, или осъществявате разплащания и предоставяте свои лични данни – имена, адрес, атрибути на платежни инструменти и др.

В изминалите 25 години бяха публикувни няколко версии SSL протокол, при които имаше пробеми със сигурността. Към момента се използва TLS (Transport Layer Security), но абревиатурата SSL стана популярна, наложи се и се използва масово, вместо актуалната TLS.

Как работи SSL протокола?

Когато клиент (потребител) желае да достъпи сайт (сървър), стартира процедура по установяване на криптирана връзка, която се нарича ръкостискане (handshaking). Двете страни – клиентът (браузера) и сайтът (сървъра) следва да постигнат съгласие по отношение на параметрите за криптиране, за да бъде установена защитена сесия.

TSL (SSL) протоколът има следните стъпки:

  • Клиентът изпраща до сайта заявка за стартиране на SSL сесия, като предоставя списък с поддържаните Cipher Suites (ciphers and hash functions).
  • Сайтът избира най-силния шифър и хеш функция и информира клиента, като се идентифицира със своя цифров сертификат. Сертификатът най-често съдържа името на сайта, издателя на сертификата (certificate authority) и публичен ключ за криптиране на сървъра.
  • Клиентът може да се свърже със сървъра, който е издал сертификата (CA), за да потвърди валидността му.
  • Клиентът криптира случайно число с публичния ключ на сървъра и връща резултата към сайта, за да се генерират сесийните ключове, които ще се използват за сигурна връзка
  • Сайтът го дешифрира със своя личен ключ. Така завършва процесът на ръкостискане и стартира защитена шифрована връзка.

Ако някоя от стъпките, описани по-горе не бъде осъществена, връзка не се реализира и сесията се разпада. Нагледно можете да проследите процеса на изобржението, което следва:

Как да разбрем дали сайтът използва SSL протокол?

Сайтовете, които осигуряват криптирана връзка с потребителите – използват HTTPS протокол – абревиатура от HyperText Transfer Protocol Secure. Букавта “S” идва от “secure” (сигурност). Сайтовете без SSL (TSL) сертификат се зареждат с HTTP – т.е. без S за Secure. 

За още по-голяма яснота – преди изписването на адреса на сайта – е добавено малко катинарче, което подсказва, че връзката е сигурна:

Каква информация съдържа SSL сертификата?

SSL сертификатите най-често съдържат следните данни:

  • Името на домейна, за който е издаден сертификатът;
  • На кого е издаден сертификата – човек, организация или устройство;
  • Кой сертифициращ орган е издал сертификата;
  • Цифровият подпис на сертифициращия орган;
  • Свързани поддомейни;
  • Дата на издаване на сертификата;
  • Срок на валидност на сертификата;
  • Публичен ключ (частният ключ не се разкрива).

За да видите детайлите за SSL сертификата, кликнете върху катинарчето в адресната лента на браузера. Ще използваме за пример сайта PayPal:

Катинарчето подсказва, че връзката е защитена. Това се изписва и с текст в зелено. Вижда се, че сертификатът е валиден, на кого е издаден – PayPal, Inc., държавата [US], както и броя бисквитки, които се използват. За повече информация – кликнете върху “Сертификат” (валиден):

От тук можете да кликнете и върху бутона “Декларация на издателя”, при което тя ще се зареди в нов раздел в браузера.

Защо е важно сайтът ни да има SSL сертификат?

Използването на SSL сертификат вече не е само пожелателно, а задължително условие, ако желаете сайтът Ви да бъде успешен. Протоколът дава редица предимства, по-важните от които са:

  • По-добро класиране в резултатите на търсачките: сайтовете, които използват защитена връзка получават предимство пред онези, които не използват. Ако желаете сайтът Ви да се класира по-добре в резултатите на търсачките (Google), то не пропускайте да използвате SSL сертификат за криптирана връзка с потребителите.
  • Бързина на зареждане: ако сайтът Ви разполга с SSL сертификат, ще можете да използвате по-актуален протокол – HTTP/2. Комбинирането на HTTP/2 с SSL сертификат гарантира много по-бърз отговор от сървъра (хостинга).
  • Сигурност и надеджност: използването на SSL сертификат потвърждава Вашата загриженост за сигурността и надеждността на обмена на данни между сайта и клиента, и повишава доверието. Браузерът Chrome на Google извежда и предупреждение, ако сайтът не предлага криптирана връзка.

Как да добавим SSL сертификат на сайта си и колко струва?

За да получите SSL сертификат, можете да се обърнете директно към сертифициращ орган (CA). Сертифициращите органи – (Certificate Authorities или Certification Authorities) – издават милиони SSL сертификати всяка година, което е от изключителна важност за надеждността и сигурността в интернет.

Цената на SSL сертификата може да варира. Много сайтове използват безплатни сертификати, тъй като не се нуждат от високи нива на сигурност. Но има и сертификати, чиято стойност е трицифрена сума, които осигурява изключително високо ниво на сигурнст.

Процесът по получаването на SSL сертификат най-често включва следните стъпки:

  • Проверете дали записът в WHOIS е актуализиран и отговаря на това, което изпращате на сертифициращия орган (правилното име и адрес на компанията и т.н.).
  • Генерирайте на заявка за подписване на сертификат (CSR) на Вашия сървър. За тази стъпка можете да получите съдействие от Вашата хостинг компания.
  • Изпратете генерираната заявка на сертифициращия орган, за да потвърдите данните за Вашите домейн и компания.
  • Инсталирайте предоставения сертификат, след като процесът по издаване приключи.

След като получите сертификата, следва да го конфигурирате на хостинга, който използвате, или на сървърите и, ако сами хоствате сайта си.

Колко бързо ще бъде издаде сертификата зависи от това от кой вид е, както и от кой сертифициращ орган е издаден. Всяко ниво на валидиране има различна продъжителност. Обикновен SSL сертификат за потвърждаване на домейн може да бъде издаден в рамките на минути, а разширеното валидиране може да отнеме и седмица.

Повечето хостнг компании осигуряват безплатен SSL сертификат от Let’s Encrypt за своите клиенти с опция за автоматично подновяване, която се контролира през cPanel в клиентската зона.

Сред по-значимите спонсори и създатели на Let’s Encrypt са:

Видове SSL / TSL сертификати?

Има различни видове SSL сертификати с различни нива на валидиране. Шестте основни типа са:

  1. Extended Validation certificates (EV SSL)
  2. Organization Validated certificates (OV SSL)
  3. Domain Validated certificates (DV SSL)
  4. Wildcard SSL certificates
  5. Multi-Domain SSL certificates (MDC)
  6. Unified Communications Certificates (UCC)

Имената на типовете сертификати подсакзват и какво е предназначението им, но нека ги прегледаме по отделно:

Extended Validation сертификат (EV SSL)

Extended Validation сертификат (EV SSL) или разширен валидационен сертификат е SSL сертификатът от най-висок клас, съответно е и най-скъпият. Използва се от сайтове, които събират данни и извършват онлайн плащания. Когато даден сайт използва този SSL сертификат, ще виждате катинарчето, HTTPS, името на бизнеса, както и държавата. Тази информация бе представена в примера с PyPal – по-горе. 

paypal-ssl

За да бъде получен и приожен EV SSL сертификат, собственикът на сайта трябва да премине през стандартизиран процес за проверка на самоличността, и да потвърди, че е упълномощен законно за изключителните права върху домейна.

Organization Validated сертификати (OV SSL)

Organization Validated сертификатът (OV SSL) или сертификатът за валидиране на отганизации е SSL сертификат с ниво на сигурност, подобно на EV SSL сертификата. За да бъде издаден, собственикът на сайта също преминава през процес на валидиране. Този тип сертификат също показва информацията за собственика на сайта в адресната лента, за да се разграничи от злонамерените сайтове. 

OV SSL сертификатите обикновено са вторите най-скъпи (след EV SSL) и криптират чувствителната информация на потребителя по време на транзакции. Търговските или публичните сайтове инсталират OV SSL сертификати, за да гарантират, че споделената информация от/за клиенти остава поверителна.

Domain Validated сертификати (DV SSL)

Domain Validated сертификатите (DV SSL) или сертификатите за валидиране на домейни са с по-опростен процес на сертифициране, и съответно осигурява по-ниска сигурност и минимално криптиране. Те са предназначени за блогове или информационни сайтове, които не събират данни и не извършват онлайн плащания. 

Този тип SSL сертификат е сред най-евтините и се издава бързо. Процесът на валидиране изисква само собственикът на сайта да докаже собствеността на домейна, като отговори на имейл или телефонно обаждане. Адресната лента на браузъра показва само HTTPS и катинар, без името на бизнеса.

Wildcard SSL сертификати

Wildcard SSL сертификатите са предвидени за защита на основен домейн и неограничен брой поддомейни с един сертификат. Ако трябва да защитите няколко поддомена, то закупуването на Wildcard SSL сертификат е много по-изгодно, от закупуването на отделни SSL сертификати за всеки от тях. 

Wildcard SSL сертификатите имат звездичка * като част от общото име, която представлява всички валидни поддомейни, които имат един и същ основен домейн. Например, един сертификат Wildcard за *уебсайт може да се използва за защита:

  • payments.divna.tech
  • login.divna.tech
  • mail.divna.tech
  • store.divna.tech
  • shop.divna.tech

Multi-Domain SSL сертификати (MDC)

Multi-Domain SSL сертификат може да се използва за защита на много домейни и/или имена на поддомейни. За разлика от Wildcard SSL сертификата, Multi-Domain SSL сертификатът се използва за напълно различни домейни и поддомейни с различни TLD, с изключение на локални/вътрешни.

Например:

  • www.divna.tech
  • divna.tech
  • mail.alena-beauty.com
  • divaneto.com

Multi-Domain SSL сертификатите не поддържат поддомейни по подразбиране. Ако трябва да защитите www.divna.tech и divna.tech с един Multi-Domain SSL сертификат, то и двете имена слева да бъдат посочени при заявката за издване на сертификата.

Unified Communications сертификати (UCC)

Унифицираните комуникационни сертификати (UCC) са вид Multi-Domain SSL сертификатит. UCC първоначално са проектирани да защитават сървърите на Microsoft Exchange и Live Communications. Но днес може да ги използва всеки, който пожелае.

По какво се различават видовете SSL / TSL сертификати?

След като се запознахте с видовете SSL / TSL сертификати, то разликите между тях могат да бъдат синтезирани, както следва:

  • Обект на валидиране – какво валидира сертификата – домейна, организация или бизнес.
  • Ниво на криптиране – стандартната дължина е 128-bit или 256-bit, което определя идължината на ключа на криптиране на SSL сертификатите.
  • Цена на SSL / TSL сертификата – по-евтините или безплатни сертификати обичайно валидират само домейна. По-скъпите осигуряват допълнителна валидация на бизнеса, както и по-високи парични гаранции.
  • Застрахователно покритие – размерът на паричната гаранция варира при различните видове SSL / TSL сертификати, ii може да достигне над 1,5 млн. долара.
  • Бързина на издаване – времето за издаване на един SSL сертификат може да варира от минути до 10 дни, взависимост от вида на избрания сертификат, нивата на защита и неговия Сертифициращ издател.
  • Колко домейна и под домейна защитава – по-горе видяхте, че има сертификати, които могат да защитят множество поддомейни на даден сайт – например – Wildcard SSL. Докато други могат защитя различни домейни и техни поддомейни едновременно – Multi-Domain SSL certificates (MDC) и Unified Communications Certificates (UCC).
  • Съвместимост с мобилни устройства – повечето SSL сертификати са mobile-friendly, но има изключения, така, че е уместно да проверите това преди да закупиет сертификат.
  • Site seal – динамичен или статичен.

История на създаване на SSL / TSL сертификатите

Инициативата по разработване на протокола за сигурност на транспортния слой (TLS) и други платформи за мрежова сигурност стартира през август 1986 г. Ангажирани са Агенцията за национална сигурност, Националното бюро по стандартите, Агенцията за комуникации на отбраната и 12 комуникационни и компютърни корпорации в САЩ в проекта Secure Data Network System (SDNS).

Програмата е описана година по-късно през септември 1987 г. в редица публикации от 10-та Национална конференция по компютърна сигурност. Нейният фокус е върху проектирането на следващото поколение защитена компютърна комуникационна мрежа и продуктовите спецификации, които да бъдат използвани в публични и частни интернет мрежи. 

Целта е да се допълнят бързо развиващите се нови стандарти за интернет (OSI), използвани от правителството на САЩ – GOSIP и ITU-ISO JTC1 в интернет. 

Протоколът добива публичност, като SP4. В последстве е преименуван на TLS и е публикуван през 1995 г. като международен стандарт ITU-T X.274 | ISO/IEC 10736: 1995.

ПротоколПубликуваноСъстояние
SSL 1.0НепубликуванНепубликуван
SSL 2.01995 г.Оттеглен през 2011 г. ( RFC  6176 )
SSL 3.01996 г.Оттеглен през 2015 г. ( RFC  7568 )
TLS 1.01999 г.Оттеглен през 2020 г. ( RFC  8996 )
TLS 1.12006 г.Оттеглен през 2020 г. ( RFC  8996 )
TLS 1.22008 г.
TLS 1.32018 г.

Използвате ли TSL сертификат тза Вашия сайт доверявате ли се на сайтове бе такъв?

Total
22
Shares
Вашият коментар

Вашият имейл адрес няма да бъде публикуван.

Total
22
Share