Рассказываем, зачем нужен SSL-сертификат и как он работает

Представьте ситуацию: вы оплачиваете заказ в интернете и вас просят ввести номер банковской карты. Браузер передаёт эту информацию на сервер, где специальная программа проверяет подлинность карты и отсылает квитанцию о покупке. Потом банк снимает с карты деньги. Кроме данных карты браузер может передавать пароли, адреса электронной почты и другую личную информацию.

Обычно браузер передаёт всю информацию в открытом виде. Если на пути передачи окажутся мошенники, они смогут перехватить информацию и использовать её в личных целях. Скорее всего вы даже не заметите, что пароль или номер карты перехватили. Об этом чаще всего узнают, когда с карты исчезают деньги или узнают, что кто-то сменил пароль в аккаунте. Чтобы избежать таких ситуаций, нужен SSL-сертификат. На сайте с SSL-сертификатом браузер использует безопасное соединение.

SSL-сертификат — это средство защиты личной информации пользователей в интернете. Если на сайте есть SSL-сертификат, в адресной строке браузера появится зелёный замок и протокол HTTPS. Это значит, что на этом сайте безопасно вводить пароль или номер банковской карты.

Как работает шифрование

Когда пользователь заполняет контактные формы на сайте с сертификатом, браузер превращает текст в случайный набор символов и отправляет сообщение на сервер. Дальше специальная программа на сервере превращает зашифрованное сообщение снова в обычный текст.

Чтобы зашифровать или расшифровать сообщение, нужен ключ. Это основа любого метода шифрования. Самый простой способ — поменять каждую букву в слове на следующую. В этом случае ключ — это сдвиг на одну букву вправо.

Сравните две фразы:       Этот шифр слишком прост    >>>   Юупу щйхс тмйщлпн рспту

Подобрать такой ключ легко. Шифрование SSL-сертификатов намного сложнее. У мошенников уйдут годы, чтобы перебрать возможные ключи.

В работе SSL-сертификата участвует два типа шифрования: симметричное и асимметричное.

Симметричное — это когда один ключ зашифровывает и расшифровывает сообщение.

Асимметричное — когда есть два разных ключа: публичный и приватный. Публичный только зашифровывает сообщения, его видит каждый браузер. Приватный только расшифровывает и хранится в секрете на сервере.

Симметричное шифрование удобнее, но ключ должны знать обе стороны. Это сложно реализовать, потому что браузеров много, а сервер, где установлен SSL-сертификат для сайта, один. Серверу пришлось бы каждый раз отправлять ключ в открытом виде, а это небезопасно. Для этого и нужно асимметричное шифрование — чтобы передать симметричный ключ.

Каждый раз, когда на сайт заходит посетитель, браузер генерирует уникальный симметричный ключ, зашифровывает его публичным ключом и отправляет на сервер. Сервер сверяет приватный ключ с публичным и расшифровывает сообщение. Этот процесс занимает несколько секунд.

Какие бывают сертификаты

Какой бы сертификат вы ни купили, после покупки придётся пройти проверку. Это что-то вроде подтверждения прав на домен и удостоверения личности. Проверка нужна, чтобы свести к минимуму случаи, когда сертификат получает мошенническая организация. По сложности проверки сертификаты делятся на три вида.

С проверкой домена

Это самый простой тип проверки. Понадобится только подтвердить права на владение доменом. Есть несколько способов это сделать. Например, запросить верификационное письмо на электронный адрес из контактной информации домена. Обычно такая проверка занимает около 15 минут.

Сертификаты с проверкой домена подойдут для небольших проектов вроде личного сайта с приёмом платежей, блога, промо-страницы с формой приёма заказов и т.д.

С проверкой организации

Для выпуска такого сертификата понадобятся документы — запись о компании или физическом лице-предпринимателе в государственном реестре. Для физических лиц еще нужен паспорт или водительские права. После покупки вам вышлют условия проверки по электронной почте. Так центр сертификации убедится, что вы имеете право на коммерческую деятельность и обработку личных данных.

Сертификаты с проверкой организации подойдут для средних проектов вроде форума, интернет-магазина, социальной сети, сайта с онлайн-курсами и т.д.

С расширенной проверкой

На сайтах с таким сертификатом появится зелёная строка с названием компании. После покупки центр сертификации проверит контактную информацию домена и организации, государственную регистрацию и права на коммерческую деятельность. Полный список требований вышлют по почте. Этот тип проверки сложнее других.

Сертификаты с расширенной проверкой выдают только юридическим лицам. Они подойдут для крупных предприятий вроде банка, государственной организации, торговой сети, корпоративного сайта и т.д.

SSL-сертификаты отличаются по типу защиты. Тип защиты определяется количеством доменов и субдоменов, которые один сертификат способен защитить. В этой категории три вида сертификатов.

Для одного домена

Защитит только одно имя: основной домен или любой субдомен. SSL-сертификат для одного домена подойдёт, если клиенты вводят личные данные на какой-то одной странице сайта. Например, такой сертификат подойдёт для личного сайта, блога или промо-страницы.

Для нескольких доменов

Защитит разные домены одной компании. Он подойдёт международным организациям или торговым сетям. Например, если у вашей компании несколько сайтов для разных государств.

Для субдоменов

Одновременно защитит основной домен и все субдомены 1-го уровня от домена, на который он выпущен. Такой SSL-сертификат подойдёт сайту, у которого есть разделы на субдоменах. Обычно это сайты, где можно создать аккаунт. Например, сайт интернет-магазина или банка.

 Что будет после покупки

АКТИВАЦИЯ

После покупки сертификат нужно активировать: заполнить общую информацию о домене и организации, отправить запрос на активацию и пройти проверку. После проверки поддержка центра сертификации пришлёт вам письмо и статус SSL-сертификата поменяется на «Активный».

Если купили сертификат у нас, воспользуйтесь пошаговой инструкцией по активации.

УСТАНОВКА

После активации, установите сертификат на сайт. В разных панелях управления хостингом это делают по-разному. В нашей базе знаний есть инструкции по установке сертификата в cPanel, Direct Admin, ISPmanager. Если вам удобнее работать с хостингом через командную строку, мы составили инструкции для Nginx и Apache.