Сказ о славных SSL в мире интернета
Дисклеймер: статья опубликована до обновления Google Chrome с удалением замков из интерфейса, авторы понимают, что это может уйти, но сейчас у нас есть такой UX, и мы уже научились так, поэтому смотрим так :) Да и замок всё ещё будет, просто припрятан ;)
Что-то подсказывает, что вы пользователь интернетов, а значит, каждый раз сталкиваетесь с SSL-сертификатами, даже если не знаете о них. Сейчас мы расскажем больше о том, какие бывают сертификаты, как их различать пользователям и какие выбирать владельцам сайтов.
Самоподписанные сертификаты
Самоподписанные сертификаты — это SSL, которые создаёт владелец сайта, сам же заверяет и сам выпускает внутри своего сервера. Вот такой молодец, сам себе удостоверяющий центр. Подписи от этого центра всё ещё легитимны, но при заходе на сайт любой браузер заподозрит что-то неладное и выдаст предупреждение. В нём будет указано, что сайт настроен неверно, сертификат самоподписанный или просрочен. А значит, вас как пользователя могут тут обмануть. Обычно такими сертификатами пользуются в серых сетях, развёрнутых внутри компаний, или локально на тестовом окружении, когда домен ещё не куплен. Разработчики привыкли видеть такие сообщения во время работы и могут быть уверены, что их сайт test123.ru
точно не собирается красть данные. Но сайт с предупреждением лучше обойти стороной, особенно если попадаешь на него из поисковика. Ведь этот скачанный бесплатно и без СМС реферат может не стоить украденных данных.
DV-сертификаты и фантастические Let’s Encrypt
Если же домен уже куплен, почему бы не провести всё как надо? Есть два пути: бесплатный и платный. Начнём с первого.
В 2014 году несколько организаций объединились, чтобы сделать интернет безопаснее доступным способом. Принцип их работы прост: если вы купили домен и готовы подтвердить, что владеете им, Let’s Encrypt даёт вам сертификат после автоматической проверки. Платить не надо, но через 90 дней вернитесь и повторите процедуру. Если точнее, они предлагают возвращаться каждые 60 дней, чтобы точно не просрочить, но большинство панелей управления автоматизируют этот процесс. К тому же есть скрипты, позволяющие запускать обновление по графику. Это позволило сотням миллионов сайтов стать безопаснее для пользователей и для себя. Но что таится под бесплатностью такого сертификата? Да ничего. Кроме того, любой может получить сертификат после покупки домена. И это не так сложно сделать и даже не показать своих банковских или персональных данных, например через криптовалюту. Или вовсе получить бесплатный домен. А значит, такие сайты легко использовать для фишинга или мошенничества. Даже сам Let’s Encrypt не отрицает этого и предлагает жаловаться на такие сайты через специальные формы.
Let’s Encrypt выдаёт Domain Validation сертификаты бесплатно. Тип проверки понятен из названия: проверяется домен, а точнее владение им. Есть несколько видов проверок, которыми пользуется Let’s Encrypt. Самый распространённый — банальная проверка доступности сайта, точнее конкретного файла на нём (HTTP-01). Существует и проверка по DNS, где проверяются специальные TXT-записи для доменного имени (DNS-01). Проведя успешные испытания, Let’s Encrypt видит, что всё в порядке, выдаёт сертификат, и теперь можно использовать шифрованное соединение.
Платные DV-сертификаты обычно самые дешёвые и работают по схожему принципу проверки. Вот в чём отличие от бесплатного:
- сертификат будет работать год (раньше было аж 5 лет, но со временем срок становится всё меньше);
- владельцу сайта надо будет провести оплату, а значит, уже как-то показать себя;
- платные сертификаты имеют страховку от удостоверяющего центра (да-да, если что-то произойдёт из-за сертификата и это будет доказано, владельцу сайта будет выплачена компенсация);
- сертификаты поддерживаются старыми устройствами, в отличие от Let’s Encrypt.
Что это всё значит для пользователя интернета? Если видите Let’s Encrypt в подписи сертификата, подумайте несколько раз, доверять ли такому сайту. Если этот сайт не просит у вас денег или личные данные, скорее всего, всё в порядке: ваше соединение защищено. Но что делать если вас просят оставить номер телефона или — о ужас! — оплатить что-то, введя данные банковской карточки? Стоит ли верить платным DV-сертификатам от других удостоверяющих центров? Каждый тут уже решает сам, ведь люди, которые заводили этот сайт, никак не подтверждали свою личность или компанию.
Гигачады OV- и EV-сертификации
Для серьёзных компаний есть два вида сертификатов: с подтверждением организации (Organization Validation, OV) и с расширенной проверкой (Extended Validation, EV). Что это всё значит? При таких проверках сайт не просто автоматически прогонят по скриптам, проверив существование домена и то, кому он выдан, но проверят и саму компанию, её существование в государственных записях, узнают, чем она занимается и где находится. В случае OV-сертификата название компании будет даже вписано в него. Открыв подробную информацию о сертификате, вы увидите название компании, которая владеет сайтом, и её адрес. Такие проверки выполняются дольше. Поэтому OV-сертификаты, в отличие от DV, могут выдаваться несколько дней. Удостоверяющие центры даже могут отказать в выдаче, если что-то не соответствует гайдлайнам. Особенно это касается EV-сертификатов. Там есть целый перечень , как проверять компанию. Ещё удостоверяющий центр берёт на себя ответственность и обещает выплатить страховку, если из-за SSL-сертификата произойдёт утечка информации. У EV-сертификатов страховка будет больше, чем у OV. Впрочем, удостоверяющие центры стараются всеми силами не допустить просчёта и обеспечить наивысшую надёжность.
Стоит ли платить больше и мучиться с документами для EV? По большому счёту нет. И OV, и EV уже подтверждают надёжность организации, в отличие от DV. Оба типа сертификации включают главное: проверку существования организации и её легитимность. Сайт — это уже рыцарь с красивым замком, но если он хочет сияющие доспехи и статус сэра, нужно купить EV-сертификат.
Что касается пользователя, и OV, и EV сертифицированным сайтам можно доверять (да и DV можно, как мы выяснили раньше). Такие сайты застрахованы удостоверяющими центрами от перехватов данных или утечки со стороны шифрования SSL/TLS. Такое случается крайне редко и грозит серьёзными последствиями, поэтому в интересах удостоверяющих центров тщательно всё проверять и поддерживать актуальные способы шифрования.
Вот такая история о рыцарях с замками и сайтах с замками. Берегите свой замок, и безопасного вам интернет-сёрфинга ;)