SSL Сертифікати: види
В залежності від рівня довіри, SSL сертифікати бувають:
- Trusted (довірчий)
- Self-Signed (недовірчий)
Trusted SSL сертифікати (довірчі сертифікати) – цифрові документи, видані спеціальними центрами сертифікації. При встановленні підключення з використанням довірчого SSL сертифікату, програмні додатки (наприклад, браузер) довіряють справжність сертифікату автоматично. Як правило, емітент сертифікату є незалежною третьою стороною, яка не приймає участі в процесі обміну даними. Центр сертифікації виписує сертифікат на сертифіковане доменне імя, вказує термін дії сертифікату (1-5 років), ставить цифрові печатки та підписи. Таким чином, підтверджується гарантований рівень безпеки встановленого підключення. У випадку зламу довірчого сертифікату, відповідальність покладається лише на центр сертифікації, який давав гарантію свого продукту.
При використання довірчого сертифікату використовується два ключі: відкритий і секретний (чи приватний). Відкритий ключ доступний будь-якому користувачу в мережі, в той час як секретний - лише серверу-власнику. Така схема дозволяє зберігати секретність передачі інформації.
Self-Signed SSL сертифікат (недовірчий, створений самостійно сертифікат) можна згенерувати самостійно, при цьому справжність сертифікату підтверджується його творцем; тобто підписаний він недовірчою особою. При цьому програмні додатки не довіряють Self-Signed сертифікатам та видають попередження, що під час сесії буде використано недовірчий сертифікат. Так, при зламі Self-Signed SSL сертифікату нікто відшкодовувати збитки Вам не буде. Окрім того, може виникнути ситуація, коли до Вас будуть застосовані штрафні санкції, про розміри яких краще не знати.
У схемі використання недовірчого сертифікату вважається, що підпис сертифікату можна перевірити, лише використовуючи публічний ключ, частина якого знаходиться в самому сертифікаті. Тобто сертифікат підтверджується публічним ключем, який є частиною самого сертифікату (сертифікат підтверджує сам себе). Саме з цієї причини браузери не довіряють таким сертифікатам.
Для підтвердження того, що у Вас справді встановлений справжній SSL сертифікат, краще використовувати цифровий підпис сертифікаційного центру.
За підтримкою кількості доменів та піддоменів, SSL сертифікати бувають:
- Standard (стандартні)
- WildCard (группові)
Стандартні SSL сертифікати випускаються для захисту одного єдиного доменного імені. Вони створюються для роботи лише з одним унікальним повністю сертифікованим доменним іменем. Стандартний сертифікат повинен посилатися на конкретне сертифіковане доменне імя, інакше буде виникати помилка.
Таким чином, якщо Ви купуєте сертифікат для домену компанія.com, то обмін даними за запитом https://компанія.com буде проходити в безпечному режимі. Якщо використовувати для запиту безпечних сторінок піддомени:
www.компанія.comваша.компанія.com
відділ.компанія.com
то буде виникати повідомлення про помилку, тобто Ви НЕ зможете вводити
https://www.компанія.comhttps://ваша.компанія.com
https://відділ.компанія
WildCard SSL сертифікати дозволяють активувати захист одночасно для одного домену та множини піддоменів. Це відбувається приблизно за таким сценарієм: компанія купує сертифіковане доменне імя і використовує його для захисту всіх піддоменів сертифікованого доменного імені. Наприклад, компанія HostPro придбала WildCard SSL сертифікат для домену hostpro.ua. Такий сертифікат буде випущений на імя *.hostpro.ua, тобто він може бути використаний для домену hostpro.ua та всіх його піддоменів, наприклад:
support.hostpro.uabilling.hostpro.ua
secure.hostpro.ua
При цьому дані запити будуть правильними, а обмін даними буде проходити в безпечному режимі.
https://support.hostpro.uahttps://billing.hostpro.ua
https://secure.hostpro.ua
В залежності від власника, SSL сертифікати бувають
- Private (індивідуальні)
- Shared (загальні)
Індивідуальні SSL сертифікати видаються для одного користувача на один домен. Принцип такий же, як у стандартних SSL сертифікатів: сертифікат видається на одне сертифіковане доменне імя та може бути використане лише для нього.
Загальні SSL сертифікати захищають одночасно кілька сайтів. При цьому різні сайти одночасно ("колективно") використовують загальні ключі, що значно знижує рівень безпеки.
Використання загальних SSL сертифікатів зазвичай буває в одній із форм:
-
Використовується груповий (WildCard) сертифікат, піддомен якого направлений на інший сайт
- в цьому випадку користувачу надається піддомен, який захищений WildCard сертифікатом. Потім для даного піддомену встановлюється перенаправлення на кореневий каталог іншого сайту. Наприклад, кореневим каталогом сайтів для панелі управління cPanel буде папка public_html, для Plesk – httpdocs, для Helm – wwwroot и т.д.;
- припустимо, що Ви замовили у нас захист для свого домену, який знаходиться за адресою http://ваш-домен.com. Мы створюємо на своєму сервері додатковий піддомен ваше_прізвище.hostpro.ua (який буде захищений WildCard сертифікатом);
- встановлюємо перенаправлення с http://ваш-домен.com на https://ваше_прізвище.hostpro.ua;
- тепер при введенні https://ваше_прізвище.hostpro.ua та http://ваш-домен.com браузер буде відображати одну і ту ж захищену сторінку.
-
Використовується стандартний сертифікат та різні шляхи директорій.
-
цей метод зазвичай використовується для того, щоб вказувати різні каталоги одного домену, в яких можуть міститися різні сторінки (які потрібно захищати). В подальшому таким сторінкам буде гарантована безпека. Наприклад, сертифікат виданий на домен компанії компанія.com, і у Вас є співробітники, яким потрібно надати безпечне середовище для проведення фінансових операцій. Це можна організувати, використовуючи посилання:
https://компанія.com/користувач1/
https://компанія.com/користувач2/
https://компанія.com/користувачn/
-
-
Використовується сертифікат, інтегрований з електронним магазином
- Цей спосіб дозволяє зробити безпечними розрахунки, що проводяться через електронні магазини. Може використовуватися як стандартний, так і сертифікат WildCard. Це щось середнє між першим та другими способом. В такому випадку доступний лише електронний магазин. Як правило, розробники електронного магазину відповідають за інтегровану роботу магазину та сертифікату.
- Панель управління хостингом підтримує використання сертифікату, встановленого на сервері.
- Дуже часто адміністратор встановлює SSL сертифікат на фізичний сервер, оскільки це необхідно для подальшої роботи програмних додатків. Навіть якщо це недовірчий сертифікат - він все одно повинен бути.
- Деякі панелі управління дозволяють Вам використовувати сертифікат серверу для захисту своєї користувацької панелі управління.
Використання загальних SSL сертифікатів може бути альтернативою придбанню персонального сертифікату. Однак, у випадку використання загальних сертифікатів, якщо один із захищених елементів виявиться вразливим - всі елементи, які захищає сертифікат, теж виявляться вразливими. Це в кінцевому рахунку позначиться на помітному зниженні рівня безпеки.
Використання матеріалів HostPro.ua дозволяється за умови посилання на джерело.