За последнее десятилетие резко вырос уровень киберпреступности. Многие авторитетные бизнес-организации и правительственные учреждения, которые не реализовали достаточную онлайн-безопасность, были пойманы с спущенными штанами. Google начал решительно выступать против веб-сайтов, не использующих HTTPS. Посетители веб-сайта будут уведомлены, если они собираются отправить какую-либо информацию через незащищенное соединение.
В этой статье вы узнаете, как защитить своих клиентов и свой бизнес от вторжения в частную жизнь и кражи данных. Вы узнаете, как использовать технологию SSL для защиты своих веб-сайтов и приложений от утечки конфиденциальных данных злоумышленникам.
Я не смогу показать вам, как установить SSL, так как это сложная тема.
Как работает SSL
Представьте, что вы находитесь в своем гостиничном номере на своем ноутбуке, подключенном к WIFI отеля. Вы собираетесь войти в онлайн-портал своего банка. Тем временем гнусный хакер ловко забронировал комнату рядом с вами и установил простую рабочую станцию, которая прослушивает весь сетевой трафик в здании отеля. Весь трафик, использующий протокол HTTP, может быть виден хакеру в виде простого текста.
Если предположить, что веб-сайт банка использует только HTTP, детали формы, такие как имя пользователя и пароль, будут видны хакеру, как только вы нажмете «Отправить». Так как же защитить эти данные? Ответ очевиден — шифрование. Шифрование данных включает в себя преобразование текстовых данных во что-то, что выглядит искаженным, например, в зашифрованные данные. Чтобы зашифровать текстовые данные, вам понадобится так называемый алгоритм шифрования и ключ шифрования.
Допустим, вы должны были зашифровать следующие данные:
Come on over for hot dogs and soda!
В зашифрованном виде это будет выглядеть примерно так:
wUwDPglyJu9LOnkBAf4vxSpQgQZltcz7LWwEquhdm5kSQIkQlZtfxtSTsmaw q6gVH8SimlC3W6TDOhhL2FdgvdIC7sDv7G1Z7pCNzFLp0lgB9ACm8r5RZOBi N5ske9cBVjlVfgmQ9VpFzSwzLLODhCU7/2THg2iDrW3NGQZfz3SSWviwCe7G mNIvp5jEkGPCGcla4Fgdp/xuyewPk6NDlBewftLtHJVf =PAb3
Расшифровка вышеуказанного сообщения без ключа шифрования может занять больше времени, используя текущую вычислительную мощность. Никто не может прочитать его, если у него нет ключа шифрования, который использовался для его шифрования. Этот тип шифрования известен как симметричное шифрование. Теперь, когда мы выяснили, как защитить данные, нам нужен безопасный способ безопасной передачи ключа шифрования получателю сообщения. Мы можем сделать это, используя систему асимметричного шифрования, известную как криптография с открытым ключом.
Криптография с открытым ключом использует пару математически связанных ключей шифрования:
- Открытый ключ : можно безопасно поделиться с кем угодно
- Закрытый ключ : никогда не должен передаваться, храниться в секрете
Когда один ключ используется для шифрования, другой используется для дешифрования. Тот же ключ нельзя использовать для расшифровки того, что он зашифровал. Ниже показано, как это работает:
Однако мы не можем доверять никаким выданным нам открытым ключам, поскольку они могут быть сгенерированы кем угодно. Чтобы гарантировать подлинность открытых ключей, они должны быть упакованы в так называемый сертификат SSL. Это подписанный цифровой файл, который содержит следующую информацию:
- Имя субъекта: физическое лицо, организация или имя компьютера.
- Открытый ключ
- Цифровая подпись (отпечаток сертификата)
- Эмитент (лицо, подписавшее сертификат)
- Действительные даты (начало и истечение срока)
Я перечислил только самое необходимое. Сертификаты SSL обычно содержат больше информации. Вот реальный пример:
Как видите, указанный выше сертификат был подписан (см. Раздел эскизов). Цифровая подпись — это просто зашифрованный хэш файла. Давайте сначала объясним, что такое хеш. Допустим, у вас есть документ из 100 слов, и вы запускаете его с помощью программы хеширования. Вы получите следующий хеш:
46798b5cfca45c46a84b7419f8b74735
Если вы измените что-либо в документе, даже если он добавит одну точку, при повторном запуске функции хеширования будет сгенерирован совершенно новый хэш:
bc527343c7ffc103111f3a694b004e2f
Несовпадение хэшей между отправленным и сгенерированным хешем означает, что файл был изменен. Это первая линия защиты, гарантирующая, что сертификат SSL не был изменен. Однако нам нужно убедиться, что отправленный хэш был создан эмитентом сертификата. Это делается путем шифрования хэша с использованием закрытого ключа эмитента. Когда мы выполняем локальный хэш сертификата, а затем расшифровываем подпись сертификата, чтобы получить отправленный хэш, мы можем сравнить их. Если есть совпадение, это означает:
- сертификат не был изменен кем-то другим
- у нас есть доказательство того, что сертификат был получен от эмитента, поскольку мы успешно расшифровали подпись, используя их открытый ключ
- мы можем доверять подлинности открытого ключа, прикрепленного к сертификату SSL.
Теперь вам может быть интересно, где мы получаем открытый ключ эмитента и почему мы должны ему доверять. Что ж, открытый ключ эмитента уже предустановлен в наших операционных системах и браузерах. Эмитент — это доверенный центр сертификации (CA), который подписывает сертификаты в соответствии с официальными руководящими принципами CA / Browser Forum и рекомендациями NIST. Например, вот список доверенных эмитентов / центров сертификации, которые вы найдете в операционной системе Microsoft. Даже смартфоны и планшеты имеют аналогичный список, предустановленный в ОС и браузере.
Согласно опросу, проведенному W3Techs в мае 2018 года, на следующие эмитенты приходится около 90% действительных сертификатов, подписанных во всем мире:
- IdenTrust
- Комодо
- DigiCert (приобретена Symantec)
- GoDaddy
- GlobalSign
Теперь, когда вы разбираетесь в технологиях шифрования и SSL, лучше всего обсудить, как безопасно входить на портал вашего банка с помощью HTTPS, чтобы хакер по соседству не читал ваш трафик.
- Браузер вашего портативного компьютера начинает с запроса у серверов банка его сертификата SSL.
- Сервер его отправляет. Затем браузер проверяет подлинность сертификата по списку доверенных центров сертификации. Он также проверяет, не истек ли срок его действия и не был ли он отозван.
- Если все проходит успешно, браузер генерирует новый ключ шифрования(также известный как ключ сеанса ). Используя открытый ключ, найденный в сертификате SSL, он шифруется и затем отправляется на сервер.
- Сервер расшифровывает сеансовый ключ, используя свой закрытый ключ.
- С этого момента все сообщения, отправляемые туда и обратно, будут зашифрованы с использованием сеансового ключа. Симметричное шифрование быстрее асимметричного.
Это означает, что как данные формы, поступающие с портативного компьютера, так и данные HTML, поступающие с сервера, будут зашифрованы с использованием ключа шифрования, к которому хакер не будет иметь доступа. Все, что будет видно в записанных журналах трафика, будет искаженными буквами и цифрами. Теперь ваша информация защищена и хранится в тайне от посторонних глаз.
Теперь, когда вы понимаете, как работает SSL в целом, давайте перейдем к следующему разделу, в котором рассмотрим различные типы сертификатов SSL, которые мы можем использовать.
Типы SSL
Сертификаты SSL для проверки домена
Проверка домена — это наиболее доступный и распространенный тип SSL-сертификатов, который может быть выдан любому желающему для защиты веб-сайтов, являющихся общедоступными. Чтобы приобрести этот тип SSL-сертификата, вам необходимо доказать, что вы являетесь владельцем домена, который хотите защитить. Вот почему это называется проверкой домена. Это делается одним или несколькими из следующих способов:
- создание записи DNS TXT
- ответ на электронное письмо, отправленное на адрес электронной почты, зарегистрированный в записях whois домена
- ответ на электронное письмо, отправленное известному административному контакту в вашем домене, напримерadmin@domain.com
- публикация одноразового номера, предоставленного автоматической системой выдачи сертификатов
Google Chrome в настоящее время является самым популярным веб-браузером, занимая около 70% мирового рынка браузеров для настольных ПК по состоянию на сентябрь 2019 года. Google недавно усилил свою позицию по обеспечению соблюдения протоколов безопасности для владельцев веб-сайтов, чтобы гарантировать защиту конфиденциальности конечных пользователей. Незащищенные веб-сайты помечаются как небезопасные. Пользователи также крайне обескуражены, если они попытаются отправить форму на незащищенный веб-сайт. Если у веб-сайта истек срок действия или недействителен SSL-сертификат, сайт будет временно заблокирован.
Если вы не хотите терять ценный трафик из-за незащищенности вашего веб-сайта, вам необходимо как минимум получить сертификат SSL для проверки домена. Оформить его можно всего за 5–8 минут.
Общедоступный IP-адрес San SSL
SSL-сертификаты обычно выдаются для защиты полного доменного имени, например www.domain.com. Если вы хотите защитить общедоступный IP-адрес, вам необходимо приобрести SSL- сертификат Public IP SAN. SAN означает субъективное альтернативное имя, которое представляет собой поле в поле сертификата, которое может использоваться для хранения IP-адреса.
Подстановочный знак SSL
Обычный сертификат SSL применяется только к одному домену, например к www.domain.com. Если вы хотите защитить поддомен, вам придется приобрести для него новый сертификат SSL. Вместо покупки нового SSL-сертификата для каждого поддомена, которым вы управляете, вы можете просто приобрести Wildcard SSL-сертификат, который будет применяться к вашим поддоменам, то есть *.domain.com. Это более рентабельно, чем покупка нескольких сертификатов SSL. Также проще администрировать, используя один сертификат SSL.
Однако, если поддомен скомпрометирован, это означает, что скомпрометированы все поддомены, использующие один и тот же сертификат. Вам нужно будет отозвать его и запросить новый сертификат. Вы также можете приобрести его отдельно, если вы не сталкиваетесь с подобными проблемами.
Мультидоменные SSL-сертификаты
Как следует из названия, вы можете приобрести многодоменный SSL-сертификат, который обеспечивает защиту до 250 доменов и субдоменов. Этот тип сертификата особенно полезен для защиты сотен офисных серверов связи, которые могут находиться в разных географических регионах. Даже если трафик ограничен внутри корпоративной сети, лучше всего защитить его с помощью SSL, так как злоумышленнику легко отслеживать и регистрировать общий трафик.
Более быстрая проверка бизнеса с помощью кода LEI
С 2019 года появилась возможность проверять организации, использующие код LEI (идентификатор юридического лица), во всем мире. Это упрощает и значительно ускоряет процесс проверки. Компании могут получить код LEI через официальных регистрационных агентов GLEIF.
Идентификатор юридического лица (LEI) — это уникальный код для идентификации любой компании по всему миру, участвующей в финансовых транзакциях. Этот процесс осуществляется в соответствии с международным стандартом ISO 17442. Цель состоит в том, чтобы помочь в мониторинге и измерении системного риска, а также эффективно и недорого обеспечить соблюдение нормативных требований к отчетности.
Заключение
Надеюсь, теперь у вас достаточно информации, чтобы решить, какой сертификат SSL купить. Обратите внимание, что SSL-сертификаты действительны только два года. Это функция безопасности, обеспечивающая актуальность информации о сертификатах. Это также гарантирует, что любые потерянные ключи не будут использоваться для проникновения в трафик. Бесплатные сертификаты SSL обычно действительны в течение 90 дней. Если вы хотите убедиться, что не забыли приобрести продление. Вы можете получить план подписки на 3 или 4 года. Обратите внимание, что применяется двухлетняя лимитная ставка. Ближе к концу срока действия с вами свяжутся, чтобы заменить сертификат новым. Преимущество выбора более продолжительного плана подписки заключается в том, что вы экономите деньги по сравнению с ежегодной покупкой.
