TLS/SSL сертификаты: в чем отличия и насколько сложно получить

Современный человек посещает десятки, а иногда и сотни сайтов в день. Поиск рабочей информации, товаров и услуг по акции, сравнение цен разных интернет-магазинов, места для проведения отпуска и сотни других задач становятся причиной ежедневного серфинга. Соединение в ходе этого серфинга защищается HTTPS-протоколом, работа которого возможна на основании наличия сертификата SSL.

В этой статье будут разобраны отличия между SSL и TLS, способы получения сертификатов и их роль в обеспечении безопасного соединения между пользователем и сервером, а также особенности получения SSL-сертификата в современных реалиях.

Кратко о HTTP и HTTP

HTTP (HyperText Transfer Protocol) – это стандартный протокол передачи данных в сети, с помощью которого человек может получить доступ к информации сайта. Однако, « в чистом виде» он не предусматривает никакой защиты, и к данным пользователя в рамках сессии могут получить доступ третьи лица.

Например, администратор сети Wi-Fi или злоумышленник, получивший права администратора. Такая ситуация достаточно распространена, например, при подключении к общественному вай-фаю в кафе или другом досуговом заведении, где не предусмотрены меры защиты сети.

Для защиты соединения используется специальное расширение HTTP – HTTPS. С точки зрения пользователя, оно выглядит как зеленый замочек рядом с адресной строкой (как правило – слева). Соответственно, если пиктограмма замка красная или открытая – лучше не вводить на таком ресурсе никаких данных.

Как это связано с сертификатами?

Сам принцип HTTPS основан на доверенности ресурса. Эта доверенность гарантируется наличием сертификата, который выдают специальные центры сертификации. Наличие сертификата говорит о том, что сайт не мошеннический и создан не с целью кражи данных.

Этот сертификат получил название SSL (Secure Sockets). С 1995 года появилось несколько разных версий, современная носит название TLS certificate (Transport Layer Security). Однако, в повседневной речи так и осталась привычка называть сертификаты безопасности SSL.

Отдельно стоит сказать о существовании самоподписанных сертификатов, которые также расцениваются браузерами как ненадежные. Все дело в том, что защищенность такого сертификата не гарантируется центром, который его выдал, а значит – безопасность ресурса находится только на совести владельца.

Максим Головлев

Технический директор ITPROTECT

Самоподписанным сертификатам доверяет только сам подписант и он же контролирует конфиденциальность закрытого ключа. Такие сертификаты чаще всего используются для локальных задач, например, на внутрикорпоративном портале. Таким образом администраторы могут настроить доверие между корпоративными компьютерами и собственными центром сертификации.

Виктор Чащин

Операционный директор и совладелец компании «МУЛЬТИФАКТОР»

Что является целью установки сертификата на сайт? Шифрование трафика между клиентом и самим сайтом. Сам алгоритм шифрования устроен так, в общих чертах, что в случае, если используется подписанный сертификационным центром сертификат, подлинность ответов сервера можно проверить с помощью корневого сертификата этого центра, уже, как правило, установленного в самой системе. А если использовать самоподписанный сертификат, то пользователю при первом подключении нужно «поверить», что этот сертификат выпустил сам сайт, а не мошенники, которые сидят посерединке между ним и сайтом, и подсовывают свой сертификат вместо подлинного, таким образом получая доступ к трафику пользователя. Поэтому этот вариант не является надежным с точки зрения безопасности, и пользователи это видят в виде предупреждений в браузере и также не доверяют.

Важно понимать, что SSL (TLS) – это не гарант безопасности на все случаи жизни. Это просто маркер безопасности соединения, и его возможности не распространяются на те случаи, когда злоумышленник получил доступ к базам данных ресурса с помощью эксплуатации уязвимостей или подбора пароля.

Вторая проблема, о которой редко задумываются конечные пользователи – это репутация сертификационного центра. Показательна история 2015 года, когда случился целый бум выдачи сертификатов мошенниками. Тогда отметились такие центры, как GoDaddy, Symantec и Comodo, выдав сертификаты на «созвучные» домены. Например, «banskfamerica.com», очень похожий на «banksofamerica.com».

Получение сертификата

Есть два способа получить сертификат SSL:

• сделать самоподписанный сертификат;
• обратиться в центр сертификации.

Первый способ актуален в том случае, если ресурс, в данный момент, не планируется использовать как готовую площадку для взаимодействия с пользователями и продвигать его через рекламные инструменты. Например, на этапе тестирования.

Павел Горин

Фронтенд-разработчик компании еТелеком

Самоподписанные сертификаты вполне отвечают требованиям, но поскольку сертификат не подписан доверенным центром сертификации из числа встроенных в браузеры, пользователи не могут использовать его для автоматической проверки подлинности вашего сервера. Обычно используются, когда шифрованный веб-интерфейс не предназначен для взаимодействия с пользователями. Лучше завести SSL, подписанный центром сертификации.

Со вторым способом могут возникнуть некоторые трудности, которые связаны с поиском центра, который продолжает работать с российскими компаниями. Но трудности, в данный момент, практически незаметные, поскольку есть как российские решения, так и продолжающие сотрудничать с российскими компаниями зарубежные сервисы.

Марина Брик

Руководитель отдела доменов и сопутствующих сервисов RU-CENTER

Многие сертификационные центры перестали работать с клиентами из России, но некоторые продолжают, в том числе те, что пользуются заслуженным доверием.

Как правило, выпуск сертификата — процесс несложный и занимает один или несколько дней, в том числе в текущих условиях. Это подтверждает статистика: в марте 2022 года наблюдалось снижение числа сайтов в доменах .ru и .рф, использующих безопасный протокол связи, однако уже с апреля рост доли таких сайтов возобновился. В целом тенденция роста наблюдается на протяжении последних нескольких лет и сейчас уже больше половины сайтов используют протокол HTTPS.

Как правило, для получения сертификата нужно пройти проверку домена и предоставить данные о компании, конкретный список зависит от типа сертификата и формы организации. В «минимальной комплектации» для физических лиц требуется только пройти проверку домена.

Актуальная специфика получения сертификатов TLS

Если говорить об актуальной российской практике, то можно выделить несколько проблемных полей:

• неочевидность отношения регуляторов к иностранным сертификатам у российских компаний в ряде секторов в среднесрочной перспективе;
• сложности с оплатой иностранных сертификатов из России;
• не подтвержденный практикой уровень безопасносности российских сертификатов. 

Артур Батуллин

Заместитель генерального директора Цифроматики

Иностранные центры отказываются выдавать новые/продлевать старые SSL-сертификаты. Из «неприятности» это превращается в реальную проблему. Срок действия многих ранее выданных сертификатов начинает истекать, и соединение перестает быть безопасным.

При этом отечественные SSL/TLS сертификаты поддерживаются только Яндекс-Браузером и Атомом. И если для государственной и банковской инфраструктуры переход на отечественные сертификаты - практически безальтернативный путь, то различным интернет-магазинам и коммерческим сервисам проще использовать незащищенные протоколы передачи данных или самоподписанные сертификаты, чтобы их ресурс открывался в любом браузере. Это в свою очередь потенциально может приводить к утечке пользовательских данных, в том числе и реквизитов банковских карт.

В то же время уровень уязвимости отечественных сертификатов еще предстоит проверить, поскольку не накоплен опыт их массового внедрения.

Вместе с тем, в данный момент нельзя говорить о серьезных проблемах с получением SSL-сертификатов для российских компаний. Если же говорить о дальнейших перспективах, то важно учитывать баланс рисков между потенциальной уязвимостью российских решений и потенциальным усилением санкционного давления на те зарубежные центры, которые выдают сертификаты российским ресурсам.