УДК 004.056

Что нужно знать о SSL-сертификатах для веб-сайтов

Пронин Александр Дмитриевич – студент факультета инфокоммуникационных систем связи Федерального государственного бюджетного образовательного учреждения высшего образования Санкт-Петербургского государственного университета телекоммуникаций им. проф. М. А. Бонч-Бруевича.

Аннотация: Статья рассматривает ключевые аспекты функционирования SSL-сертификатов в контексте шифрования данных и обеспечения доверия в онлайн-среде. Статья выделяет две основные функции SSL-сертификатов: шифрование текстовой информации для защиты от несанкционированного доступа и установление доверия, предоставляемое символом блокировки SSL в браузере. Статья также обсуждает правила и положения, установленные Форумом центров сертификации и браузеров (CA/Browser), который объединяет глобальные и региональные центры сертификации, поставщиков программного обеспечения и других приложений.

Ключевые слова: SSL, шифрование данных, доверие в онлайн-среде, SSL-сертификаты, блокировка SSL в браузере, форум центров сертификации и браузеров максимальный срок действия сертификата, типы шифрования SSL, доверительное рукопожатие.

Роль ИТ-специалистов в использовании SSL

Организации различаются по тому, кто покупает и управляет сертификатами SSL для веб-сайтов, и эти различия могут привести к путанице и ошибкам. ИТ-отдел часто запрашивает сертификаты SSL, но лицо, заказывающее SSL, может быть сотрудником отдела закупок, маркетинга/бренд-менеджмента, юриста или ИТ-специалиста. В идеале SSL-сертификаты управляются одной централизованной группой внутри организации, а не различными ИТ-специалистами, заказывающими специальные сертификаты, что может привести к угрозам безопасности. Использование системы продажи билетов или документированного внутреннего процесса может гарантировать, что сертификаты SSL запрашиваются и приобретаются организованным образом. 

ИТ-специалисты часто участвуют в отслеживании уведомлений об истечении срока действия SSL, чтобы предотвратить сбои в покрытии сертификата. Организациям следует создать центральный адрес электронной почты для распространения, на который будут отправляться все уведомления об истечении срока действия, и этот адрес электронной почты должен постоянно отслеживаться, даже когда отдельные члены команды уходят в отпуск, получают повышение или покидают компанию. 

Как SSL шифрует данные и укрепляет доверие

Сертификаты SSL реализуют два механизма. Во-первых, они шифруют любой набираемый текст, чтобы третьи лица не могли получить доступ к содержимому в текстовом формате после его отправки. Во-вторых, SSL обеспечивают доверие. Наличие значка блокировки SSL в браузере показывает, что на веб-сайте предусмотрено шифрование. Пока есть значок замка, сайт считается безопасным. Без SSL и значка блокировки на веб-сайте пользователи отправляют свой необработанный текст в эфир, чтобы его мог кто-нибудь перехватить.

ИТ-специалистам, отвечающим за безопасность любого веб-сайта, ориентированного на потребителя, следует рассмотреть возможность наличия сертификата SSL, даже если пользователям негде вводить контент. Даже если шифрование не требуется, компания захочет выглядеть более профессионально и показать потребителям, что ей можно доверять. 

Правила и положения для SSL

Форум центров сертификации и браузеров (CA/Browser или CAB) определяет правила для SSL. Форум CAB, организованный в 2005 году, не является государственным учреждением. Вместо этого это добровольная группа глобальных и региональных центров сертификации (CA), поставщиков программного обеспечения для интернет-браузеров и поставщиков других приложений, которые используют цифровые сертификаты X.509 v.3 для SSL, Transport Layer Security (TLS), подписи кода. и безопасные/многофункциональные расширения почты Интернета (S/MIME).

Многие правила и требования CAB Forum исходят от Google и его браузера Chrome, которые доминируют в мире браузеров и имеют огромное влияние. Google продвигает инновации и хочет внедрить дополнительные меры безопасности, такие как сертификаты SSL, действительные в течение все более короткого периода времени. Таким образом, если хакеры попытаются взломать шифрование сертификата, у них будет меньше времени на это. В настоящее время максимальный срок действия сертификата составляет 396 дней, но Google хочет сократить его до меньшего количества дней, чтобы предотвратить злоумышленников.

SSL-шифрование и проверка 

SSL имеют несколько типов шифрования. Три различных типа проверки сертификатов включают в себя:

  • Domain Vetted (DV) – шифрование базового уровня, подходящее для защиты внутренних коммуникаций через интрасеть/портал и VPN.
  • Организация проверена (OV) – шифрование среднего уровня, подходящее для сайтов электронной коммерции.
  • Расширенная проверка (EV) – шифрование самого высокого уровня, подходящее для банков или финансовых компаний. Центры сертификации придерживаются высоких стандартов CAB Forum и могут потерять свои сертификаты, если они нарушают правила или не соответствуют минимальным требованиям. 

Поддерживая «рукопожатие доверия»

«Доверительное рукопожатие» относится к аутентификации, которую отвечающему серверу назначил владелец сертификата. Это рукопожатие начинается с корневого сервера, который подключается к форуму CAB, а затем доходит до сервера организации, на котором размещен веб-сайт. Рукопожатие доверия работает следующим образом: 

  1. Браузер или сервер пытается подключиться к веб-серверу веб-сайта, защищенному сертификатом SSL.
  2. Затем браузер/сервер запрашивает веб-сервер идентифицировать себя.
  3. Веб-сервер идентифицирует себя, отправляя браузеру/серверу свой SSL-сертификат. 
  4. Наконец, браузер/сервер проверяет, доверяет ли он сертификату SSL.

Для этого соединения «рукопожатие доверия» существует закрытый ключ, который хранится на сервере компании. Этот закрытый ключ никогда не следует передавать по электронной почте; он должен храниться только на сервере, обслуживающем сайт. Именно так потребитель узнает, что веб-сайт безопасен, поскольку все необходимые части подключаются друг к другу и существуют промежуточные сертификаты, которые подключаются к корневому серверу. На ИТ-отдел может быть возложена ответственность за сертификаты, что может включать заказ, установку, управление промежуточными сертификатами, подключающими сайт к «доверительному подтверждению», а также управление сроком действия и заменой каждого сертификата.

В эту динамичную эпоху сертификаты SSL часто меняются, и соединения могут быть разорваны. Центры сертификации находятся посередине, и путь ведет к форуму CAB, где эти корневые серверы соединяются с браузерами. Убедитесь, что сертификат SSL подключается в нужных точках, чтобы обеспечить безопасность работы пользователя. 

Заручиться помощью регистраторов

Регистраторы могут предоставить инструменты и ресурсы, которые помогут корпоративным ИТ-отделам и другим отделам с предложениями SSL и регистрацией доменов. Например, назначенный компанией менеджер по работе с клиентами в регистраторе может помочь проверить SSL, а также отслеживать и решать связанные с этим проблемы. ИТ-специалисты, начинающие работать в сфере доменов/SSL, могут воспользоваться ресурсами регистратора для запроса, заказа и управления SSL. 

Программные продукты, предоставляемые регистраторами или независимыми поставщиками технологий, также могут помочь организациям эффективно приобретать, отслеживать и управлять сертификатами SSL. Чрезвычайно полезно просматривать все данные о портфеле доменов в одном центральном интерфейсе и гарантировать, что сроки не будут сорваны, а сайты не останутся незащищенными из-за истечения срока действия или проблем с безопасностью. 

Заключение

Многие организации уже требуют от своих ИТ-специалистов хорошо разбираться в SSL для веб-сайтов, а другие готовы последовать этому примеру. Понимание сертификатов SSL является критически важной частью управления безопасностью и снижения рисков, а также имеет значение для юридических, маркетинговых и брендинговых вопросов. Поскольку на карту поставлено так много, следует рассмотреть возможность интеграции сертификатов SSL в пресловутую рулевую рубку ИТ.

Список литературы

  1. Смирнов А. "Защита информации от несанкционированного доступа". Санкт-Петербург: БХВ-Петербург, 2017.
  2. Соколов И. "Сетевая безопасность: архитектура и программирование". Москва: ДМК Пресс, 2018.
  3. Шнайдер В. "Безопасность Linux. Руководство администратора". Санкт-Петербург: Питер, 2016.
  4. Гибсон Д. "Хакеры: герои и злодеи". Москва: Эксмо, 2019.
  5. Мартин Э. "Криптография и безопасность сетей: принципы и практика". Москва: Вильямс, 2014.
  6. Росс А. "Безопасность в сетях TCP/IP". Москва: ДМК Пресс, 2017.
  7. Столл К. "Хакеры и хранилище тайн". Москва: АСТ, 2018.
  8. Гарвин П., Кинг Д., Стрикленд Ш. "Сетевая безопасность: анализ угроз и моделирование". Санкт-Петербург: Питер, 2015.
  9. Шнайдер В., Карек Д. "Практика хакинга и безопасности в сетях". Москва: Вильямс, 2019.
  10. Котенко И. В. и др. Модель человеко-машинного взаимодействия на основе сенсорных экранов для мониторинга безопасности компьютерных сетей //Региональная информатика" РИ-2018". – 2018. – С. 149-149.
  11. Красов А. В. и др. Способы коммутации пакетов в сетях CISCO //Материалы Всероссийской научно-практической конференции" Национальная безопасность России: актуальные аспекты" ГНИИ" Нацразвитие". Июль 2018. – 2018. – С. 31-35.
  12. Гельфанд А. М. СПОСОБЫ ВЫБОРА СТЕГОКОНТЕЙНЕРОВ ДЛЯ ПЕРЕДАЧИ ДАННЫХ /Региональная информатика и информационная безопасность. – 2020. – С. 260-262.
  13. Волкогонов В. Н. и др. Анализ безопасности wi-fi сетей //Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2019). – 2019. – С. 270-275.
  14. Бударный Г. С. и др. РАЗНОВИДНОСТИ НАРУШЕНИЙ БЕЗОПАСНОСТИ И ТИПОВЫЕ АТАКИ НА ОПЕРАЦИОННУЮ СИСТЕМУ //Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2022). – 2022. – С. 406-411.