Навіщо потрібний SSL-сертифікат
У браузері перед адресами одних сайтів відображаються літери HTTP, а перед іншими — HTTPS. Обидві абревіатури позначають те саме: протокол передачі даних в інтернеті. Протокол — це набір правил, який визначає, як браузер і сервер обмінюються даними, які бувають дані і що з ними робити.
HTTP — звичайний протокол, він працює за замовчуванням. Ви вводите на сайті особисту інформацію, а браузер передає її на сервер у відкритому вигляді.
HTTPS — захищена версія HTTP. Це SSL-протокол, який активується після встановлення SSL-сертифіката і зашифровує особисту інформацію, перед тим як передати її власнику сайту.
Уявіть, що плануєте відпустку і купуєте квитки на літак на сайті авіакомпанії. Щоб сплатити замовлення, ви вводите деталі банківської картки. Цього не видно, але браузер передає ці деталі серверу. Якщо повідомлення перехоплять зловмисники, вони дізнаються деталі карти і зможуть розплачуватися нею в Інтернеті.
Щоб цього не сталося, перевіряйте, чи є на сайті SSL-сертифікат. Навіть якщо шахраї перехоплять ваші дані на сайті з сертифікатом, вони побачать лише випадковий набір символів.
Розберемося, як працює SSL-сертифікат, і розглянемо принцип роботи HTTPS-зєднання.
Принцип роботи SSL-шифрування
В основі будь-якого методу шифрування лежить ключ. Ключ — це спосіб зашифрувати або розшифрувати повідомлення. У роботі SSL-сертифіката беруть участь три ключі: публічний, приватний і сеансовий.
Публічний і приватний ключі генеруються один раз при створенні запиту на випуск сертифіката. Тому приватний ключ слід зберігати обережно. Якщо ключ потрапить в руки іншої людини, він зможе розшифрувати повідомлення, а вам доведеться встановлювати сертифікат.
Шифрування з двома різними ключами називають асиметричним. Використовувати такий метод безпечніше, але це повільніше. Тому браузер і сервер використовують його один раз: щоб створити сеансовий ключ.
Шифрування з одним ключем називають симетричним. Цей метод зручний, але не такий безпечний. Тому браузер і робить унікальний ключ для кожного сеансу замість того, щоб зберігати його на сервері.
Як браузер і сервер встановлюють безпечне зєднання
Браузер і сервер встановлюють SSL-зєднання кожного разу, коли користувач заходить на сайт. Це триває кілька секунд під час завантаження сайту. Англійською цей процес називається handshake. Це означає «рукостискання».
Коли ви вводите адресу сайту в браузері, він запитує у сервера, чи встановлений для сайту сертифікат. У відповідь сервер відправляє загальну інформацію про SSL-сертифікат і публічний ключ. Браузер звіряє інформацію зі списком авторизованих центрів сертифікації. Такий список є у всіх популярних браузерах. Якщо все в порядку, браузер генерує сеансовий ключ, зашифровує його публічним ключем і відправляє на сервер. Сервер розшифровує повідомлення і зберігає сеансовий ключ. Після цього між браузером і сайтом встановлюється безпечне зєднання через протокол HTTPS.
Процес можна порівняти із дзвінком у домофон. Коли ви чуєте дзвінок, ви питаєте, хто прийшов. Швидше за все, ви не відкриєте двері, поки не переконаєтеся, що це ваш знайомий. У SSL-сертифіката схожий принцип роботи: браузер не налаштує безпечне зєднання з сайтом, поки не переконається, що сертифікат не підроблений.
Розглянемо, як працює HTTPS-зєднання на схемі:
- 1Ви вводите у браузер доменне імя.
- 2Сервер відправляє інформацію про SSL-сертифікат і публічний ключ.
- 3Браузер перевіряє інформацію, генерує сеансовий ключ, зашифровує його публічним ключем і відправляє назад.
- 4Сервер розшифровує сеансовий ключ.
- 5Безпекове зєднання встановлене.
Якщо ви не впевнені, який SSL-сертифікат підійде вашому сайту, потрібна допомога з встановленням або хочете дізнатися більше про сертифікати, звяжіться зі службою підтримки. Відповідаємо на ваші питання в чаті, по телефону та електронній пошті цілодобово і без вихідних. Будемо раді допомогти.