Открыть сервис

SSL-сертификат

SSL-сертификат — это цифровой документ, удостоверяющий подлинность веб-сайта и позволяющий установить зашифрованное соединение между сервером и браузером пользователя по протоколу HTTPS. Технически SSL-сертификат представляет собой файл данных, который привязывает криптографический ключ к информации об организации или физическом лице, владеющем доменом. Основная функция SSL-сертификата — обеспечение конфиденциальности, целостности и аутентификации данных, передаваемых через интернет.

История

Предпосылки и создание

Протокол SSL (Secure Sockets Layer) был разработан компанией Netscape Communications в 1994 году для защиты передачи данных в своей веб-технологии. Первая версия SSL 1.0 никогда не публиковалась из-за серьёзных уязвимостей. В 1995 году вышла версия SSL 2.0, которая, однако, также содержала недостатки. Версия SSL 3.0, выпущенная в 1996 году, стала более надёжной и получила широкое распространение.

Эволюция стандартов

В 1999 году на основе SSL 3.0 был разработан протокол TLS (Transport Layer Security), который стал стандартом IETF (Internet Engineering Task Force). Несмотря на то, что термин «SSL-сертификат» продолжает использоваться, фактически все современные сертификаты работают по протоколу TLS. Последние версии — TLS 1.2 (2008) и TLS 1.3 (2018) — являются общепринятыми стандартами. SSL 3.0 и более ранние версии признаны устаревшими и небезопасными.

Развитие рынка

Первоначально SSL-сертификаты выдавались ограниченным числом удостоверяющих центров (УЦ), таких как VeriSign (основан в 1995 году). С ростом электронной коммерции и онлайн-банкинга в 2000-х годах спрос на сертификаты резко возрос. В 2010-х годах появились бесплатные сертификаты от Let’s Encrypt (запущен в 2016 году), что демократизировало доступ к HTTPS. К 2023 году более 90% веб-трафика в мире передавалось по HTTPS.

Принцип работы

Криптографические основы

SSL-сертификат использует асимметричное шифрование. Сервер генерирует пару ключей: открытый (публичный) ключ, который включается в сертификат, и закрытый (приватный) ключ, который хранится на сервере в секрете. При установлении соединения браузер получает сертификат, извлекает открытый ключ и использует его для шифрования сеансового ключа, который затем применяется для симметричного шифрования данных. Это позволяет обеспечить безопасность даже при перехвате трафика.

Процесс установки соединения (рукопожатие)

  1. Запрос: Браузер подключается к серверу по HTTPS (порт 443) и запрашивает сертификат.
  2. Предоставление: Сервер отправляет свой SSL-сертификат, включая открытый ключ и подпись удостоверяющего центра.
  3. Проверка: Браузер проверяет подлинность сертификата, сравнивая его с корневыми сертификатами, хранящимися в доверенном хранилище операционной системы или браузера. Также проверяется срок действия, соответствие домену и отсутствие отзыва.
  4. Обмен ключами: После успешной проверки браузер генерирует сеансовый ключ, шифрует его открытым ключом сервера и отправляет обратно.
  5. Шифрование: Сервер расшифровывает сеансовый ключ своим закрытым ключом. С этого момента все данные передаются с использованием симметричного шифрования.

Классификация

По степени проверки

SSL-сертификаты делятся на три основных типа в зависимости от уровня проверки владельца домена:

По количеству доменов

По технической реализации

  • Самоподписанные: Созданы владельцем сервера без участия удостоверяющего центра. Не вызывают доверия у браузеров, так как не имеют цепочки доверия. Используются в тестовых средах или внутрикорпоративных сетях.
  • Подписанные УЦ: Выданы доверенным удостоверяющим центром, включённым в список корневых сертификатов браузера. Такие сертификаты вызывают доверие у пользователей.

Удостоверяющие центры

Роль и функции

Удостоверяющий центр (УЦ, Certificate Authority, CA) — это организация, которая выпускает, подписывает и управляет SSL-сертификатами. УЦ проверяет личность заявителя и подписывает сертификат своим корневым или промежуточным сертификатом. Корневые сертификаты УЦ предустановлены в операционные системы и браузеры, что позволяет автоматически проверять цепочку доверия.

Примеры УЦ

  • Let’s Encrypt: Некоммерческий УЦ, предоставляющий бесплатные DV-сертификаты. Запущен в 2016 году, на 2024 год выдаёт более 300 миллионов сертификатов.
  • DigiCert: Крупный коммерческий УЦ, владеющий брендами Symantec, GeoTrust, Thawte. Предлагает все типы сертификатов.
  • GlobalSign: Один из старейших УЦ (основан в 1996 году), предоставляет OV и EV сертификаты.
  • Сертификационные центры в России: Например, «Национальный Удостоверяющий Центр» (НУЦ) Минцифры РФ, который выпускает сертификаты для российских доменов (.ru, .рф) в рамках национальной системы криптографической защиты. С 2022 года, после ограничений со стороны западных УЦ, использование российских УЦ стало обязательным для государственных сайтов.

Отзыв сертификата

Сертификат может быть отозван до истечения срока действия по различным причинам: компрометация закрытого ключа, смена владельца домена, прекращение деятельности организации. Для проверки статуса используется протокол OCSP (Online Certificate Status Protocol) или списки отзыва CRL (Certificate Revocation List).

Применение

Веб-сайты и электронная коммерция

SSL-сертификаты обязательны для сайтов, обрабатывающих личные данные, платежи или пароли. Браузеры (Google Chrome, Mozilla Firefox) помечают сайты без HTTPS как «Небезопасные». Для интернет-магазинов, банков и государственных порталов использование SSL-сертификата является стандартом безопасности.

Электронная почта

Протоколы SMTPS, IMAPS, POP3S используют SSL/TLS для шифрования почтового трафика. Сертификаты применяются для аутентификации почтовых серверов.

VPN и удалённый доступ

SSL-сертификаты используются в VPN-решениях (например, OpenVPN) для аутентификации клиентов и серверов, а также для создания зашифрованных туннелей.

API и микросервисы

В современных архитектурах микросервисов SSL-сертификаты обеспечивают безопасное взаимодействие между компонентами, особенно при передаче данных через открытые сети.

Критика и ограничения

Стоимость и сложность

Долгое время SSL-сертификаты были платными, что создавало барьер для малых сайтов. Появление Let’s Encrypt решило эту проблему, но некоторые УЦ продолжают взимать высокие цены за OV и EV сертификаты, что не всегда оправдано с точки зрения безопасности.

Проблемы с доверием

Система цепочки доверия основана на доверии к удостоверяющим центрам. В истории были случаи компрометации УЦ (например, DigiNotar в 2011 году), что позволяло злоумышленникам выпускать поддельные сертификаты для популярных сайтов. Это привело к ужесточению требований к УЦ и внедрению Certificate Transparency (прозрачность сертификатов).

Срок действия

Сертификаты имеют ограниченный срок действия (обычно от 1 до 3 лет). С 2020 года Let’s Encrypt сократил срок до 90 дней, что требует автоматизации обновления. Это повышает безопасность, но создаёт нагрузку на администраторов.

EV-сертификаты

Расширенная проверка (EV) критикуется за то, что не даёт реального повышения безопасности по сравнению с OV, а зелёная строка в браузере была отменена. Некоторые эксперты считают EV-сертификаты маркетинговым инструментом.

Будущее SSL-сертификатов

Автоматизация

Протокол ACME (Automated Certificate Management Environment) позволяет полностью автоматизировать процесс получения, проверки и обновления сертификатов. Let’s Encrypt активно продвигает ACME, что делает управление сертификатами проще и дешевле.

Квантовая устойчивость

С развитием квантовых компьютеров существующие алгоритмы асимметричного шифрования (RSA, ECC) могут стать уязвимыми. Разрабатываются постквантовые криптографические алгоритмы, которые будут интегрированы в будущие версии TLS и SSL-сертификатов.

Интеграция с DNS

Технология DANE (DNS-based Authentication of Named Entities) позволяет связывать сертификаты с записями DNSSEC, снижая зависимость от удостоверяющих центров. Однако широкого распространения DANE пока не получила.

Источники

  • RFC 5246: The Transport Layer Security (TLS) Protocol Version 1.2 (2008)
  • RFC 8446: The Transport Layer Security (TLS) Protocol Version 1.3 (2018)
  • Стандарт X.509 (ITU-T, 1988)
  • Документация Let’s Encrypt (letsencrypt.org)
  • Материалы Национального Удостоверяющего Центра РФ (nucrf.ru)
  • Статья «SSL/TLS: История и эволюция» (журнал «Хакер», 2020)
  • Отчёт Google Transparency Report: HTTPS usage statistics (2023)

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →