Secure Sockets Layer (SSL) - это протокол безопасности, обеспечивающий конфиденциальность, аутентификацию и целостность интернет-коммуникаций. Со временем SSL превратился в протокол безопасности транспортного уровня (Transport Layer Security, TLS).
Что такое SSL?
SSL, или Secure Sockets Layer, - это протокол безопасности в Интернете, основанный на шифровании. Он был впервые разработан компанией Netscape в 1995 году для обеспечения конфиденциальности, аутентификации и целостности данных в интернет-коммуникациях. SSL является предшественником современного шифрования TLS, используемого сегодня.
Веб-сайт, использующий протокол SSL/TLS, имеет в своем URL «HTTPS» вместо «HTTP».
Как работает протокол SSL/TLS?
Чтобы обеспечить высокую степень конфиденциальности, SSL шифрует данные, передаваемые по сети. Это означает, что любой, кто попытается перехватить эти данные, увидит лишь беспорядочную смесь символов, которую практически невозможно расшифровать.
SSL инициирует процесс аутентификации, называемый рукопожатием, между двумя взаимодействующими устройствами, чтобы убедиться, что оба устройства действительно являются теми, за кого себя выдают.
SSL также подписывает данные цифровой подписью, чтобы обеспечить целостность данных и убедиться, что они не были подделаны до того, как попали к адресату.
Было несколько итераций SSL, каждая из которых была более безопасной, чем предыдущая. В 1999 году SSL был обновлен и превратился в TLS.
Почему важен протокол SSL/TLS?
Первоначально данные в Интернете передавались в виде открытого текста, который мог прочитать любой человек, перехватив сообщение. Например, если потребитель посетил сайт магазина, оформил заказ и ввел на сайте номер своей кредитной карты, то этот номер кредитной карты путешествовал по Интернету в незаметном виде.
SSL был создан для решения этой проблемы и защиты конфиденциальности пользователей. Шифруя все данные, передаваемые между пользователем и веб-сервером, SSL гарантирует, что любой, кто перехватит эти данные, сможет увидеть лишь беспорядочный набор символов. Номер кредитной карты потребителя теперь в безопасности и виден только на том сайте, где он его ввел.
SSL также предотвращает некоторые виды кибератак: Он проверяет подлинность веб-серверов, что очень важно, поскольку атакующие часто пытаются создать поддельные веб-сайты, чтобы обмануть пользователей и украсть данные. Он также не позволяет атакующим подделать данные во время транспортировки, подобно пломбе на контейнере с лекарством.
SSL и TLS - это одно и то же?
SSL является прямым предшественником другого протокола под названием TLS (Transport Layer Security). В 1999 году Целевая группа инженеров Интернета (IETF) предложила обновить SSL. Поскольку это обновление разрабатывалось IETF, а компания Netscape больше не принимала в нем участия, название было изменено на TLS. Различия между финальной версией SSL (3.0) и первой версией TLS невелики; изменение названия было сделано для того, чтобы обозначить смену владельца.
Поскольку они так тесно связаны, эти два термина часто используются как взаимозаменяемые и путаются. Некоторые люди до сих пор используют SSL для обозначения TLS, другие используют термин «шифрование SSL/TLS», поскольку SSL все еще пользуется большой популярностью.
Является ли SSL по-прежнему актуальным?
SSL не обновлялся с момента появления SSL 3.0 в 1996 году и в настоящее время считается устаревшим. Существует несколько известных уязвимостей в протоколе SSL, и эксперты по безопасности рекомендуют отказаться от его использования. Более того, большинство современных веб-браузеров вообще не поддерживают SSL.
TLS - это современный протокол шифрования, который все еще используется в Интернете, хотя многие люди по-прежнему называют его «SSL-шифрованием». Это может стать источником путаницы для тех, кто ищет решения для обеспечения безопасности. Правда в том, что любой поставщик, предлагающий «SSL» в наши дни, почти наверняка обеспечивает защиту TLS, которая является отраслевым стандартом уже более 20 лет. Но поскольку многие люди все еще ищут «SSL-защиту», этот термин по-прежнему присутствует на страницах многих продуктов.
Что такое SSL-сертификат?
SSL может быть реализован только на тех сайтах, которые имеют SSL-сертификат (технически «сертификат TLS»). SSL-сертификат - это как удостоверение личности или значок, подтверждающий, что человек является тем, за кого себя выдает. SSL-сертификаты хранятся и отображаются в Интернете на сервере веб-сайта или приложения.
Одна из самых важных частей информации в SSL-сертификате - открытый ключ сайта. Открытый ключ обеспечивает шифрование и аутентификацию. Пользовательское устройство просматривает открытый ключ и использует его для создания безопасных ключей шифрования с веб-сервером. При этом у веб-сервера также есть закрытый ключ, который хранится в секрете; закрытый ключ расшифровывает данные, зашифрованные с помощью открытого ключа.
Центры сертификации (ЦС) отвечают за выдачу сертификатов SSL.
Какие существуют типы SSL-сертификатов?
Существует несколько различных типов SSL-сертификатов. В зависимости от типа один сертификат может относиться к одному или нескольким веб-сайтам:
- Однодоменный: Однодоменный SSL-сертификат применяется только к одному домену («домен» - это имя веб-сайта, например www.example.com).
- Wildcard: Как и однодоменный сертификат, SSL-сертификат с подстановочным знаком применяется только к одному домену. Однако он также включает в себя поддомены этого домена. Например, сертификат wildcard может распространяться на домены www.example.com, blog.example.com и developers.example.com, в то время как однодоменный сертификат - только на первый.
- Мультидоменный: Как видно из названия, многодоменные SSL-сертификаты могут применяться к нескольким несвязанным доменам.
SSL-сертификаты также имеют различные уровни проверки. Уровень проверки - это как фоновая проверка, и уровень меняется в зависимости от тщательности проверки.
- Проверка домена: Это наименее строгий уровень проверки и самый дешевый. Все, что нужно сделать компании, - это доказать, что она контролирует домен.
- Проверка организации: Это более практичный процесс: УЦ напрямую связывается с человеком или компанией, запрашивающей сертификат. Такие сертификаты более надежны для пользователей.
- Расширенная проверка: Требуется полная проверка организации перед выдачей SSL-сертификата.