Понимание технологии шифрования SSL

12.03.2019

Гэри Стивенс дает нам экспертный взгляд на SSL/TLS.

     Скорее всего, вы раньше слышали о SSL, даже если у вас нет опыта работы в ИТ. Вы, вероятно, имеете смутное представление о том, что это такое, почему это важно и как получить сертификат. Помимо этого, понимаете ли вы, как это работает и какие преимущества дает для вас и для других?


Основная концепция SSL и 
SSL-сертификатов

     Начнем с основ SSL. Защищенные соединения – это технология, разработанная для того, чтобы веб-клиенты и веб-серверы могли обмениваться данными через общедоступную сеть. В большинстве случаев этой публичной сетью является Интернет. По сути, идея состоит в том, чтобы создавать соединения, в которые другие люди не могут вмешаться, изменить их или перехватить и получить данные без ведома.
SSL существует уже более двух десятилетий. Разработка и сопутствующий процесс сертификации позволили предприятиям начать предлагать товары и услуги онлайн в безопасных условиях (включая безопасную оплату). То, что сегодня многие называют SSL, на самом деле является протоколом безопасности. Официально известный как Transport Layer Security, первые версии которого были совместимы с так называемым SSL 3.0. Начиная с 2018 года, эти два протокола больше не совместимы, хотя оба продолжают использоваться.

Асимметричное шифрование

     Так что же такого в SSL, что делает его таким важным для онлайн-безопасности? Один аспект, который следует изучить, известен как асимметричное шифрование. Цель состоит в том, чтобы определить, является ли сертификат SSL действительным, прежде чем какие-либо данные будут передаваться между сайтом и браузером. Все это происходит так быстро, что вы не заметите задержку. Другими словами, шифрование соединения определяется до того, как вы что-либо увидите. Если есть проблема, браузер останавливает вас и дает вам возможность уйти с сайта. Почему асимметричное шифрование такое важное? Все по тому, что оно использует как закрытый, так и открытый ключ. Открытый ключ шифрует данные, а закрытый - дешифрует данные. Вы можете продолжить работу с сайтом, только после того, как эти оба ключи настроены.
Симметричное шифрование
Как насчет симметричного шифрования? Это также важно для процесса проверки SSL-сертификата. Это то, что поддерживает соединение, когда браузер и сайт общаются друг с другом после установления безопасного сеанса. Благодаря использованию этого типа шифрования ключи сеанса способны шифровать и дешифровать данные.

Как асимметричное и симметричное шифрование работают вместе

     Рассмотрим асимметричное шифрование как средство контроля, подтверждения и проверки того, что браузер и веб-сайт могут взаимодействовать. В некотором смысле, оно проверяет сертификат SSL, и обеспечивает безопасность связи. Также симметричное шифрование берет на себя ответственность и позволяет коммуникации происходить до тех пор пока одна из сторон не завершит сеанс. Подумайте об этом: вы используете браузер, чтобы попасть в ваш любимый интернет-магазин. Асимметричное шифрование обеспечивает актуальность сертификата SSL и возможность безопасного установления связи. Симметричное шифрование позволяет выполнять поиск, читать описания и проводить транзакции находясь на сайте.

Копаем глубже: RSA и ECC

     Когда вы узнаете больше о SSL и шифровании в целом, вы, вероятно, услышите два термина. Один из них известен как шифрование RSA. Название основано на трех лицах, которые придумали идею такого шифрования: Ривест, Шамир и Адельман. Он фокусируется на шифровании с открытым ключом и использует специальные математические уравнения для получения двух больших простых чисел всякий раз, когда браузер используется для соединения с веб-сайтом. Простые числа всегда остаются конфиденциальными и в конечном итоге на их основе генерируются ключи. После завершения процесса они больше не нужны. Это еще один уровень защиты для «рукопожатия» между браузером и сайтом. Как и в случае с шифрованием, это происходит так быстро, что у вас нет времени, чтобы это увидеть. Что он делает, так это держит соединение в безопасности. Вы также услышите о шифровании ECC. Это расшифровывается как криптография с эллиптической кривой. Он используется более десяти лет и, как правило, считается более сложным, чем другие аспекты SSL. Что он делает, он участвует в процессе проверки, который устанавливает соединение. Как и RSA, ECC - это оценка и определение связи между сайтом и браузером, которая является безопасной и надежной. Рассматривайте это как еще один способ предотвратить проникновение третьих лиц в разговор между вами, пользователем и сайтом, который вы посещаете.

SSL-сертификаты и их бесплатная «ценность»

     Вам не придется долго просматривать Интернет, чтобы понять, что цена на приобретение сертификата SSL есть повсюду, часто включается бесплатно в планах веб-хостинга, но может варьироваться до сотен или тысяч долларов за премиальные сертификаты. Хотя единого правильного ответа для выбора не существует, имейте в виду, что любая бесплатная защита SSL, скорее всего, проверяется только доменом (наименее безопасный вариант) и может иметь более короткий срок действия, чем другие, - по сути, бесплатная пробная версия SSL-сертификата. Сравните лучших брокеров SSL-сертификатов, чтобы получить представление о цене, возможности и уровнях безопасности, которые они предлагают.

     Суть в том, что благодаря неустанным усилиям хакеров и решению Google вознаграждать сайты с помощью «HTTPS», предлагаемого защитой SSL, с лучшим ранжированием в поисковых системах, вам больше не придется выбирать, стоит ли вам это делать или нет. В 2019 году вы абсолютно обязаны это сделать!

     Защитите свой сайт и увеличьте доверие ваших посетителей!


« Назад