2015 год пройдет под знаком роста числа сайтов, работающих через SSL

30 Декабря 2014 15:22
0

Интернет уже стал давно нормой сегодняшнего дня. Большинство пользователей трактуют слова "сайт", "браузер", "трафик" однозначно и четко представляют о чем идет речь. Но еще мало кто из конечных пользователей задумывался о том, что такое безопасность соединения и какие "подводные камни" могут ожидать передающийся трафик по пути от пользователя, инициатора соединения, до конечного сервера сайта, где выполняется обработка того или иного запроса. Рассмотрим на схеме, как устроен Интернет:

2015 год пройдет под знаком роста числа сайтов, работающих через SSL

На упрощенной схеме: 1 - сервер, 4 - клиент, пользователей запрашивающий какую-либо страницу, 2/3 - узлы при передаче информации. Для передачи данных используются сетевые протоколы различных уровней, в частности, прикладного. Самым популярным и распространенным, на сегодняшний день, является HTTP - Hyper Text Transfer Protocol, протокол передачи гипертекстовой информации. Момент использования наступает при написании адреса сайта в адресной строке, например, site.ru. Браузер по умолчанию подставляет протокол http://site.ru и результатом отображается тот или иной ресурс. Вроде бы все хорошо и мы можем открыть любой, нужный нам на текущий момент сайт. Так в чем же тогда минусы этого протокола и зачем нам нужен SSL?

Придется немного погрузиться в историю HTTP. Сам протокол появился через несколько лет после сети ARPANET в далеком 1991 г. Год спустя он был впервые опубликован и содержал набор правил взаимодействия между клиентами и серверами HTTP, а также регламентировал четкое разделение функций. Протокол описывал, что каждое HTTP-сообщение состоит из 3-х частей:

  • стартовой строки, определяющей тип сообщения;
  • заголовков, характеризующих тело сообщения;
  • и, собственно, тела сообщения - передаваемых данных.
Из-за своей простоты, расширяемости и универсальности этот протокол ужился и продержался на рынке коммуникационных технологий более 20 лет. Но с течением времени стало очевидным, что протокол содержит некоторые недостатки, заложенные изначально в его архитектуре.

Во-первых, это отсутствие "навигации", у протокола отсутствуют в явном виде средства навигации среди ресурсов сервера.

Во-вторых, отсутствие поддержки распределенности. Изначально сам протокол разрабатывался для решения бытовых задач и время обработки запроса предполагалось незначительным или вовсе не принималось в расчет. Однако, с течением времени, при промышленном использовании протокола, стало очевидным, что HTTP не является оптимальным. Некоторое время спустя была предложена альтернатива протоколу HTTP - HTTP-NG (Next Generation), но до текущего момента он все еще находится в разработке и массово не используется.

В-третьих, сама по себе передача гипертекстовой информации - это открытый трафик, передаваемый из точки А в точку Б. Т.е. злоумышленник, присутствующий между отправителем и получателем информации всегда может либо подменить передаваемую информацию, либо посмотреть ее. На практике этим пользуются операторы мобильной связи в некоторых городах, когда при просмотре сайтов посредством 3G/4G, запрашиваемый ресурс отображается вместе с рекламным блоком.

Для решения третьей проблемы был предложено расширение прокола HTTP - Hyper Text Transfer Protocol Secure или HTTPS. Отличие заключается в том, что данные, передаваемые по протоколу HTTP, дополнительно шифруются в криптографический протокол SSL/TLS. Если данные перехвачены "по дороге", то их невозможно расшифровать или процесс расшифровки займет количество времени, соизмеримое с потерей актуальности передаваемой информации. Протокол HTTPS был разработан компанией Netscape Navigator в 1994 г. и начал получать широкое распространение, начиная с 2000-х гг.

Используемые на практике SSL-сертификаты можно условно поделить на три типа:
  1. Самоподписные. Это означает, что владелец сайта сам выдал себе сертификат и сам его подписал. Этот тип сертификата не гарантирует ничего. Любой владелец сайта может взять и выдать себе такой сертификат, а все браузеры при обращении к подобному ресурсу, будут выдавать предупреждение, что сертификат ненадежен.
  2. Подписанные недоверенным центром сертификации. Это означает, что сертификат сайта проверен, но сам "проверяющий" доверия не удостоен.
  3. Подписанный доверенным Центром Сертификации (далее, ЦС). Т.е. данные подобного сертификата проверены и выданы компанией, имеющей на это право (например, Thawte или VerySign). Такой сертификат подтверждает, что данный сайт действительно принадлежит компании, за которую себя выдает, компания действительно существует и данные этой компании проверены и зарегистрированы ЦС. На доверенные сертификаты браузеры ошибок не выдают, в отличии от первого и второго вариантов.
Что дает сертификат, подписанный доверенным ЦС для конечного пользователя:
  1. Гарантию того, что этот тот сайт, который хотел посетить пользователь, а не его подмененная копия, возможно, содержащая вредоносный код.
  2. Информацию о том, что сайт создан сознательно и надолго, т.к. все временные ресурсы, обычно, не готовы платить за получение доверенного сертификата.
  3. Открытость и информированность о владельце сайта, физическом или юридическом лице. Основное преимущество в том, что те, кто хотят обмануть пользователя никогда не станут показывать информацию о себе и не стремятся удостоверять свою личность.
  4. Информированность о том, что компания или физ. лицо, владелец сайта, волнуется о защищенности трафика и подтверждении своей личности.
  5. Возможность найти компанию владельца через ЦС, если что-то пошло не так.
Исходя из описанных выше критериев, понятен интерес как сайтов связанных с онлайн-коммерцией, так и конечных пользователей к HTTPS. И, разумеется, речь идет только о доверенных сертификатах, т.к. самоподписный или его полное отсутствие, может если и не отпугнуть пользователя, то поставить жирный минус в пользу владельца сайта. В особенности, это касается систем он-лайн оплаты или личных данных пользователей.

Если рассмотреть статистику количества сайтов, поддерживающих HTTPS, то виден постоянный рост. Среди самых популярных 300 ресурсов российской выдачи, использовать HTTPS стало в три раза больше компаний, чем в 2012 г. Google Chrome показал статистику, где наблюдается рост HTTPS-навигации с 27% до 58% в течение того же периода:

2015 год пройдет под знаком роста числа сайтов, работающих через SSL

В августе 2014 г., компания Google анонсировала, что сайты, которые используют HTTPS, получат бонус в ранжировании и с течением времени вес этого фактора будет все более и более значимым. Инициатором данного решения был аналитик и инженер отдела качества поиска, Гэри Илш. Это решение демонстрирует стремление поискового гиганта к улучшению качества данных в Интернете. И если изначально оно и не будет затрагивать более 1% всех глобальных поисковых запросов, то с течением времени это значение планируется увеличивать. Это дает возможность плавного перехода на HTTPS большинству заинтересованных владельцев сайтов. Можно обратить внимание, что эта новость уже собрала более 1400 комментариев в справочном центре веб-мастеров Google (http://googlewebmastercentral.blogspot.com/2014/08/https-as-ranking-signal.html), где пользователи вместе с сотрудниками Google обсуждают особенности и перспективы данного решения.

Резюмирую данную статью, рекомендуем владельцам ресурсов в сегменте он-лайн коммерции задуматься о целесообразности использования HTTPS, т.к. тенденция уже намечена и в наступающем 2015 г. она будет только развиваться.

Рассмотрим текущие предложения на рынке по подписанным сертификатам и основным доверенным ЦС (на примере данных компании REG.RU (https://www.reg.ru/ssl-certificate/), предлагающей приобрести данные сертификаты он-лайн).

GlobalSign - самая устойчивая защита SSL

Сертификат от GlobalSign обеспечивает не только наивысший уровень криптозащиты, но и максимальную скорость загрузки веб-сайтов. Сертификаты GlobalSign совместимы со всеми браузерами, операционными системами, приложениями и устройствами. Это значит, что все посетители, вне зависимости от используемого браузера и устройства, автоматически примут этот SSL-сертификат. Ваши данные будут в полной безопасности благодаря инновационному криптографическому алгоритму SHA-256 и RSA-ключам размером 2048 бит.

2015 год пройдет под знаком роста числа сайтов, работающих через SSL

Thawte - компания, которой доверяют миллионы

Вот уже более 10 лет сотни тысяч человек выбирают SSL-сертификаты от компании Thawte. Данные сертификаты позволяют предприятиям и частным лицам повысить уровень доверия миллионов пользователей, благодаря подтверждению подлинности их деятельности. SSL-сертификаты Thawte уже давно являются наиболее популярными среди малого бизнеса в Европе и Азии. Кроме того, данные сертификаты осуществляют поддержку кириллических доменов. Thawte - компания, которой все доверяют.

2015 год пройдет под знаком роста числа сайтов, работающих через SSL

Comodo - создание доверия в Интернете

Компания Comodo является одним из ведущих брендов в сфере интернет-безопасности и одним из крупнейших в мире поставщиком SSL-сертификатов. Благодаря данным сертификатам компания осуществляет защиту коммуникаций через Интернет, включая зону ".РФ". Более 25 000 000 человек доверяют качеству высококвалифицированных SSL-сертификатов Comodo, которые удовлетворяют потребности каждого бизнеса.

2015 год пройдет под знаком роста числа сайтов, работающих через SSL

TrustWave - повышение эффективности бизнеса

Компания TrustWave - всемирно известная компания в области защиты информации и данных в сети Интернет. Подтвердить соответствие и защитить сетевую инфраструктуру, передачу данных и ключевые информационные активы могут как сайты крупных предприятии, так и малые компании. Уже более 1 000 000 клиентов по всему миру выбирают SSL-сертификаты TrustWave.

2015 год пройдет под знаком роста числа сайтов, работающих через SSL

Symantec (VeriSign) - Безопасность ссылки, безопасность сайта, безопасность сделки

Компания Symantec (VeriSign) является крупнейшим поставщиком SSL-сертификатов в мире. Сертификаты от Symantec (VeriSign) позволяют повысить эффективность бизнеса Вашего сайта. Наличие SSL-сертификата не только обеспечит защиту информации, передаваемой между сайтом и клиентами, но и помогают подтвердить безопасность всего сайта в целом. Сайты, имеющие SSL-сертификаты от Symantec (VeriSign) пользуются максимальной степенью доверия: безопасность ссылки, безопасность сайта, безопасность сделки.

2015 год пройдет под знаком роста числа сайтов, работающих через SSL

GeoTrust - отличный выбор для успешных компаний

Компания GeoTrust - это второй по величине в мире поставщик SSL-сертификатов. Сертификаты от GeoTrust отлично подходят для небольших компаний, которые желают подтвердить безопасность своего сайта перед своими клиентами.

Более 100 000 человек в 150 странах доверяют качеству SSL-сертификатов компании GeoTrust при ведении бизнеса через Интернет. Благодаря большому ассортименту сертификатов и наличию цифровой «Печати доверия» организации любых размеров могут обеспечить максимальную безопасность цифровых операций с минимальными затратами.

2015 год пройдет под знаком роста числа сайтов, работающих через SSL