Краткое сравнение центров сертификации SSL

Шифрование трафика с помощью SSL-сертификатов – один из самых распространенных методов обеспечения безопасности в сети. Сертификаты позволяют защитить трафик и обеспечить необходимый уровень безопасности данных пользователей.

Основные преимущества SSL – конфиденциальность и целостность данных. Шифрование предотвращает перехват и обеспечивает приватность соединений. Целостность данных обеспечивается криптографической проверкой подлинности сервера и отслеживанием сообщений.

Существует несколько способов получить SSL-сертификат. В зависимости от бюджета, аудитории и нескольких других факторов вы можете выбрать коммерческий центр сертификации (ЦС) или новый автоматизированный и свободный ЦС, а также создать самоподписанный сертификат или собственный ЦС.

В данной статье мы рассмотрим основные свойства всех вышеперечисленных вариантов и обсудим ситуации их использования.

Основные понятия

Для начала нужно ознакомиться с базовыми понятиями шифрования SSL.

TLS (Transport Layer Security): это новый протокол безопасности, который заменяет SSL (Secure Sockets Layer). Хотя современные технологии шифрования основаны на TLS, SSL до сих пор широко используется как термин. Его мы также будем использовать в данной статье.

Сертификат: веб-сервер предоставляет сертификаты при запросе каждого соединения SSL. Сертификат содержит имя хоста и подписывается надежным ЦС, что подтверждает подлинность сервера. Данная статья полностью сосредоточена на серверных сертификатах SSL.

Центр сертификации (ЦС) проверяет сведения владельца домена в запросе на сертификат SSL, а затем – если все данные подтвердились – выдает и подписывает сертификаты сервера. Браузеры и операционные системы поддерживают список доверенных центров сертификации. Если сертификат сервера подписан одним из этих доверенных ЦС, ему также будут доверять.

Сертификат, подтверждающий домен (DV): такой сертификат выдается, только если пользователь может доказать, что он является владельцем указанного домена. Для проверки домена перед выдачей сертификата ЦС обычно запрашивает токены веб-сервера или записи DNS.

Сертификат, подтверждающий домен и организацию (OV): если сертификат подтверждает подлинность организации, значит, центр сертификации смог проверить название и адрес компании в публичных базах данных. Эта информация помещается в сертификат и обычно отображается только тогда, когда пользователь кликает на значок зеленого замка, чтобы получить дополнительные данные.

Сертификат с расширенной проверкой (EV): это более тщательный вид проверки. Для получения сертификата EV нужно подтвердить не только владение доменом, но также местонахождение юридического лица, запрашивающего сертификат. В отличие от сертификатов DV и OV, EV нельзя использовать как wildcard сертификат. Также сертификаты EV иначе воспринимаются браузерами. Обычно браузеры обозначают сертификат DV простым зеленым значком навесного замка. В отличие от DV, сертификат EV в этом поле также содержит название организации, которой он принадлежит. Это позволяет предотвратить фишинговые атаки, хотя некоторые исследования показывают, что пользователи часто не замечают отсутствие этого поля в адресной строке браузера.

Wildcard сертификат: такие сертификаты действительны для целого ряда имен поддоменов, в отличие от других сертификатов, которые действительны только для определенного полного доменного имени (например, app.example.com). Таким образом, сертификат, выданный на *.example.com, будет охватывать все поддомены example.com, например, app.example.com и database.example.com. Символ звездочки является подстановочным знаком и может быть заменен любым валидным именем хоста.

Список отзыва сертификатов (CRL): сертификаты SSL могут включать информацию о том, как получить доступ к списку отзыва сертификата. Клиенты смогут загрузить и проверить этот список, чтобы убедиться, что сертификат не был отозван. Списки CRL в основном были заменены OCSP.

Протокол состояния сертификата (OCSP): это замена CRL. Преимущества OCSP – информация в режиме реального времени и меньший расход пропускной способности. Общий принцип работы такой же, как у CRL: клиенты запрашивают OCSP, чтобы узнать, был ли отозван сертификат.

Платные центры сертификации

Платные ЦС позволяют заказывать сертификаты DV, OV и EV. Некоторые предлагают бесплатные сертификаты DV с некоторыми ограничениями.

  • Процесс: Начальная установка и обновление сертификата происходит вручную.
  • Доступные сертификаты: DV, OV и EV.
  • Доверие: Таким сертификатам по умолчанию доверяют большинство браузеров и операционных систем.
  • Wildcard сертификаты: поддерживаются.
  • Сертификаты для IP: Некоторые ЦС предлагают сертификаты для внешних IP-адресов.
  • Срок действия: от 1 года до 3 лет.

Многим платным ЦС большинство браузеров доверяют по умолчанию. Процесс обновления обычно выполняется вручную, поэтому вы должны помнить о дате истечения срока действия сертификатов и своевременно обновлять их.

Платные ЦС традиционно считались единственным реальным вариантом получения сертификатов, которым доверяли большинство основных браузеров. Это изменилось с появлением новых автоматизированных центров сертификации, таких как Let’s Encrypt. Тем не менее, платные центры сертификации – единственный способ получить EV и wildcard сертификат. Также платные ЦС подходят в случае, если вам нужен сертификат для устройства, которое не может запустить автоматизированный клиент Let’s Encrypt из-за несовместимости программного обеспечения или нехватки ресурсов.

Кроме того, платные ЦС часто предлагают дополнительные гарантии и поддержку, что важно для некоторых компаний.

Сервис Let’s Encrypt

Let’s Encrypt – это автоматизированный сервис создания и обновления бесплатных сертификатов DV. Let’s Encrypt предлагает стандартный протокол ACME для взаимодействия с сервисом и автоматического получения и обновления сертификатов. Официальный ACME-клиент называется Certbot, хотя существует множество альтернативных клиентов.

  • Процесс: Создание и обновление сертификатов автоматизированы. Официальный клиент автоматизирует обслуживание сертификатов только для Apache и Nginx, но сертификаты можно загружать и использовать независимо от программного обеспечения сервера.
  • Цена: Бесплатно.
  • Доступные сертификаты: Только DV.
  • Доверие: Таким сертификатам по умолчанию доверяют большинство браузеров и операционных систем.
  • Wildcard сертификаты: Не выдаются.
  • Сертификаты для IP: Не выдаются.
  • Срок действия: 90 дней.

Сертификаты Let’s Encrypt недолговечны, что позволяет сократить время использования взломанных сертификатов злоумышленниками.

Let’s Encrypt подходит для создания сертификатов серверов с валидным доменом.

Перед выдачей сертификата серверы Let’sEncrypt должны связаться с вашим веб-сервером или получить общедоступную запись DNS, чтобы убедиться, что домен действительно принадлежит вам. Поэтому сертиифкаты Let’sEncrypt сложно использовать на частных серверах с настроенным брандмауэром в локальной сети.

Let’s Encrypt не выдает сертификаты для IP-адресов.

Если вам нужен EV или wildcard сертификат, Let’s Encrypt вам не подходит.

Сертификаты Let’s Encrypt могут содержать до 100 имен хостов. Это позволяет заменить wildcard сертификат и охватить все необходимые поддомены.

Однако из-за лимита Let’s Encrypt API этот сервис не подходит приложениям с большим количеством поддоменов или динамических доменов.

Самоподписные SSL-сертификаты

Чтобы вообще не обращаться в ЦС, можно использовать SSL-сертификат, подписанный его собственным закрытым ключом. Такеи сертификаты называются самоподписными. Обычно они используются для тестирования или для шифрования приложений с небольшим количеством трафика.

  • Процесс: Создается вручную. Не обновляется.
  • Цена: Бесплатно.
  • Доступные сертификаты: Только DV и OV.
  • Доверие: Таким сертификатам не доверяют по умолчанию. Каждый самоподписной сертификат нужно вручную отметить как доверенный.
  • Wildcard сертификаты: Выдаются.
  • Сертификаты для IP: Выдаются.
  • Срок действия: Любой.

Самоподписные сертификаты создаются с помощью команды openssl, которая поставляется библиотекой OpenSSL.

Читайте также: Основы OpenSSL: SSL-сертификаты, закрытые ключи и запросы на подпись

Поскольку самоподписной сертификат не подписан никаким доверенным ЦС, вам нужно вручную пометить сертификат как доверенный. Этот процесс отличается в каждом браузере и операционной системе. После этого сертификат будет действовать, как любой обычный сертификат, подписанный ЦС.

Самоподписанные сертификаты хороши для одноразового использования, если нет необходимости отзывать или обновлять сертификат. Они достаточно часто используются для разработки и тестирования, или для веб-приложений, с которыми работают всего несколько пользователей.

Частные центры сертификации

Вы можете создать собственный ЦС и с его помощью подписывать свои сертификаты. Ваши пользователи должны вручную установить и пометить ваш ЦС как доверенный, только после этого их системы будут доверять вашим сертификатам.

  • Процесс: Создается и обновляется вручную. Требуется ручная установка самого ЦС.
  • Цена: Бесплатно.
  • Доступные сертификаты: DV и OV.
  • Доверие: Таким сертификатам не доверяют по умолчанию. Чтобы клиенты доверяли вашему ЦС, его нужно распространять вручную.
  • Wildcard сертификаты: Выдаются.
  • Сертификаты для IP: Выдаются.
  • Срок действия: Любой.

Как и самоподписанные сертификаты, вы можете создать частный ЦС с помощью инструментов командной строки, которые поставляются библиотекой OpenSSL. Но существуют и альтернативные интерфейсы, облегчающие процесс создания. tinyCA – это графический интерфейс, а caman — программа командной строки для создания частного ЦС. Это программное обеспечение упрощает процесс создания ЦС, а также позволяет создавать, отзывать и продлевать сертификаты.

Частный ЦС подходит в ситуациях, когда пользователю нужно создать много сертификатов и он может быстро распространять свой ЦС вручную. Обычно частные ЦС используются внутри организации или небольшой группы технически подкованных пользователей, которые могут правильно установить ЦС. У крупных ИТ-отделов часто есть средства для автоматического развертывания центров сертификации, что делает это решение более привлекательным для них.

В отличие от самоподписных сертификатов, где каждый сертификат нужно вручную отмечать как доверенный, ЦС нужно установить и пометить всего один раз. Все сертификаты, выданные этим центром, будут автоматически восприниматься как доверенные.

Недостатки частного ЦС – это расходы на его запуски и необходимость иметь знания и навыки для поддержки его безопасности.

Если для вас важно поддерживать правильный отзыв, вам также понадобится HTTP для обслуживания списков отзыва или OCSP.

Заключение

В этой статье перечислены самые распространенные средства для создания SSL-сертификата. Все вышеперечисленные варианты SSL-шифрования позволяют защитить данные приложения и пользователей.

Читайте также:

Tags: ,