Ваше соединение не защищено. Делают ли SSL-сертификаты интернет действительно безопасным?

Иногда вы заходите на сайт и видите сообщение «Ваше подключение не защищено». Браузер недвусмысленно намекает, что посещение этого сайта может быть для вас опасным. Так ли это на самом деле?

Как происходит обмен информацией в интернете?

Если говорить очень обобщенно, то когда вы набираете адрес сайта в браузере, то браузер обращается на сервер, на котором размещен сайт, запрашивает у него информацию и выводит на экран вашего компьютера. Стандартный протокол передачи данных для таких задач — HTTP. Но данные в нем передаются в открытом виде, незашифрованными. Поэтому злоумышленники могут перехватить поток и получить эти данные. Не очень приятно, если вы при этом передавали номер своей кредитной карты, оплачивая покупку в интернет-магазине.

В 2000 году создали протокол HTTPS (S значит «Secure») — безопасный протокол передачи данных. Он работает также как HTTP, но шифрует передаваемые данные. Если злоумышленник вклинится в процесс передачи данных, он сможет их получить, но ничего не поймет. За шифрование данных отвечает протокол SSL (Secure Sockets Layer).

Как меняется передача данных при использовании SSL?

Теперь браузер запрашивает у сервера страницу по протоколу HTTPS. Сервер отправляет браузеру копию своего сертификата SSL, как бы сообщая, что готов к безопасной передаче данных. Браузер проверяет сертификат на подлинность (в сертификате написано для какого домена он выдан, на какой срок действует, кто владелец, кем выдан). Если все в порядке, браузер извлекает ключ шифрования. Далее сервер и браузер обмениваются информацией с использованием этого шифра. Сервер шифрует информацию и отправляет ее браузеру, браузер расшифровывает и выводит ее на экране компьютера.

Сайты с SSL-сертификатом помечаются в браузере специальным значком-замочком.

Если кликнуть в замочек, то можно увидеть более детальную информацию о сертификате.

Получается, обычные сайты небезопасны?

Это не совсем так. Если у сайта нет сертификата безопасности, это не значит, что он плохой. Это значит, что данные он передает в открытом виде. Злоумышленникам их проще перехватить. Но если на таком сайте вы не передаете личную информацию (не указываете телефон или адрес в форме обратной связи, не сообщаете номер кредитной карты), то пользоваться таким сайтом вполне безопасно. В SSL-шифровании не нуждаются сайты, на которых посетители просто получают информацию (читают новости, например).

Получается, защищенные сайты всегда безопасны?

Это тоже не совсем так. SSL-сертификат говорит лишь о том, что данные будут передаваться в зашифрованном виде. Но кому они будут передаваться — это вопрос. Мошенники также могут установить на свой сайт сертификат безопасности и использовать его для, например, фишинга (получения доступа к конфиденциальной информации). Поэтому нужно очень внимательно относиться к тому, на каком сайте вы вводите свои личные данные. Часто мошенники создают очень похожий домен и дизайн, как у оригинального сайта, легко перепутать и вместо покупки получить обнуленный счет в банке. Будьте бдительны.

Как получить SSL-сертификат?

Сертификат безопасности можно купить в специализированных компаниях, но чаще всего их покупают у хостера или регистратора домена. Часто их дарят при покупке нового домена. Сертификат нужно обновлять, обычно 1 раз в год.

При покупке сертификата, его нужно настроить (подключить к вашему домену). Если регистратор или хостер не подключают сертификат, это может сделать разработчик сайта. Ранее в этой статье мы рассказывали о том, как выбирать сертификат и как правильно установить его на сайт.