Что такое сертификат безопасности сайта и для чего он нужен

Каждый раз, когда вы открываете сайт в интернете, будь то интернет-магазин, онлайн-банк или просто новостной портал, между вашим устройством и сервером сайта происходит обмен данными. Чтобы эти данные не были перехвачены злоумышленниками, используется особый механизм защиты — сертификат безопасности сайта.

Что такое TLS-сертификат

Сертификат безопасности, обычно называют SSL-сертификатом, хотя правильнее — TLS-сертификат. У него есть две основные функции:

1. Аутентификация. Он подтверждает, что вы попали именно на тот сайт, который ввели в адресную строку браузера. Сертификаты помогают убедиться, что вы действительно находитесь, например, на сайте вашего банка, а не на поддельной странице, созданной мошенниками.
2. Шифрование. TLS-сертификат участвует в шифровании информации, которой обмениваются ваше устройство и сайт. Допустим, вы вводите на сайте логин, пароль или номер банковской карты. Без защиты эти данные передавались бы по сети в открытом виде. Из-за этого информацию могли бы увидеть посторонние: от интернет-провайдеров, через сети которых проходит трафик, до злоумышленников, которые смогли его перехватить. Если же данные зашифрованы, то даже если кто-то сможет получить к ним доступ, извлечь из них информацию не получится.

Все популярные браузеры вроде Chrome, Yandex Browser, Firefox, Opera и других предупреждают, если сайт, на который вы зашли, не имеет действующего сертификата, а некоторые и вовсе блокируют доступ к таким ресурсам.

Как понять, что соединение с сайтом защищено

Узнать, защищено ли соединение с сайтом, очень просто. Обратите внимание на адресную строку вашего браузера:

1. Значок замка. Слева от адреса сайта (URL) вы увидите значок закрытого замка. Это главный визуальный индикатор.
2. Буквы «https://». Адрес защищённого сайта начинается с https://, а не с http://. Буква s в данном случае означает secure («безопасный»). Браузеры могут скрывать эту часть адреса, показывая только замок.
3. Название организации. Если нажать на замок, можно увидеть подробную информацию о сертификате. На сайтах крупных компаний, банков или государственных учреждений там может указываться название организации.

Если вместо замка вы видите открытый замок, значок восклицательного знака или надпись «Небезопасно» — такое соединение не защищено.

Отчёт о безопасности подключения в Google Chrome

Если это известный, крупный сайт, например банка, маркетплейса или Госуслуг, то предупреждение может говорить о том, что вы находитесь на поддельном сайте. Внимательно изучите адрес в адресной строке, возможно, там есть лишние буквы или дефисы. Уточнить правильный адрес можно, например, на вашей банковской карте, в чеках и письмах, которые вам раньше присылали с этого сайта, или в авторитетных источниках, например на Википедии.

В некоторых случаях злоумышленники могут быть ни при чём. Например, если по недосмотру администраторов ресурса сертификат вовремя не обновили. Тем не менее, если видите предупреждение от браузера, не вводите на таком сайте личные данные, пароли, реквизиты от банковских карт и другую информацию.

Как работают TLS-сертификаты

Упрощённо процесс установки защищённого соединения можно представить так:

«Знакомство». Когда вы заходите на сайт, ваш браузер просит его представиться и показать свой TLS-сертификат.

Проверка «паспорта». Браузер проверяет, что сертификат:

• Выдан доверенным центром, а не сам себе.
• Действителен на текущую дату, не просрочен, или его действие не начнётся в будущем.
• Выдан именно этому сайту: адрес в сертификате совпадает с адресом сайта, который вы открыли.

Создание секретного кода. Если проверка прошла успешно, браузер и сервер сайта с помощью данных из сертификата договариваются об уникальном секретном ключе шифрования для вашего сеанса связи.

Зашифрованное общение. Все дальнейшие данные, которыми вы обмениваетесь с сайтом, шифруются этим ключом. Для посторонних этот «разговор» выглядит как бесполезный набор случайных символов.

Что такое доверенные и недоверенные сертификаты

Доверенный сертификат — это «паспорт», выданный одним из специальных Центров сертификации (Certificate Authorities, CA). Эти организации — всемирно признанные «цифровые нотариусы». Они проверяют право владельца на доменное имя перед тем, как выдать сертификат. Список таких центров, которые считаются доверенными, предустановлен во все популярные браузеры вроде Chrome, Firefox, Opera, Safari и другие. При проверке сертификата сайта браузер первым делом проверяет, входит ли организация, которая выдала ему сертификат, в число доверенных.

Недоверенный сертификат — это «паспорт», который сайт создал себе сам (самоподписанный) или который был выдан ненадёжным, неизвестным браузеру центром. Такой сертификат не гарантирует безопасность, так как его происхождение и подлинность нельзя проверить. В таком случае браузер также выдаст предупреждение. Браузер всегда предупредит вас о такой ситуации.

Опасно ли самостоятельно добавлять сертификат в доверенные

Несмотря на то что список доверенных Центров сертификации предустановлен в браузеры, вы можете добавить в него и другие организации. Например, это может быть сертификат, выпущенный компанией, где вы работаете, который нужен, чтобы вы могли зайти на внутренние ресурсы компании, когда находитесь вне офиса. Ещё один пример — корневой сертификат НУЦ Минцифры. Его стали выпускать для российских организаций после того, как часть международных Центров сертификации прекратила сотрудничество с сайтами компаний из РФ.

Один из самых частых примеров того, как сайт предлагает установить сторонний сертификат, — сайты Сбера.

Проблема в том, что корневой сертификат НУЦ Минцифры не предустановлен по умолчанию в основных мировых браузерах и операционных системах. Поэтому, когда пользователь заходит с обычного браузера на сайт, использующий такой сертификат, браузер не узнаёт его центр выдачи и показывает стандартное предупреждение о безопасности. Чтобы его обойти, сайты и просят пользователя вручную установить сертификат НУЦ в список доверенных.

Теоретически такие действия несут в себе потенциальные угрозы:

• Возможность атаки «человек посередине» (Man-in-the-Middle, MitM). Владелец корневого сертификата обладает технической возможностью подписывать сертификаты для любого сайта в интернете. Теоретически, если бы такой сертификат использовался для перехвата трафика, он мог бы создавать поддельные, но технически «доверенные» для вашего браузера копии сайтов, например онлайн-банков или почтовых сервисов, чтобы перехватывать логины, пароли и банковские данные. Ваш браузер не смог бы отличить такую подделку от настоящего сайта.
• Расшифровка трафика. Организация, владеющая корневым сертификатом, может потенциально расшифровывать трафик, зашифрованный с помощью выпущенных ею сертификатов. Это означает, что ваши данные, защищённые таким сертификатом, могут быть доступны для прочтения третьей стороной.
• Снижение уровня бдительности. Привыкнув вручную добавлять сертификаты для доступа к Сберу или Госуслугам, вы можете стать менее бдительным и по привычке добавить сертификат, который подсунут настоящие мошенники, маскируясь под уведомление от государственных сервисов или крупных организаций.

Чтобы снизить потенциальные угрозы, для просмотра сайтов, которым требуются сертификаты от Минцифры, лучше использовать отдельный браузер от российского разработчика, в которых такой сертификат встроен изначально. Например, Яндекс Браузер.

Заключение

TLS-сертификат — это одна из базовых технологий, обеспечивающих безопасность и конфиденциальность в интернете. Он защищает ваши данные от кражи и помогает убедиться, что вы общаетесь с настоящим, а не поддельным сайтом. Всегда обращайте внимание на значок замка в адресной строке и никогда не игнорируйте предупреждения браузера о безопасности — это ваша главная защита в сети. Если же вам нужно попасть на сайт, который требует установить сторонний сертификат и вы уверены, что это не мошенники, то используйте для него отдельный браузер, чтобы снизить потенциальный риск.