Скільки потрібно часу, щоб отримати А+ рівень SSL-захисту для нового сайту? Практика показала: 7 днів або навіть менше.

В середу 12 квітня ми представили оновлену версію нашого сайту. Вже наступного вівторка ssllabs.com (cервіс від компанії Qualys) оцінив захищеність ресурсу на А+.

Тож нам знадобилося менше тижня, щоб правильно налаштувати сервер і завоювати довіру Qualys.

На сьогодні GigaCloud – єдиний хмарний оператор в Україні, чий SSL-сертифікат оцінений на А+. На світовому ринку хмарних технологій таку оцінку отримують тільки топові оператори – як Microsoft й Amazon.

Ми багато працювали для досягнення цього рівня. Щоб максимально захистити дані на сайті, важливий не тільки якісний сертифікат SSL – багато залежить від детального налаштування програмного забезпечення сервера (зокрема, веб-сервера).

Але, відкривши святкове ігристе та приготувавшись нарізати пиріг, ми замислились: чи багато зелений замок біля адресного рядка говорить користувачу?

Як працює захищене з'єднання, кому необхідний SSL-сертифікат, і для чого GigaCloud використовує протокол https - розбираємо в цьому матеріалі.

У чому ССіЛь?

SSL-сертифікат – криптографічний протоколол, за допомогою якого дані клієнта до сервера передаються в зашифрованому вигляді.

Зашифроване – означає захищене. Навіть якщо кіберзлочинець отримає інформацію, використати її він не зможе. Ключі до шифру є тільки у клієнта й сервера. Максимум, на який може розраховувати хакер, – це роздрукувати закодоване повідомлення і почепити на стіну на знак власної «перемоги».

Ресурс, у якого є SSL-сертифікат, працює на https-протоколі й забезпечує захищене з'єднання клієнта з сервером.

http, https, SSL та інші абревіатури

На шляху до веб-сайту клієнтський запит долає проміжні етапи:

• DNS сервер;
• кілька маршрутизаторів, кожен з яких перевіряє пункт призначення і перенаправляє запит найкоротшим шляхом;
• сервер, що займається розпакуванням і визначенням додатка, який обробить запит.

Стандартно дані передаються за допомогою http, без шифрування клієнтського запиту і відповіді сервера. Пакети, що прямують на сервер, який використовує протокол http, знаходяться під безпосередньою загрозою перехоплення – вони беззахисні перед атакою на ядро мережі чи маршрутизатор, атакою сніффера чи man-in-the-middle.

https корисний вмінням шифрувати інформацію. Для опису відмінностей між двома протоколами передачі даних, уявімо, що https – це листковий торт. Перший шар –протокол, який використовує програма-клієнт (це може бути і http). Наступний пласт – SSL, який шифрує дані і передає їх на останній, транспортний, рівень. Формування й передачу на сервер забезпечує транспортний протокол ТСР.

Тобто протокол SSL допомагає серверу встановити захищену передачу даних на незахищеному каналі.

SSL-сертифікат поширюється на всі субдомени gigacloud.ua – в тому числі й на Клієнтський портал my.gigacloud.ua (бачите зірочку перед доменом в сертифікаті, яка підтверджує наші слова?) Отже, всі паролі, особисті дані та панель управління хмарою повністю захищені від посягань третіх осіб.

Як це працює?

Схему роботи https вдало описує метафора, досить популярна серед хмарних операторів.

1. Уявіть, що ви поклали в посилку ключ від зашифрованого послання і надіслали його спільнику. Щоб захистити вміст коробки від крадіїв, ви закриваєте її на амбарний замок.
2. Отримувач теж не може відкрити замок, але він, згідно з попередньою домовленістю, вішає на коробку ще один замок та надсилає її назад.
3. Забравши відправлення на пошті, ви знімаєте власний замок і знову відправляєте поплічнику цінний вантаж – але вже тільки з одним, його замком.
4. Оскільки у спільника є ключ від свого замка, він може відкрити коробку і зайнятись шифром.
5. Далі ви зможете обмінюватися повідомленнями, минаючи всі вищезгадані махінації, – за допомогою шифру, який переслали в коробці.

Цінність SSL-сертифіката в тому, що він не тільки шифрує пакети даних, але й підтверджує реальність пред'явника сертифікату.

Достовірність сертифіката гарантує центр, який надав його власнику сервера. У сертифікаті вказана назва компанії і електронний підпис, яку й перевіряє браузер при підключенні до сайту. Щоб придбати сертифікат для сайту, ми звернулися в компанію GeoTrust.

Коли це необхідно?

Протокол SSL забезпечує шифрування конфіденційної інформації. Як пари логін-пароль, так і номерів кредитних карт, пін-коду й так далі. Придбати SSL-сертифікат очевидно необхідно сайтам, де проходять фінансові транзакції, але прагнення зберегти конфіденційність своїх клієнтів й підтримувати інформаційну безпеку складає пошану будь-якому сервісу.

Нам здається, SSL точно необхідний там, де здійснюється:

• пряма взаємодія з клієнтом (починаючи простою реєстрацією і закінчуючи оплатою рахунків);
• передача конфіденційних даних;
• обмін повідомленнями між віддаленими співробітниками.

У сучасних реаліях наявність SSL-сертифікату на сайті – не приємний бонус, а очевидна перевага – особливо для тих компаній, які цінують довіру клієнта.

Ваша безпека, гарний настрій, задоволення і користь від використання наших послуг пріоритетні для GigaCloud. Тому ми першими з хмарних операторів України домоглися висококласного захисту свого сайту - а, значить, і наших клієнтів.

Тож хіба це не привід скуштувати пиріг?