Сколько нужно времени, чтобы получить А+ уровень SSL защиты для нового сайта? Практика показала: 7 дней или даже меньше.

В среду 12 апреля мы представили обновленную версию нашего сайта. Уже к следующему вторнику ssllabs.com (cервис от компании Qualys) оценил защищенность ресурса на А+.

Итого, нам понадобилось меньше недели, чтобы правильно настроить сервер и завоевать доверие Qualys.

Сегодня GigaCloud – единственный облачный оператор в Украине, чей SSL-сертификат оценен на А+. На мировом рынке облачных технологий такую оценку получают только топовые операторы – как Microsoft и Amazon.

Мы много работали над достижением этого уровня. Для максимальной сохранности данных на сайте важен не только качественный сертификат SSL – очень многое зависит от детальной настройки программного обеспечения внутри сервера (в частности, веб-сервера).

Но, открыв праздничное игристое и приготовившись нарезать пирог, мы задумались: а о многом ли зеленый замок у адресной строки говорит пользователю?

Как работает защищенное соединение, кому необходим SSL-сертификат, и зачем GigaCloud использует протокол https – разбираем в этом материале.

В чем ССоЛь?

SSL-сертификат – криптографический протокол, по которому данные передаются от клиента к серверу в зашифрованном виде.

Зашифровано – значит защищено. Даже если киберпреступник получит информацию, использовать ее он не сможет. Ключи к шифру есть только у клиента и сервера. Максимум, на который может рассчитывать хакер – это распечатать закодированное сообщение и повесить на стену в знак великой победы.

Ресурс, у которого есть SSL-сертификат, работает на протоколе https, обеспечивая защищенное соединение клиента с сервером.

http, https, SSL и другие аббревиатуры

На пути к веб-сайту клиентский запрос преодолевает промежуточные этапы:

• DNS сервер;
• несколько маршрутизаторов, каждый из которых проверяет пункт назначения и перенаправляет запрос кратчайшим путем;
• сервер, занимающийся распаковкой и определением приложения, которое обработает запрос.

Стандартно данные передаются по протоколу http, без шифровки клиентского запроса и ответа сервера. Пакеты, которые уходят на сервер, использующий http, находятся под непосредственной угрозой перехвата – они беззащитны перед атакой на ядро сети или маршрутизатор, атакой снифферской или man-in-the-middle.

Протокол https полезен тем, что умеет шифровать информацию. Для описания различий между двумя протоколами передачи данных, представим, что https – это слоеный торт. Первый слой – протокол, который использует программа-клиент (им может быть и http). Следующий пласт – SSL, который шифрует данные и передает их на последний, транспортный, уровень. Формирование и передача пакетов на сервер происходит по транспортному протоколу ТСР.

То есть, SSL-протокол помогает серверу установить защищенную передачу данных на незащищенном канале.

SSL-сертификат распространяется на все субдомены gigacloud.ua – в том числе и на Клиентский портал my.gigacloud.ua (видите звездочку перед доменом в сертификате, подтверждающую наши слова?) Это значит, что все пароли, личные данные и панель управления облаком полностью защищены от посягательств третьих лиц.

Как это работает?

Схему работы протокола https ёмко описывает метафора, довольно популярная среди облачных операторов.

1. Представьте, что вы положили в посылку ключ от зашифрованного послания и отправили его сообщнику. Чтобы коробку не вскрыли, вы закрываете ее на амбарный замок.
2. Получатель тоже не может открыть замок, но он поступает согласно предварительной договоренности, вешая на коробку еще один замок и отправляя ее обратно.
3. Забрав посылку на почте, вы снимаете собственный замок и снова отправляете сообщнику ценный груз, но уже только с одним, его замком.
4. Поскольку у сообщника есть ключ от своего замка, он может открыть коробку и изучить содержимое.
5. Далее вы сможете обмениваться сообщениями, минуя все эти махинации, – при помощи шифра, который переслали в коробке.

Ценность SSL-сертификата в том, что он не только шифрует пакеты данных, но и подтверждает реальность предъявителя сертификата.

Подлинность сертификата гарантирует центр, предоставивший его владельцу сервера. В сертификате указано название компании и электронная подпись, которую и проверяет браузер при подключении к сайту. Чтобы приобрести сертификат для сайта, мы обратились в компанию GeoTrust.

Когда это необходимо?

Протокол SSL обеспечивает шифрование конфиденциальной информации. Как пары логин-пароль, так и номеров кредитных карт, пин-кода и так далее. Покупка SSL-сертификата очевидно нужна сайтам, на которых проводятся финансовые транзакции – но стремление сохранить конфиденциальность своих клиентов и соблюдать информационную безопасность делает честь любому сервису.

Нам кажется, SSL строго необходим там, где существует:

• прямое взаимодействие с клиентом (начиная простой регистрацией и заканчивая оплатой счетов);
• передача конфиденциальных данных;
• обмен сообщениями между удаленными сотрудниками.

В современных реалиях наличие SSL-сертификата на сайте – не приятный бонус, а очевидное преимущество – особенно для тех компаний, которые дорожат доверием клиента.

Ваша безопасность, хорошее настроение, удовольствие и польза от использования наших услуг в приоритете для GigaCloud. Поэтому мы первыми из облачных операторов Украины добились высококлассной защиты своего сайта – а, значит, и наших клиентов.

Так разве это не повод разрезать торт?