Аналитика и комментарии. Взгляд из США (judeomasson) wrote,
Аналитика и комментарии. Взгляд из США
judeomasson

Category:

Пару слов об SSL сертификатах

В этой статье я хочу прокомментировать ещё один пост Игоря Питерского по заголовком "Лязг и скрежет". Однако комментирую я не в рубрике "Секта пророка Трампа", так как речь тут пойдёт не о Трампе, не о политике, не об экономике, и даже не по теме поста. Более того, прокомментировать в данном случае я хочу не содержание поста, а некоторые комментарии к нему.

В этом посте Петровский не публикует свой свой собственный текст, а ссылается на статью на другом сайте. Петровский часто так делает, но в данном случае большинство комментариев там посвящено не содержанию статьи, а самому сайту, на котором опубликована статья. В первом же комментарии было отмечено что у сайта просрочен SSL сертификат. Именно этой теме посвящена большая часть комментариев, а я как специалист в этом деле, не могу не вставит свои 5 копеек.

Наверное все знают что такое SSL сертификат. Для тех кто не знает, очень упрощённо объясняю.

Информация, передаваемая с сервера в браузер и обратно, может шифроваться. Но для того чтобы зашифровать и расшифровать информацию нужен ключ. Для обмена ключами существует метод под названием "асимметричная схема шифрования". Почему асимметричная? Потому что для этой схемы необходимо два ключа - открытый (public) и закрытый (private). Открытый ключ может быть известен всем, но с его помощью информацию можно только зашифровать. Расшифровать её с помощью того же ключа невозможно, но для этого существует закрытый ключ. Схема эта работает медленнее чем симметричная, когда с помощью одного и того же ключа можно зашифровать и расшифровать информацию, поэтому используется только для обмена ключами между сервером и браузером. Происходит это следующим образом.

Когда сервер устанавливает контакт с браузером, он посылает туда открытый ключ, а закрытый хранится на сервере. Браузер генерирует ключ для симметричного шифрования, с помощью шифрует этот ключ с помощью открытого ключа, и передаёт на сервер. После этого устанавливается зашифрованная связь. Вся эта процедура называется "handshake" (рукопожатие).

Однако существует проблема. Теоретически информацию между браузером и сервером можно перехватить. Например существует тип атаки под названием "Man-in-the-Middle (MitM)". Это когда кто-то перехватывает сообщения, и при желании может их подменить. Чтобы этого не произошло, используются так называемые SSL сертификаты. Это как бы цифровая подпись, которая подтверждает что вы владелец сайта.

Обычно эти сертификаты выпускают специальные компании, которые называются "Certificate authority", но бывают так называемые "самоподписанные сертификаты" (Self-signed certificate), однако к ним меньше доверия.

В сертификатах есть служебная информация, например дата, после которой сертификат перестаёт действовать, так как он не выдаётся навечно. Это и произошло с сайтом, статью из которого цитирует Игорь. При этом в одном из комментариев, который написал mechnik, делается вывод что у владельцев сайта недостаточно денег, поэтому они вовремя не продлили сертификат.

Возможно mechnik прав, в том смысле что у владельцев сайта нет денег, но не потому что им не хватает денег на сам сертификат, а скорее всего у них не хватает денег чтобы нанять грамотного специалиста. Дело в том уже давно существуют бесплатные сертификаты.

Я не буду подробно останавливаться на том в чём заключаются отличия платных сертификатов от бесплатных. Эти отличия вкратце перечислены на этой картинке:

разница между платным и бесплатным сертификатом

Тот кто хочет узнать подробнее, может прочитать на английском языке здесь. Я же хочу сказать что сайт, на который ссылается Игорь, использует бесплатный сертификат под названием "Let’s Encrypt". Узнать информацию о сертификате, которую использует сайт, очень просто. Например здесь можно прочитать инструкцию про то как это сделать в браузере Chrome. Вот ссылка на один из скриншотов оттуда. Со слов "view certificate", синего цвета, там идёт ссылка на маленькое окошко, в котором есть вся информация о сертификате для данного сайта. Я посмотрел информацию о сайте, на который ссылается Игорь, и сделал скриншот:

скриншот сертификата

Как видите действие сертификата истекло ещё 27 сентября 2018 года. Я ещё раз повторяю что этот сертификат бесплатный, а продлить его можно за 5 минут. Надо только знать где и как. Но это ещё не всё.

Если сертификат не действительный, то браузер выдаёт ошибку, однако angry_elf продемонстрировал как это можно исправить. Дело в том что сайт с сертификатом и без него можно отличить по URL. URL сайта с сертификатом начинается так - "https:". Я выделил букву "s", так как именно эта буква отличает сайт с сертификатом, от сайта без него. Поэтому достаточно из URL убрать букву s для того чтобы сайт работал по обычному, незащищённому, протоколу. Именно это и сделал angry_elf. Но опять таки, это только в том случае, если сайт обслуживают безграмотные люди.

angry_elf абсолютно справедливо заметил что в большинстве случаев делают автоматическую переадресовку на защищённый протокол. Сделать это тоже очень просто, причём существует много способов. Делать это очень важно, так как использовать защищённый протокол строго рекомендует google, а это в свою очередь важно потому что это влияет на рейтинг в результатах поиска.

Короче говоря, всё вышеперечисленное говорит о том что, либо владельцы сайта идиоты, либо у них нет денег, либо и то и другое.

Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 10 comments