SSL реально взломать?
В данном материале мы подробно рассмотрим, что такое SSL, неправильные представления о сертификатах, а также поговорим о других аспектах безопасности сайтов, нюансах, способных ослабить защиту веб-ресурса. Подробно расскажем, на что именно необходимо обратить внимание при посещении сайта, особенно, если вы собираетесь вводить личные данные. Итак, поехали!
SSL-сертификат: что он делает и не делает для сайта
Основная задача SSL-сертификата (Secure Sockets Layer) – шифровать данные. То есть, установив сертификат на своем веб-сайте, вы гарантируете, что информация, передаваемая между клиентом пользователя и сервером, полностью защищена от атак третьих лиц. Это базовая функция SSL-шифрования, призванная сделать процесс передачи информация максимально безопасным. Проще говоря, SSL-сертификат исключает риск хищения данных в момент передачи.
А теперь о том, чего не делает SSL-сертификат – он НЕ защищает вас от мошенников на «другом конце». То есть если ресурс мошеннический и у него есть сертификат, ваши данные попадут к мошенникам, да по пути их никто не похитит, но вряд ли вы от этого испытаете хоть какое-то облегчение.
Наличие сертификата не защитит веб-ресурс от других возможных угроз, например таких, как проблемы с кодировкой, устаревшее ПО, неполадки в базе данных сайта. Сертификат никак не влияет на безопасность данных на сервере, точно также SSL-сертификат абсолютно не защищает браузер пользователя. Наличие сертификата – лишь часть ваших действий по защите собственного сайта и его пользователей.
Однако владельцу проще всего обвинить именно сертификат в различных проблемах безопасности собственного ресурса. Более, чем в 98% случаев сбои и проблемы в работе ресурса никак не связаны с сертификатом, хотя владельцы ресурса уверены в обратном. Стоит понять, что SSL-шифрование является лишь одним из аспектов защиты ресурса.
Защищаем «бэкэнд» веб-ресурса
Наличие SSL-сертификата не станет гарантией безопасности ресурса, особенно если есть проблемы с другими аспектами – например актуальностью ПО или безопасностью сервера. Для полноценного решения вопроса защиты сайта необходима помощь профессионального системного администратора, который сможет:
- провести аудит ресурса и DNS;
- настроить защиту БД;
- настроить защиту сервера.
Если сайт работает на WordPress или используется другая CMS, можно попробовать самостоятельно обезопасить свой ресурс, сделав несколько несложных шагов:
- проверить актуальность всех используемых плагинов;
- поддерживать актуальность CMS;
- обучать и совершенствовать навыки персонала в сфере защиты данных;
- тренинги в сфере новых угроз, например по работе с атаками социальных инженеров.
Означает ли это, что все угрозы безопасности кроются именно в бэкенде сайта? К сожалению, это не так и SSL-сертификат может стать «ахиллесовой пятой» веб-сайта.
SSL-сертификат и его уязвимость
В большинстве случаев, уязвимость SSL кроется в неправильной настройке или плохой защите бэкенда сайта. Большинство угроз, включая POODLE или Heartbleed вызваны устаревшим ПО, нюансами в протоколе TLS (он используется для SSL-шифрования). Протоколы регулярно обновляются, на данный момент актуальной является версия 1.3, однако если у вас устаревшая версия TLS, возникает реальный риск успешных кибер-атак на ресурс.
Есть ли принципиальная разница между версиями и чем обновленный вариант протокола лучше? Основное отличие между версиями 1.2 и 1.3 – сокращение времени «рукопожатия SSL», да это всего несколько «миллисекунд», однако эти мгновения критичны. Также в новой версии прекращена поддержка устаревших алгоритмов криптографии. Эти алгоритмы на данный момент являются уязвимыми.
Еще один важный нюанс – дата окончания срока сертификата. Если срок SSL-сертификата истек, и вы своевременно его не обновили, пользователи будут сталкиваться со всплывающей в браузере ошибкой при попытке открыть страницу вашего сайта. Проще всего заранее в календаре установит напоминание за несколько дней до окончания срока сертификата, чтобы своевременно его обновить. Также многие центры сертификации самостоятельно присылают на почту уведомление об истекающем сроке сертификата, поэтому достаточно просто следить за почтовым ящиком.
Наличие SSL-сертификата не гарантирует безопасность сайта
Владельцы веб-ресурсов теперь знают, как обезопасить свой сайт. Однако у нас еще несколько советов для обыкновенных пользователей. Помните, наличие у ресурса SSL-сертификата не гарантирует его безопасность и точно не означает, что ресурсу можно доверять, особенно если вы собираетесь вводить личные данные на странице. Сертификат лишь гарантирует, что ваши данные не похитят третьи лица.
Популярность SSL-сертификатов привела к появлению массы центров, выдающих такие сертификаты очень дешево и даже бесплатно. Как следствие, множество мошеннических сайтов уже имеют сертификат, при этом владельцы не прошли никакой проверки.
Чтобы убедиться в безопасности ресурса, нажмите на замок в поисковой строке, чтобы получить дополнительную информацию о владельце ресурса. Если во всплывшем окне отобразилось название компании или имя владельца ресурса – сайту можно доверять, если только доменное имя – никаких гарантий безопасности. Также всегда проверяйте правильность написания доменного имени и расположение сайта в выдаче поисковой системы. Как правило, надежные сайты располагаются в ТОПе по своим ключевым словам, и точно выше дубликатов и копий.
Обращайте внимание на тип сертификата, мошеннические ресурсы и фишинговые страницы вряд ли приобретают сертификаты типа OV или EV, где обязательна проверка владельца. Поэтому у мошеннического сайта может быть только сертификат DV, так как они не требуют тщательной проверки владельца.
Принцип прост – чем больше информации можно получить от SSL-сертификата, тем безопаснее ресурс, проверяйте это обязательно, особенно если собираетесь вводить на сайте личные данные.
Мошеннические атаки становятся все изощреннее, а фишинговые сайты – профессиональнее и качественнее. Например, если вам придет на почту электронное письмо от eBay с просьбой перейти по ссылке и ввести какие-то свои данные, доверять письму безоговорочно не стоит, даже если в поисковой строке есть замочек, обозначающий наличие у страницы SSL-сертификата. Мошенники знают, что такому символу пользователи доверяют все больше, а поэтому многие уже позаботились о наличии сертификата.
Ни в коем случае не вводите личные данные на страницах, адреса которых были получены электронным письмом. Заходите на оригинальный сайт, якобы запрашивающий данные, из поисковика и только там передавайте личную информацию. Также проявите осторожность, совершая покупки на сайтах без SSL-сертификата OV или EV
Итог: защищаем свой ресурс в сети
У вашего ресурса есть действующий SSL-сертификат, оборудование и ПО обновлено до последней версии – в этом случае риск взлома сертификата равен практически 0. Однако, как мы уже отмечали ранее, SSL-сертификат является лишь одним из уровней защиты ресурса. Чтобы обезопасить свой сайт максимально (насколько это вообще возможно в сети), следуйте нескольким рекомендациям:
- Проведите аудит ресурса на уязвимости, для этого можно использовать специальные сканеры, например, Qualys SSL Server Test или Acunetix;
- Займитесь защитой бэкэнда ресурса;
- Откажитесь от использования устаревших версий протокола TLS;
- Обязательно воспользуйтесь услугами опытного системного администратора;
- Своевременно обновляйте SSL-сертификаты;
Совет для пользователей!: Всегда тщательно проверяйте всю информацию SSL-сертификата прежде, чем вводить личные данные.