Разбираясь, как работает https, нужно начать с того, что такое http. Большинство адресов в интернете еще недавно начинались именно с http. Это – протокол связи, который позволяет вашему браузеру обмениваться информацией с сервером, на котором хостится сайт. По сути весь интернет работает именно благодаря http. Обмен информацией позволяет посещать сайты, делать покупки и так далее.

Но по умолчанию все взаимодействия в сети открытые. То есть когда ваш компьютер отправляет пакеты данных или получает с сервера по протоколу http, между ними может вклиниться кто-то третий. Тогда он способен похитить информацию, в том числе такую ценную, как данные кредитных карт, адреса, телефоны и так далее. Когда с развитием интернета развилось и сетевое мошенничество, появился способ защиты – протокол HTTPS для обмена зашифрованными сообщениями.

Как это работает

Чтобы переписку не прочитали посторонние, издавна было принято ее зашифровывать. Разрабатывался шифр и ключ к шифру, который позволял быстро читать сообщения и создавал существенные трудности посторонним, желавшим ознакомиться с чужими сообщениями. Принцип работы HTTPS-протокола – это примерно как переписка, только не между людьми, а между сайтом и вашим браузером.

Вот как работает https протокол. Прежде чем начать обмен данными, происходит так называемое рукопожатие. Сервер высылает браузеру копию SSL-сертификата, а браузер проверяет его. Далее обмен сообщением идет в зашифрованном виде. Для этого есть открытый ключ, который находится в свободном доступе, и закрытый, который хранится на сервере. Они используются, чтобы зашифровывать и расшифровывать данные. В некоторых случаях открытый и закрытый ключ используют только в начале, а далее создается сеансовый ключ на одну сессию “общения” сервера с браузером, который уничтожается, как только вы оставляете сайт. Это позволяет сделать сессию безопасной: никто не может получить доступ к данным, которые идут с сайта браузеру и наоборот. “Рукопожатие” длится секунды, пользователь не замечает его. Все, что он видит – замочек в адресной строке и то, что адрес сайта начинается с https.

SSL-сертификат

Здесь уже примерно понятно, для чего нужен SSL-сертификат для сайта: это – своеобразный интернет-паспорт. Он гарантирует, что пользователь взаимодействует именно с теми, кому принадлежит домен, а не с третьими лицами. Некоторые, более дорогие сертификаты, позволяют еще и установить, кто именно распоряжается сайтом, и узнать информацию об этой компании.

Как работает SSL-сертификат? Он представляет собой набор файлов, лежащих на сервере. Это – приватный и секретный ключи, с помощью которых происходит все дальнейшее. Есть там и часть, отвечающая за аутентификацию, то есть подтверждение, что сайт ваш, и вы действительно владеете доменом. Когда браузер получает копию сертификата, соединение расценивается как надежное, и тогда обмен зашифрованными данными между ним и сервером может продолжаться.

SSL-сертификат вполне реально выписать самому себе, но это работает только в узком кругу доверия, где все знают вас – например, в рамках одного проекта. Для доверия в сети лучше, чтобы его выдал кто-то третий, имеющий вес. В мире такую роль играют сертификационные центры. Их услуги платные.

Для того, чтобы перевести сайт на протокол HTTPS, сначала нужно купить SSL-сертификат. Приобрести сертификат крупного центра можно и прямо у своего хостинг-провайдера, который получает сертификаты оптом. Когда вы запрашиваете выписку сертификата, происходит проверка. Она очень простая в случае, если получаете DV (Domain Validation) сертификат, и чуть сложнее, если речь идет об OV\EV. При проверке владения доменом достаточно выполнить несколько простых действий с сайтом. Во втором случае проверяется компания, которой принадлежит сайт. Она должна существовать и предоставить соответствующие документы,в офис делают проверочный звонок.

Сертификат обычно защищает один домен, но бывают и такие, которые можно приобрести один раз для всех своих доменов или субдоменов.

На случай, если что-то пойдет не так, сертификаты застрахованы сервисным центром, и суммы покрытия могут достигать миллиона долларов. В мире есть несколько крупных сертификационных центров, причем, например, у Comodo сертификаты обычно более бюджетные, а GeoTrust выпускает более дорогие.

Наличие сертификата – это вопрос безопасности. Однако у него есть и имиджевая сторона. Дорогой сертификат с серьезной проверкой владельца обычно дает право на печать доверия, размещенную на страницах сайта, и зеленую адресную строку со значком в виде замка. Это показывает, что сайт прошел расширенную проверку, и пользователи серьезно застрахованы.