SSL-сертификат: залог доверия пользователей к вашему сайту

Педько Олег, Руководитель отдела

развития продуктов доверия

03.04.2014

2

Доверие в эпоху Интернета

Немного фактов

o Ежегодный ущерб от мошенничества с пластиковыми картами в сети Интернет – более 2 млрд. долларов (по данным Федеральной торговой палаты США)

o Более 100 тыс. пользователей подвергаются фишинговым атакам ежедневно, российские пользователи – в лидерах по числу направленных на них атак*

o Россия в лидерах по числу фишинговых сайтов*

o Крадут не только деньги, но и данные о пользователях– например, адреса электронной почты (для последующей рассылки спама)

*данные «Лаборатории Касперского» за 2012-2013 гг.

Конфиденциальная информация, требующая защиты:

o Сведения о клиентах (адреса, телефоны и т.д.)

o Данные для совершения онлайн-платежей (например, номера кредитных карт)

3

Что дает доверие?

• Лояльность и внимание пользователей

• Увеличение продаж

• Укрепление рейтинга в поисковых системах

4

Как обеспечить доверие?

Подлинность сайта

Целостность информации

Конфиденциальность информации

5

Что такое SSL?

SSL (англ. Secure Sockets Layer) — криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером. Протокол обеспечивает конфиденциальность обмена данными между клиентом и сервером. Для шифрования используется алгоритм с закрытым и открытым ключом. При шифровании используется два ключа, причем любой из них может использоваться для шифрования сообщения. Тем самым, если мы используем один ключ для шифрования, то соответственно для расшифровки нужно использовать другой ключ. В такой ситуации мы можем получать защищенные сообщения, публикуя открытый ключ, и храня в тайне закрытый ключ.

6

Что такое SSL-сертификат?

Небольшой файл, который выполняет две основные функции:

o Подтверждение домена и владельца сертификата

o Шифрование cоединения

7

Доверяй, но проверяй

Сертификат УЦ Сертификат сайта

Сайт компании, защищённый SSL-сертификатом, внушает клиенту больше доверия, и ваш бизнес выглядит более надёжным и законным.

8

SSL = уверенность пользователей

o Действительно ли сайт принадлежит этой компании?

o К той ли компании я обратился (не подставной ли сайт)?

o Добропорядочна ли эта компания?

HTTPS://

9

Где используются SSL-сертификаты?

o Банковские приложения

o Страницы авторизации

o Интернет-ресурсы, работающие с конфиденциальной информацией пользователей

o Передача платного контента

o VPN-доступ

o Веб-доступ к электронной почте

o Доступ к корпоративным порталам

o Разработка ПО

o Обмен коммерческой информацией в Интернете

10

Виды SSL-сертификатов

DV OV EV Domain

validation Organisation

validation Extended validation

o Удостоверяет только домен

o Шифрование соединения

o Выпускается в течение 1 дня

o Удостоверяет домен и организацию, которой он принадлежит

o Данные о компании отображаются в сертификате

o Голубая строка браузера и иконка замка

o Выпускается в течение 3-5 дней

o Расширенная проверка данных для выпуска сертификата (устав, свидетельство о регистрации в налоговом органе и пр.)

o Зеленая строка браузера

o Выпускается в течение 7-14 дней

WILDCARD

o Неограниченное количество защищаемых доменов

o Выпускается в течение 7-10 дней

SAN Мультидоменный

сертификат

o Сертификат защищает от 1 до 25 доменов

o Принадлежность каждого домена организации, запрашивающей сертификат, проверяется отдельно

o Выпускается в течение 7-10 дней

11

Виды SSL-сертификатов

CODE SIGNING o Удостоверяет частное лицо или организацию, которой он

принадлежит

o Удостоверяет программный код, подписанный сертификатом

o Данные о компании или частном лице отображаются в сертификате

o Выпускается в течении 15 дней

12

Как это выглядит (1)?

DV

12

Как это выглядит (2)?

OV, SAN, WILDCARD

13

Как это выглядит (3)?

EV

14

Как это выглядит (4)?

CODE SIGNING

15

SSL-сертификаты в RU-CENTER*

*сертификаты отличаются набором дополнительных опций

16

Получение SSL-сертификата

Перед оформлением заказа необходимо

o Сгенерировать CSR (запрос на получение сертификата)

o Проверить наличие или создать при необходимости электронный адрес (например, admin@test.ru) для подтверждения заказа по требованиям Удостоверяющего центра

o Подготовить свидетельство о регистрации юридического лица

17

Причины невыполнения заказа

o На личном счет клиента недостаточно средств для оплаты заказа

o При заказе OV и EV сертификатов не предоставлена копия документа подтверждающего существование юридического лица

18

Что проверяет УЦ 1. Принадлежность доменного имени

2. Данные о регистрации юр. лица

3. Данные о налоговой регистрации юр. лица

4. Адрес и телефон компании

5. Наличие контактного лица

19

Полезные советы Правильно регистрируйте доменное имя

В поле «Администратор» указывайте полное название компании с ЗАО и т.д.

Указывайте полное имя компании

Не используйте аббревиатуры или сокращения

Указывайте корректный адрес и телефон

Не указывайте абонентский ящик

Убедитесь, что контактное лицо знает о заказе сертификата

Не указывайте в качестве контактного лица сотрудника, который не имеет права представлять компанию

Ожидайте проверочного звонка

Предупредите HR о возможном звонке с целью проверки занятости контактного лица

20

Спасибо за внимание!

Вопросы?

e-mail: ssl@nic.ru Web: http://www.nic.ru