Что такое SSL и как он работает c VPN

Anton Poshev | обновлено 07.05.23

Для чего нужен сертификат SSL и как защитить сеть при помощи SSL-шифрования через ВПН.

#1

VPN #1 по рейтингу пользователей октябрь 2023
развернуть

Для безопасной передачи ваших данных: паролей, писем, личной информации, банковских карт в браузерах и приложениях обычно используется протокол SSL. При этом данный протокол используется некоторыми VPN-сервисами как альтернатива IPSec. Например, премиальный сервис ExpressVPN работает на основе SSL-шифрования, из-за чего его можно применять даже в тех местах, где другие VPN фильтруются провайдером, таких как Китай или Туркменистан.

Что такое SSL и для чего он нужен

SSL (Secure Sockets Layer) – технология шифрующая подключение вашего браузера к web-серверу. По умолчанию SSL-сертификаты установлены на всех современных браузерах и на большинстве сайтов, к которым вы подключаетесь (узнайте также о лучших VPN для браузера на нашем сайте). SSL шифрует HTTP-трафик и передаёт его на порт 443, создавая тем самым HTTPS-подключение (добавленная буква «S» в конце, означает «Secure», её то мы и видим в начале аббревиатуры SSL). Этот зашифрованный сигнал невозможно прочесть или изменить. Даже если злоумышленники перехватят данные – они просто не смогут их расшифровать, а при любых изменениях ваш браузер перестанет их принимать – сообщит об ошибке или попытке взлома. Таким образом, ваши пароли, учётные записи, переписки, данные банковских карт – остаются в безопасности даже тогда, когда вы просто используете браузер. Единственный недостаток: «человек посередине» всё же может узнать, откуда и куда направлен ваш сигнал, и даже сымитировать файлы Cookie на своём устройстве для взлома учётной записи. Чтобы этого избежать, рекомендуем использовать лучшие VPN. С понятием SSL иногда возникает путаница: когда говорят об этом протоколе, на самом деле имеют в виду его модернизированную версию – TLS (Transport Layer Security), так как оригинальная технология давно устарела и содержит ряд уязвимостей.

Как конкретно работает SSL-сертификат

Приложения и браузеры, использующие SSL-шифрование работают по следующему принципу:

• ресурс, к которому вы подключаетесь, имеет два ключа: открытый и закрытый. Под ключами в данном случае подразумеваются сложные математические формулы, в которые подставляются ваши данные для шифровки и расшифровки;
• открытый ключ известен всей сети – его ваш браузер использует, чтобы закодировать пересылаемую информацию;
• после этого информацию никто не сможет расшифровать без закрытого ключа, даже вы сами;
• закрытый же ключ известен только самому сайту – этот ключ используется для расшифровки сообщения.

Тот же алгоритм работает и в обратную сторону: ваш браузер тоже имеет свои открытый и закрытый ключи. Таким образом, осуществляется защищённый обмен данными.

Проблема в том, что открытый ключ можно перехватить и подделать «посередине». В результате чего ваш браузер получит фальшивый открытый ключ и зашифрует информацию, так как этого хочет злоумышленник. После чего «человек посередине» перехватит и раскодирует сообщение своим закрытым ключом, получит нужные ему данные, закодирует их обратно уже правильным открытым ключом и перешлёт дальше.

Чтобы этого избежать, ваш браузер запрашивает у сайта копию SSL-сертификата заверенного одним из центров сертификации. Проверяет его в соответствии со стандартами центра и если сертификат подлинный – устанавливает зашифрованную связь описанную выше. При этом рядом с адресной строкой появится изображение замка, означающее, что подключение защищено.

В качестве примера этот принцип можно перенести на реальный мир. Открытый ключ представим как замок, а закрытый – как ключ от этого замка. Сначала к вам по почте отправляется замок, и вы используете его, чтобы закрыть им посылку с тайным посланием. Те, у кого нет ключа – даже вы сами, теперь не смогут открыть эту посылку. Вам остаётся только отправить её адресату. Адресат получает посылку и открывает её своим ключом от замка.

Чтобы в самом начале замок не перехватили и не подменили злоумышленники, его нужно сертифицировать в соответствующей доверенной организации, которая поможет проверить его подлинность. Эта организация и будет центром сертификации, а SSL-сертификат – уникальной подписью для замка, которая выдаётся этой организацией.

Как SSL используется в VPN

Зачастую известные бренды в своих алгоритмах, так или иначе, используют составные части SSL. Протокол позволяет уменьшить количество сложных операций в программном коде и ускорить передачу сигнала. Он даже может замаскировать ВПН-сигнал за счёт подключения к стандартному порту HTTPS. Это позволяет настроить соединение даже в странах, ограничивающих VPN-протоколы, таких как Китай и Туркменистан:

• Лучшие VPN для Китая
• Лучшие VPN для Туркменистана

Протокол SSL обычно используется на прикладном уровне и хорошо подходит для туннелирования отдельных приложений. Его применяют для организации лучших корпоративных VPN и бизнес сетей, защиты рабочих мест и удалённой работы/учёбы. Эта технология вполне успешно используется в домашних и мобильных VPN.

Различные вариации SSL можно использовать для защиты веб-приложений умного дома, встроенных и облачных сред, операционных систем реального времени, онлайн-банков, медиаплееров, лаунчеров и браузеров.

Что такое SSL?

Secure Sockets Layer (SSL) был самым популярным криптографическим протоколом для интернет-коммуникаций, пока в 1999 году на смену ему не пришел TLS (Transport Layer Security). Несмотря на устаревание протокола SSL и переход на TLS, большинство по-прежнему называют эту технологию «SSL».

SSL обеспечивает безопасный канал связи между двумя машинами или устройствами, работающими через интернет или внутреннюю сеть. Одним из распространенных примеров является использование SSL для безопасной связи между веб-браузером и веб-сервером. Это превращает адрес веб-сайта из HTTP в HTTPS, а буква «S»означает «безопасный» (secure).

HTTP небезопасен и подвержен подслушиванию, поскольку данные, передаваемые из браузера на сервер или между другими конечными точками, передаются в открытом виде. Это означает, что злоумышленники могут перехватывать и просматривать конфиденциальные данные, такие как номер и CVC банковской карты или пароли от аккаунтов. Когда данные отправляются через браузер с использованием HTTPS, то SSL гарантирует, что такая информация зашифрована и защищена от перехвата.

Как понять, что сайт защищен с помощью SSL?

Технически, SSL — это прозрачный протокол, который практически не требует взаимодействия с конечным пользователем при установлении защищенного сеанса. В случае браузера вы можете определить, что сайт использует SSL, когда отображается значок замка, и вы нажимаете на него, чтобы открыть информацию о цифровом сертификате.

Вот пример сайта, защищенного с помощью SSL в Chrome 81, по сравнению с небезопасным сайтом.

Зачем мне нужен SSL?

Поскольку так много наших повседневных транзакций и коммуникаций происходит в интернете, трудно обосновать отказ от использования SSL. Протокол поддерживает следующие принципы информационной безопасности:

• Шифрование: защита передачи данных (например, с браузера на сервер, между серверами, с приложения на сервер и т. д.)
• Аутентификация: гарантия, что сервер, к которому вы подключены, на самом деле правильный сервер
• Целостность данных: гарантия, что запрашиваемые или отправляемые данные были переданы в неприкосновенности.

SSL используется для обеспечения безопасности:

• Онлайн-транзакции по кредитным картам или другие онлайн-платежи.
• Трафик в интранете: локальные сети, обмен файлами, экстранеты и подключения к базам данных.
• Почтовые серверы, такие как Outlook Web Access, Exchange и Office Communications Server.
• Соединение между почтовым клиентом, например, Microsoft Outlook, и почтовым сервером, например, Microsoft Exchange.
• Передача файлов через службы HTTPS и FTP(s), например, когда владельцы веб-сайтов обновляют новые страницы на своих веб-сайтах или передают большие файлы.
• Вход в приложения и панели управления, такие как Parallels, cPanel и другие.
• Рабочие процессы и приложения виртуализации, такие как Citrix Delivery Platform или платформы облачных вычислений.
• Вход в систему управления хостингом, такую как Parallels Plesk, cPanel и другие.

Как я могу получить SSL?

Чтобы использовать SSL в своем бизнесе, вам необходимо приобрести SSL-сертификат.

Что такое SSL?

Это такой режим соединения с сайтом, когда вся информация шифруется. То есть, например, если вы вводите данные своей банковской карты, то их видите только вы и сайт, который их получает.

Погодите, а обычно разве не так?

• Через локальную сеть или Wi-Fi – её может увидеть администратор сети и ваши коллеги.
• Через ближайший узел провайдера – там её могут увидеть сотрудники провайдера, и там же она может сохраниться для госорганов.
• Через региональный маршрутизатор (точнее, несколько) — ещё несколько инженеров.
• И в обратном порядке до сервера, где работает магазин – его узел провайдера, его локальная сеть.

Кроме того, к этой цепочке может подключиться злоумышленник, который будет специально вас слушать. В лучшем случае это будет ваш сосед, который «прослушивает» открытый Wi-Fi.

То есть когда я использую SSL, никто из этих людей не видит, что я передаю и получаю?

Да. Точнее, «снаружи» тогда будет видно только адрес сайта, с которым вы работаете. Вся информация пойдёт в шифрованном туннеле.

Как понять, соединён ли я по SSL?

Самый простой способ, если вы работаете с сайтом, — посмотреть строку адреса.

Если в начале его адреса будет написано https, а не http, то всё в порядке. Эта буква «s» в конце означает «secure», то есть защищённый, шифрованный. Современные браузеры покажут замок около адреса – наверняка вы уже видели такую иконку не раз. Кроме того, большая часть современных браузеров предупреждает о том, что вы передаёте важные данные по открытому каналу. Предполагается, что в будущем большинство сайтов будут работать по SSL полностью. Сейчас же это, в основном, касается только тех страничек, где происходит оплата.

Если я покупаю что-то в интернет-магазине, а сайт без https, это плохо?

Сегодня большая часть интернет-магазинов переходит на шифрованный SSL-канал только для ввода платёжных данных. Более того, для ввода данных банковской карты, например, вас чаще всего перебрасывает на SSL-страницу платёжной системы – чтобы даже владелец сайта магазина не увидел данных, только банк. Поэтому стоит обращать внимание на шифрование при оплате.

По SSL можно соединяться только с сайтом или с чем-то ещё?

Этот протокол обмена информацией используют многие мессенджеры, например, Вотсап, Вайбер, ICQ (в последних версиях), Телеграм, Фейсбук Мессенджер и так далее. И многие приложения тоже, например, банковские. Кроме того, по SSL можно соединяться с чем угодно – это просто способ обмена ключами и ширования, то есть средство построения связи.

Что такое SSL-сертификат?

1. Вы проверяете его сертификат
2. И меняетесть ключами.

Сертификат в самом простом случае – это удостоверение, что тот сайт – именно тот сайт. То есть, грубо говоря, его «паспорт». Этот «паспорт» подтверждается «нотариусом» интернета – сертификационным центром. Иногда, конечно, сертификационные центры взламывают, и шифрованные данные становятся известны хакерам, но в целом таким центрам можно доверять. На этом доверии держится весь Интернет.

Что за проверка сертификата?

Ваш браузер в начале процедуры установки шифрования смотрит в «бумаги» сайта и проверят его «паспорт». Если там всё в порядке, то вы на современном браузере даже ничего не заметите, и просто перейдёте к следующему этапу. Если же что-то не так – например, сертификат вчера кончился, или он подписан самим сайтом (без независимой стороны) или что-то ещё подозрительно – вы увидите предупреждение.

В этом случае крайне рекомендуется отклонить использование такого сертификата и перестать работать с сайтом. В безопасности всегда так: если что-то непонятно, лучше не подтверждать.

Почему?

Потому что если сертификат неверно подписан, просрочен или подписан не тем сертификационным центром, который должен там быть — скорее всего, это подложный сертификат, который кто-то заставляет вас подписать вместо настоящего. Конечно, в реальном мире паспорт тоже мог искупаться в реке, потом по нему мог побегать кот, и наконец, на нём мог пририсовать усы к фотографии ребёнок, но обычно так не случается. Чаще всего такие подложные сертификаты —это дело рук сотрудника безопасности вашего офиса (ему же хочется читать, что вы делаете в интернете). Реже – хакерские атаки. В Китае и других странах с жёстким контролем за Интернетом вы также можете получать такие «подложные» сертификаты от провайдера, потому что по закону шифрование запрещено. Граждане этих стран принимают такие сертификаты, чтобы пользоваться Интернетом.

Хорошо, сертификат в порядке. А что за обмен ключами?

Дальше начинается магия чисел. В математике есть такие хитрые операции, которые проверяются быстро, а считаются долго. Например, если вдруг вы захотите найти два числа, на которые делится 91, придётся перебирать вообще все возможные варианты. Это долго. А если вы пойдёте в другую сторону – мы спросим, что получится, если умножить 13 на 7 – вы сразу поймёте, что это 91. Делая такие операции вместе с тем, с кем вы собираетесь установить шифрованное соединение, вы меняетесь ключами так, что любой «подслушивающий» вас получает только результаты, которые надо очень долго считать.

Ок, поменялись ключами, дальше всё шифруется?

Да. Но не спешите радоваться – абсолютной защиты это не даёт. Во-первых, вас всё равно слушает государство (либо ваше роднойродное, либо американское – это ведь, скорее всего, их центры сертификации). Во-вторых, сами сертификаты могут быть выпущены с уязвимостью (либо метод шифрования может быть уязвим), чтобы знающий человек мог их читать – тут вам передаёт пламенный привет Сноуден, который это спалил. В-третьих, несмотря на сложность подсчёта ключа, его всё же можно подобрать математически – правда, это займёт ни одну сотню лет, но если вдруг у организации, которая очень хочет вас послушать, есть невероятно большая вычислительная мощность, вас может ждать сюрприз. И, наконец, всё идёт к тому, что довольно скоро изменятся сами принципы вычисления таких чисел на процессорах (благодаря уже доступным в лабораториях квантовым компьютерам), поэтому через несколько лет, скорее всего, нас ждут большие изменения в самих методах шифрования. Проще говоря: сосед не узнает, провайдер не узнает, сисадмин не узнает, даже хакер, скорее всего не узнает, а вот КГБ бдит, товарищ.

А почему, если я переведу время на компьютере в 2050-й год, у меня не будет работать браузер из-за ошибок SSL?

Потому что вы тоже имеете сертификат и набор уже готовых ключей для ряда случаев. Операционная система или имеет много ключей (столько, чтобы хватило на много-много соединений на ближайшие 500 лет), или же умеет получать эти новые ключи с официальных серверов. Но ваш сертификат SSL – как и все сертификаты – имеет срок годности. Поэтому если вы скачком убежите далеко в будущее, он кончится, а новый сертификат будет взять неоткуда. Вот почему путешественников во времени с ноутбуками и телефонами ждут некоторые трудности. Но, хочется верить, это меньшее, с чем им придётся столкнуться в 2050 году.

Что ещё надо знать?

SSL-туннель не защитит вас от угроз на стороне сайта (ведь там всё расшифрруется, и администратор сайта увидит, что вы делаете – это же логично), и на вашей стороне, то есть на вашем компьютере. Это значит, что если вы поймали вирус – злоумышленник всё равно может видеть, что вы делаете независимо от шифрования. А ещё целая куча программ разбирает ваш шифрованный трафик – например, антивирус ищет там вирусы, а дорогая корпоративная система защиты от утечек – собственно утечки. В общем, если вы верите авторам антивируса, что они не читают вашу почту – всё в порядке.

То есть сам по себе SSL – это небезопасно?

Это достаточно безопасно, чтобы избежать большинства обычных угроз. Если за вами кто-то следит направленно, либо если вы не хотите уведомлять провайдера о своём любимом порно и том, с кем вы переписываетесь, надо выбирать ещё и другие методы защиты – например, VPN, одну из сетей даркнета и так далее. Там происходит не только шифрование, но и переадресация или перемешивание трафика, чтобы нельзя было понять, где и что происходит.

А что это значит – SSL?

Secure sockets layer — уровень защищённых cокетов, то есть, упрощая, «защищённое соединение». Разработан в 1996 году компанией Netscape. Компании уже давно нет, а протокол остался и лёг в основу современного Интернета.

При подготовке материала использовались источники:
https://vpnkitut.com/chto-takoye-ssl
https://www.globalsign.com/ru-ru/ssl-information-center/what-is-ssl
https://2ip.ru/article/ssl/