SiteSecure

Защита интернет-бизнеса от потерь и простоев

Зачем нужна проверка SSL-сертификата

Максим ЛагутинМаксим Лагутин,09 июня 2015, 22:50

Необходимо ли регулярно проверять установленный на сайте SSL-сертификат?

Никогда информация не передавалась так быстро, как сегодня. На перевод средств со счета, отправку заказа или ценного документа может уйти всего несколько секунд. И это в значительной степени ускоряет и облегчает процесс работы. Но так как любая конфиденциальная информация в интернете может быть перехвачена  злоумышленниками, ее необходимо шифровать. Для этого на сайтах устанавливают SSL-сертификаты, которые заодно повышают доверие пользователей и позицию сайта в поисковой выдаче Google.

проверка ssl

В этой статье мы хотим обратить внимание владельцев сайтов и веб-мастеров на важные причины, по которым не достаточно лишь установить сертификат. Для полноценной защиты необходимо выполнять регулярную проверку SSL.

Вам наверняка известно, что цифровой сертификат безопасности веб-сайта (SSL-сертификат) – это файл, своего рода электронный паспорт, который позволяет серверу сайта и устройству посетителя проверять подлинность друг друга, а затем устанавливать соединение и передавать электронную информацию в зашифрованном виде. (Подробнее про SSL-сертфикаты и их виды я писал в этой статье).

После установки нужно обязательно выполнить диагностику SSL-подключения, чтобы убедиться в том, что:

  1. Сертификат правильно установлен

  2. Срок действия сертификата соответствует сроку, указанному в договоре

  3. В самом сертификате нет уязвимостей и он выполняет свои функции

Последний пункт менее очевиден, поэтому требует особого внимания.

Во-первых, сертификаты безопасности сайта выдаются Центрами сертификации, которых с каждым годом появляется все больше. Поэтому, если вы установили SSL-сертификат, обязательно выполните проверку SSL-подключения.

Во-вторых, в самих сертификатах периодически находят критические уязвимости, приводящие к большому количеству взлому сайтов во всем мире. Самые крупные уязвимости в SSL за 2014 год получили название Heartbleed (буквально «кровотечение сердца») и Poodle (аббревиатура произносится как «пудель»). Из-за ошибок в программном коде, взломщики смогли массово взломать сайты и расшифровать передаваемую информацию: логины и пароли, данные от банковских карт, cookie и личные данные, извлекая их из оперативной памяти веб-сервера.

По некоторым подсчетам, уязвимость Heartbleed затронула две трети всех сайтов, работающих по протоколу https, а ущерб оценивается почти в $500 млн. Хотя Poodle затронула всего 10% всех сайтов, среди них оказались банки, крупные компании и министерства.

Как своевременно выявлять проблемы с сертификатом безопасности сайта

Некоторых интересует, как отключить проверку SSL-соединений. Но этого не стоит делать. Алгоритмы атак по взлому данных постоянно обновляются и дорабатываются. Поэтому необходимо постоянно держать «руку на пульсе» по защите своих данных, как владельцам сервисов, так и пользователям.

Более того, не стоит делать SSL проверку сертификата при помощи браузеров (Chrome, Firefox, Opera, Internet Explorer и т.п.), потому что каждый из них использует свой способ, пропуская при этом важные шаги.

Если вы используете SSL/TSL-сертификат на своем сайте или планируете его установить, то проверяйте его специализированным сервисом, который за короткий период времени выполнит проверку валидности SSL-сертификата, его hash-алгоритм, а также оценит безопасность сайта в целом.


Подключите бесплатно свой сайт к мониторингу доступности и безопасности, чтобы повысить его защиту и первым узнавать об угрозах безопасности.

Подключить сайт