SSL sertifikatas – tai elektroninis parašas, kuriuo serveris pasirašo ir užšifruoja interneto svetainės lankytojui siunčiamus ir iš jo priimamus duomenis. SSL sertifikatus išduoda sertifikavimo institucijos pagal serverio administratoriaus prašymą.

Interneto svetainė be SSL sertifikato: Naršyklė be SSL sertifikato

Interneto svetainė su SSL sertifikatu: Naršyklė su SSL sertifikatu

Jei interneto naršyklė patvirtina, kad svetainė saugi, tai reiškia:

  1. Patvirtinta svetainės tapatybė – lankomės tikrojo domeno savininko svetainėje, o ne esame nukreipti į įsilaužėlių padirbtą serverį.
  2. Užšifruoti visi tarp serverio ir naršyklės perduodami duomenys – jokie tinklo įsilaužėliai negali jų nuskaityti.
  3. Užtikrintas duomenų vientisumas ir originalumas – pakeliui esantys maršrutizatoriai negali pakoreguoti ar cenzūruoti persiunčiamos informacijos.

Jei interneto svetainė iš viso neturi SSL sertifikato arba jei dalis jos turinio užkraunama iš nesaugių adresų, naršyklė rodo perspėjimą, kad svetainė Nesaugi arba Not secure, ir pataria joje nevesti jokių asmeninių duomenų. Google paieškos rezultatų puslapiuose tinklalapius be SSL sertifikato reitinguoja žemiau, kad į juos apskritai patektų mažiau žmonių.

Jei svetainėje įdiegtas nepatikimas arba nebegaliojantis SSL sertifikatas, naršyklė tai laiko įsilaužimo ženklu ir daugumai vartotojų apskritai neleidžią įeiti į svetainę. Laiku neatnaujinus SSL sertifikato, ne tik Jūsų klientai negalės pasiekti interneto svetainės, bet ir darbuotojai taps atkirsti nuo el. pašto bei kitų serveryje veikiančių programų.

Norint apsaugoti savo lankytojų duomenis ir negąsdinti jų naršyklės įspėjimais, šiandien kiekviena interneto svetainė privalo turėti patikimą ir teisingai įdiegtą SSL sertifikatą.

Kad interneto naršyklė pasitikėtų serverio pateiktu SSL sertifikatu, jį savo elektroniniu parašu turi būti pasirašiusi patikima sertifikavimo institucija. Pasaulyje tik keliasdešimt įmonių gali išduoti SSL sertifikatus pasirašydamos savo šakniniu sertifikatu. Komerciškai aktyviausios yra 2: Sectigo ir DigiCert (prekiniai ženklai RapidSSL, GeoTrust, Thawte).

Visi SSL sertifikatai yra skirti naudoti SSL/TLS protokolais. Tai yra atviri standartai, kad visi serveriai bei interneto naršyklės būtų suderinamos. Vienodų techninių parametrų skirtingų prekinių ženklų SSL sertifikatai veikia identiškai. Visi jie naršyklėje, atėjus į interneto svetainę https adresu, bus atvaizduojami vienodai.

Sertifikavimo centrai konkuruoja aptarnavimo kokybe, sertifikato išdavimo greičiu bei kaina. Iš savo patirties įvertinę visus šiuos aspektus, perpardavėjai rekomenduoja vieno ar kito prekinio ženklo sertifikatus. Juos geriausia ir rinktis – vietinis pardavėjas jų parduoda daugiausia bei greičiausiai sprendžia iškilusias problemas.

Perpardavėjai gauna skirtingas nuolaidas iš sertifikavimo centrų, todėl jų rekomenduojami prekiniai ženklai gali skirtis. Pigiausias sertifikatas nėra blogiausias, priešingai – dėl pranašumų jo parduodama daugiausia ir jam perpardavėjas gauna didžiausią nuolaidą.

Yra daug prekinių ženklų (pvz.: Thawte, Sectigo EssentialSSL), kurie neturi jokio konkurencinio pranašumo prieš kitus to paties sertifikavimo centro išduodamus sertifikatus. Šių sertifikatų parduodama labai mažai ir juos renkasi tik specifiniai pirkėjai. Jei palyginimo lentelėje randate techniškai lygiavertį sertifikatą, kurio kaina aukštesnė ir net sertifikavimo centras jo nereklamuoja savo svetainės pirmame puslapyje, nėra jokios prasmės rinktis tokio prekinio ženklo sertifikatą.

SSL sertifikatai skiriasi 2 esminiais techniniais parametrais: kiek adresų ir kokie domeno savininko duomenys į jį įrašyti.

SSL sertifikatas veikia tik tais adresais, kurie įrašyti į sertifikatą. Adresų (domenų arba subdomenų) skaičių dažniausiai nulemia tai, kur naudosite SSL sertifikatą:

  1. Interneto svetainės ir el. parduotuvės, kurios veikia tik 1 domenu, naudoja SSL sertifikatus svetainėms.
  2. Exchange el. pašto serveriai ir multi-site sistemos, kurios veikia keliais skirtingais adresais, naudoja Unified Communications SSL sertifikatus su Subject Alternative Names – papildomais adresais.
  3. Interneto platformos, kurios leidžia vartotojams kurtis subdomenus, naudoja Wildcard SSL sertifikatus.

Kokį tapatybės patikrinimą rinktis, nulemia SSL sertifikato naudojimo tikslas:

  1. Tik apsaugoti lankytojų duomenis – kad naršyklė pripažintų interneto svetainę saugia, pakanka SSL sertifikato su domeno patikrinimu (DV).
  2. Garantuoti, kad klientas jungiasi prie konkrečios įmonės serverio – kai prie serverio jungiamasi ne naršykle, o specialia programine įranga, arba lankytojai žino, kaip rankiniu būdu patikrinti sertifikato duomenis, tinkamas SSL sertifikatas su įmonės patikrinimu (OV).
  3. Parodyti, kam priklauso interneto svetainė – kad lankytojai būtų tikri, jog lankosi legaliai įsteigtos įmonės el. parduotuvėje, reikalingas SSL sertifikatas su išlėstiniu patikrinimu (EV).

Išsamus straipsnis, kuo techniškai skiriasi SSL sertifikatai ir kaip išsirinkiti tinkamą:
SSL sertifikatų skirtumai ir optimali kaina

Kur bepirksite SSL sertifikatą, to paties pavadinimo sertifikatas visur bus tas pats. Bet iki kol SSL sertifikatas veiks Jūsų serveryje, su jo pardavėju teks nueiti ne vieną žingsnį. Todėl perkant tą patį SSL sertifikatą iš skirtingų pardavėjų, skiriasi ne tik kaina.

Sertifikatą atsinaujinti, patikrinimus atlikti ir sertifikatą įsidiegti turėsite kasmet kiekvienam domenui atskirai. Todėl tai taps rutina. Geriau, kai rutina yra sklandi.

Patikrinimo ir diegimo metu išryškėja SSL sertifikatų pardavėjų skirtumai:

  1. Sertifikato diegimo instrukcijos – SSL sertifikatas yra elektroninis dokumentas, kurį turite įdiegti į savo serverį. Šį elektroninio parašo dokumentą sudaro kriptografiniai raktai. Privatų raktą ir sertifikato paraišką turite susigeneruoti patys. Viešą raktą iš pardavėjo gausite CRT arba CER formatu. Tai yra techniškai sudėtingi dalykai su savais niuansais. Tą darant savo jėgomis pirmą kartą, sugaišite kur kas daugiau laiko, nei galvojote. Net jei SSL sertifikatą išsiimate ne pirmą kartą, tą darant tik kartą metuose, kai kurie žingsniai ir pasirinkimai pasimirš. Patogiau atsakymų ieškoti ne Google, o aiškiai pardavėjo pateiktose instrukcijose, ką kokiame žingsnyje turite padaryti.
  2. Sertifikato paraiškos (CSR) įkėlimas ir domeno patikrinimas savitarnos sistemoje – visi sertifikavimo centrai tam turi pilnai automatizuotas sistemas. Jei tai siūlo ir pardavėjas, DV sertifikatą galite išsiimti per 5 minutes. Jei CSR turite siųsti el. paštu ar įkelti su sertifikavimo centru neintegruotoje formoje, sertifikato išdavimas užtruks daug ilgiau.
  3. Pagalba įmonės patikrinimo metu – visi sertifikavimo centrai turi šiek tiek skirtingas procedūras, kaip tikrina įmonę. Sklandžiausiai šis procesas užbaigiamas per 2 darbo dienas. Klientui padarius klaidų, o pardavėjui jų proaktyviai nesprendžiant, įmonės patikrinimas gali užsitęsti ir porą mėnesių. Pasitaiko visko: netiksliai transliteruotas arba išverstas įmonės pavadinimas, dokumentus pasirašė ne tas asmuo, tarptautinėse duomenų bazėse pateikti pasenę įmonės duomenys, sertifikavimo centrui neveikia nurodytas telefono numeris ir t.t. Vietinis pardavėjas, kuris jau yra padėjęs atlikti daug įmonių patikrinimų, tai pastebės ir su sertifikavimo centru išspręs per keletą darbo valandų, o ne dienų ar savaičių.

Kriptografija.lt tiekia SSL sertifikatus Lietuvos paštui, Registrų centrui, Maximai, daugeliui LR ministerijų ir šimtams kitų didžiausių konfidencialių duomenų valdytojų Lietuvoje. Pagal savo klientų klausimus parengėme žinyną, kuriame pažingsniui aprašėme diegimo instrukcijas daugeliui Lietuvoje naudojamų serverių. Iš savo patirties žinome, kaip spręsti keblius įmonės patikrinimo klausimus. Dėl didelio užsakymų srauto maksimaliai viską automatizavome ir perkėlėme į savitarnos sistemą, o iš sertifikavimo centrų gauname didžiausias nuolaidas. Todėl tikime, kad galime pasiūlyti geriausias paslaugas perkant SSL sertifikatus už mažiausią kainą Lietuvoje.

Kiekvienas mūsų SSL sertifikatas parduodamas su šiomis garantijomis:

  1. Visada suteiksime tą patį sertifikatą pigiausiai Lietuvoje.
    Mūsų užsakymų srautas leidžia garantuoti žemiausias kainas Lietuvoje. Kažkas siūlo pigiau? Parašykite mums ir gausite dar geresnį pasiūlymą – įskaitant mūsų kokybės aptarnavimą ir garantijas. Vienintelė sąlyga – konkuruojantis pasiūlymas turi būti prieinamas visiems viešai.
  2. Domeno ir įmonės patikrinimai bus atlikti sėkmingai.
    Domeno patikrinimą esame pilnai automatizavę. Įmonės patikrinimui atlikti suteikiame išsamią informaciją, ką ir kaip klientas turi pateikti sertifikavimo institucijai. Jei įmonės patikrinimas sustrigs dėl kliento klaidų, tarpininkausime tarp kliento bei sertifikavimo institucijos ir padėsime tas klaidas ištaisyti.
  3. Rekomenduotas sertifikatas veiks Jūsų serveryje, arba nemokamai išduosime kitą.
    Mes rimtai žiūrime į savo rekomendacijas ir už jas atsakome. Jei suklystame, viską sutvarkome savo sąskaita. Pirkdami su mūsų rekomendacija, esate ramūs, kad viskas tikrai veiks.

Darbo dienos bėgyje rekomenduosime Jūsų serveriui tinkantį SSL sertifikatą už geriausią kainą. Prižadame, neįtrauksime Jūsų į jokį naujienlaiškių gavėjų sąrašą ir neįkyrėsime.

Kriptografija – tai mokslas apie informacijos užšifravimą ir iššifravimą. Šiais laikais kriptografijos metodai naudojami ne tik šifravimui.

Komerciškai pats populiariausias kriptografijos standartas šiuo momentu – X.509 sertifikatai. X.509 sertifikatą sudaro viešas raktas, sertifikato naudotojo duomenys ir sertifikato leidėjo elektroninis parašas. Sertifikato naudotojas savo susikurtu privačiu raktu pasirašo duomenis ir perduoda juos gavėjui kartu su sertifikatu. Gavėjas su viešu raktu iššifruoja duomenis ir gali juos perskaityti. Sertifikate duomenų gavėjas gali patikrinti duomenis pasirašiusio asmens tapatybę ir sertifikato leidėjo tapatybę – ar sertifikatą išdavė patikimas leidėjas ir tokiu sertifikatu verta pasitikėti. Šis formatas naudojamas ir kvalifikuoto elektroninio parašo sertifikatams, kurie įrašomi į Lietuvos piliečių asmens tapatybės korteles ir mobilaus parašo SIM korteles.

Kriptografija.lt tiekia visus populiariausius komercinius X.509 sertifikatus: SSL sertifikatai, programų kodo pasirašymo sertifikatai, el. laiškų pasirašymo sertifikatai.

X.509 yra viešų raktų kriptografija pagrįstas standartas. Šiems asimetriniams raktams naudojami RSA (Rivest-Shamir-Adelman) ir ECC (Elliptic Curve Cryptography) algoritmai. Jais pasirašomi duomenys sugeneruojant SHA maišos kodus. Tinkamai integruoti į IT sistemas, šie metodai garantuoja internetu perduodamų duomenų slaptumą, vientisumą ir autentiškumą. IT sistemų kūrėjai gali integruoti X.509 standartą vartotojų autentifikavimui ir pasirašymui ir be komercinių ar valstybinių sertifikatų. Pavyzdžiui, savo darbuotojams bei klientams išdavus nekvalifikuotus (self-signed) sertifikatus, jie suteikia tokio paties lygio saugumą ir patikimumą įmonės viduje. Tokius sertifikatus įmonė gali generuotis pati nemokamai, tam reikia nustatyti savo sertifikatų valdymo tvarką ir susikurti tam reikalingą viešo rakto infrastruktūrą (PKI).

Šiuo metu praktikoje plačiai paplitę ir kiti kriptografijos sprendimai. AES (Advanced Encryption Standard) naudojamas saugykloje laikomų duomenų užšifravimui. MFA (Multi-Factor Authentication) naudojamas saugesniam prisijungimui prie IT sistemų, vartotojo autentifikavimui pridedant antrą žingsnį – kodo pagal raktą ir laiką sugeneravimą ir patikrinimą. Kriptovaliutos ir blokų grandinės (blockchain) įvairiai pritaikė daugumą visų šių kriptografijos metodų kaip pagrindą savo standartų sukūrimui.

Savo kriptografijos žinias esame panaudoję IT sistemose įgyvendindami saugomų duomenų šifravimą, dviejų žingsnių autentifikavimą, mokamo turinio licencijavimą (paywall, license key), duomenų šifravimą naršyklėje vartotojo lygiu (end-to-end encryption) ir pan.