Постоянно расширяющийся цифровой ландшафт требует безопасной онлайн-коммуникации и защиты данных. Одна из технологий, которая сыграла ключевую роль в защите наших онлайн-транзакций и обмена информацией, – это протоколы SSL/TLS и цифровые сертификаты, которые их используют. За последние два десятилетия SSL-сертификаты развивались и адаптировались к растущим сложностям кибербезопасности, став важнейшим компонентом защиты в Интернете.
Появившись в середине 1990-х годов, SSL-сертификаты произвели революцию в передаче информации через Интернет. Изначально они были разработаны для защиты передачи конфиденциальных данных, таких как данные кредитных карт и пароли, но с тех пор они стали важным инструментом для обеспечения доверия, конфиденциальности и шифрования при взаимодействии в Интернете. В этой статье рассматривается история SSL-сертификатов, прослеживается их эволюция с первых дней до современных воплощений. В ней также рассматриваются основные вехи, определившие их развитие.
Оглавление
- История SSL и TLS – прогулка по дорожке памяти
- Эволюция SSL-сертификатов в конце девяностых годов
- Эволюция SSL-сертификатов в начале 21 века
- Эволюция SSL-сертификатов за последнее десятилетие
- Что ждет SSL-сертификаты в будущем?
История SSL и TLS – прогулка по дорожке памяти
Когда Джон Уэйнрайт, ученый-компьютерщик из Кремниевой долины, заказал первую в истории книгу на Amazon, последнее, что он мог себе представить, это то, что в его честь будет названо здание. Но именно так ценит своего первого в истории покупателя, не являющегося сотрудником, крупнейшая розничная компания на планете.
Совершив гигантский скачок по сравнению с концом девяностых, когда розничная торговля через Интернет была еще в зачаточном состоянии, Amazon теперь продает миллионы книг каждый год. Но то, что Уэйнрайт сделал 25 лет назад, было бы невозможно без другой технологии, работающей в фоновом режиме. Технология, настолько фундаментальная для развития Интернета и онлайновых транзакций, что без нее уже не может обойтись ни один сайт. Мы говорим о криптографических протоколах и сертификатах SSL/TLS – элементах веб-безопасности, которые сделали возможной революцию в Интернете.
В то время, когда первые браузеры завоевывали популярность во Всемирной паутине, необходимость в безопасных платежах была насущной проблемой. Где-то в штаб-квартире Netscape, одной из крупнейших в то время компаний по оказанию компьютерных услуг, Тахер Эгмал, египетский криптограф и главный научный сотрудник Netscape, разрабатывал первый в истории интернет-протокол Secure Sockets Layer (SSL).
Эволюция SSL-сертификатов в конце девяностых годов
Не имея возможности протестировать его в реальном мире, SSL 1.0 стал полной автокатастрофой. Первая версия, изобилующая криптографическими недостатками и уязвимостями в системе безопасности, так и не вышла в свет. Компания Netscape продолжила разработку протокола SSL и в феврале 1995 года выпустила SSL 2.0. Он поставлялся вместе с браузером Navigator от Netscape и использовался всего год, пока хакеры и эксперты по безопасности не раскрыли его снова.
В то же время компания Microsoft решила переработать протокол SSL 2, добавив в него некоторые свои дополнения, и выпустила первую версию протокола PCT (Private Communication Technology). Однако он так и не набрал обороты и остался поддерживаться только в IE и IIS.
Компания Netscape в спешке разработала SSL 3.0, который, наконец, принес немного стабильности и передышки в Web. Только в 1999 году появился, казалось бы, совершенно новый протокол TLS (Transport Layer Security) 1.0. В действительности TLS был практически идентичен SSL 3.0 и скорее являлся компромиссом между яростными конкурентами Netscape и Microsoft, чем отклонением от SSL 3.0.
Как вспоминает Тим Диркс, человек, написавший эталонную реализацию SSL 3.0, Netscape и Microsoft заключили сделку, по которой обе стороны поддержали бы IETF (Internet Engineering Task Force), взявшую на себя управление протоколом и стандартизировавшую его в открытом процессе.
“В процессе подковывания нам пришлось внести некоторые изменения в SSL 3.0 (чтобы не казалось, что IETF просто подгоняет протокол Netscape), и нам пришлось переименовать протокол (по той же причине). Так родился TLS 1.0 (который на самом деле был SSL 3.1). И, конечно, сейчас, в ретроспективе, все это выглядит глупо”.
Группе IETF потребовалось три года, чтобы опубликовать TLS 1.0. Путаница с SSL/TLS продолжается и по сей день.
Эволюция SSL-сертификатов в начале 21 века
На заре нового тысячелетия SSL-сертификаты были так же скудны, как деревья в пустыне. Центры сертификации брали сотни долларов за Business Validation – единственную доступную опцию на тот момент. Для компаний электронной коммерции, окунающихся в неизведанные воды онлайнового мира, это была неплохая инвестиция.
Потребность в более быстрой и простой проверке была очевидна. В 2002 году компания GeoTrust стала первым центром сертификации, распространяющим сертификаты Domain Validation, – шаг, который в конечном итоге навсегда изменил ландшафт SSL. Более быстрые и дешевые, эти сертификаты могли зашифровать любой тип веб-сайта и в конечном итоге стали движущей силой революции HTTPS.
Пять лет спустя, в 2007 году, еще одна революционная инновация определила развитие индустрии SSL. Появление сертификатов расширенной проверки позволило компаниям предоставить пользователям Интернета разумную уверенность в том, что сайт, на который они заходят, действительно контролируется юридическим лицом. Ставшая знаменитой зеленая адресная строка EV помогла компаниям лучше идентифицировать себя для клиентов и усложнила фишинговые атаки с использованием SSL-сертификатов.
Тем временем, IETF выпустила TLS 1.1 в 2006 году для решения проблемы атаки BEAST, а затем TLS 1.2 в 2008 году, главной новой функцией которого стало аутентифицированное шифрование (AEAD). Несмотря на то, что это значительный прорыв в онлайновой криптографии, основным браузерам и серверам потребуются годы, чтобы включить эту функцию. Chrome добавил поддержку TLS 1.2 в августе 2013 года. К тому времени IEFT уже приступила к разработке протокола TLS 1.3.
Поскольку Интернет развивается стремительно, а количество кибератак не отстает от его роста, необходимость в широкомасштабном шифровании казалась логичным шагом на пути к более безопасному Интернету. Вступите в дело с Google, который, возможно, является самым большим сторонником перехода на HTTPS.
Эволюция SSL-сертификатов за последнее десятилетие
В 2014 году история SSL обрела новый виток, когда Google объявил, что все защищенные сайты получат SEO-увеличение. И, поскольку к тому времени все были одержимы SEO, сайты, которые в противном случае и близко не подошли бы к SSL-сертификату, переходили с HTTP на HTTPS, чтобы получить хоть малейшее преимущество перед конкурентами. Этот шаг положил начало восхождению HTTPS и новой эре для экосистемы SSL/TLS.
Вскоре после поощрения Google Cloudflare, популярная служба сети доставки контента, раздала бесплатные сертификаты своим более чем двум миллионам пользователей.
В 2015 году произошло три важных события в мире SSL/TLS. Во-первых, срок действия сертификатов, выданных после 1 апреля, сократился с пяти до трех лет. Более короткий срок службы был обозначен еще в 2012 году, в первых базовых требованиях к выпуску и управлению сертификатами, пользующимися общественным доверием.
Let’s Encrypt прибывает, SSL устаревает
Несколько месяцев спустя, в ноябре, центр сертификации с открытым исходным кодом Let’s Encrypt предоставил всем желающим бесплатные SSL-сертификаты Domain Validation и автоматическую выдачу. Поддерживаемый такими компаниями, как Google, Facebook и Mozilla, Let’s Encrypt быстро стал популярным выбором для основных веб-сайтов, блогов и онлайн-портфолио.
В том же году протокол SSL был отменен IETF, но прошло несколько лет, прежде чем старые серверы полностью отказались от него.
Перенесемся в 2016 год, и шифрование HTTPS достигло отметки в 50% по всему Интернету. Хотя в те времена это было огромным достижением, работа была сделана лишь наполовину. Конечной целью Google была защита всей Сети. Для этого потребуется нечто более радикальное, чем небольшое SEO-увеличение. И, как всегда, светлые умы Кремниевой долины придумали простое, но эффективное решение.
Браузеры начинают блокировать HTTP-контент
С выходом Chrome 68 в 2018 году браузер начал помечать все незашифрованные HTTPS-сайты как небезопасные. Mozilla последовала этому примеру, и внезапно SSL-сертификаты превратились из простого SEO-стимула в абсолютную необходимость для всех типов сайтов. Поскольку владельцы поспешили защитить свои сайты и избежать зловещего предупреждения, уровень шифрования HTTPS вырос до 80% по всему Интернету.
Сертификаты SSL стали новой нормой. Незаменимый элемент создания и безопасности сайта. С этого момента эволюция HTTPS пошла в новом направлении. В следующем выпуске Chrome 69 уберет значок безопасности с сайтов HTTPS, оставив только висячий замок в качестве единственного индикатора.
Это еще раз подтвердило серьезные изменения в подходе Google к зашифрованным веб-сайтам. Если в прошлом она предлагала вознаграждения, чтобы стимулировать переход на HTTPS. Теперь она пошла по противоположному пути и начала наказывать незашифрованные сайты. Зеленая полоска Extended Validation выжила, но вскоре и ее время подошло к концу.
Дата выхода TLS 1.3
На фоне этих критических изменений IETF опубликовала долгожданный протокол TLS 1.3. На его разработку ушло пять лет, и он появился спустя десятилетие после предыдущей версии TLS 1.2, но ожидание того стоило. Выпущенный в августе 2018 года, TLS 1.3 удалил кучу старых шифров и алгоритмов и снизил скорость рукопожатия TLS вдвое. Как и в случае с предыдущими версиями, ее внедрение будет медленным.
Насыщенный 2018 год стал свидетелем еще одного важнейшего события в ландшафте SSL. Постоянно меняющийся срок действия SSL был снова сокращен, на этот раз всего на два года. Новое ограничение позволило SSL-сертификатам истекать и перевыпускаться чаще, что позволило центрам сертификации лучше контролировать всю среду SSL/TLS.
После долгой прогулки в прошлое мы наконец-то добрались до нашего времени. В мире Интернета шифрование HTTPS в сети превысило показатель в 95%. Цель Google – обеспечить безопасность всего Интернета – теперь стала реальностью.
Изменения HTTPS после 2020 года
Браузеры продолжают нормализовать HTTPS-соединение, делая его более нейтральным. В своем последнем шаге Chrome и Firefox убрали индикатор расширенной проверки из адресных строк и переместили его в информационную панель сертификата. Google провел внутренние и внешние исследования и обнаружил, что индикатор EV не передает информацию о подлинности и безопасности сайта эффективным способом. Кроме того, они занимают слишком много места и могут сбивать с толку названия компаний. Тем не менее, удаление индикатора EV – это не конец сертификатов Extended Validation. Их главным преимуществом остается тщательная проверка личности компании.
Между тем, валидность SSL продолжала снижаться. На этот раз настала очередь компании Apple единогласно сократить цикл выдачи сертификатов до одного года для своего браузера Safari. Новые изменения вступают в силу с 1 сентября. Поскольку Safari является вторым по популярности браузером в Интернете, его конкуренты последовали решению Apple. Срок действия в один год еще больше уменьшает возможность кибератак благодаря регулярной генерации новых ключей. Все эти изменения еще раз подчеркнули постоянно меняющуюся природу истории SSL.
Что ждет SSL-сертификаты в будущем?
С появлением универсального шифрования возрастает ответственность за защиту конфиденциальных данных пользователей от постоянных кибератак. Хотя недостатки старых протоколов были устранены в более поздних версиях, риск возникновения новых угроз безопасности будет оставаться высоким до тех пор, пока Интернет будет развиваться.
Многие эксперты в области FinTech предложили блокчейн в качестве потенциальной замены SSL. Проще говоря, блокчейн – это структура базы данных, которая хранит информацию в виде пакетов, называемых блоками, последовательно связанных между собой и образующих цепочку блоков. Каждая цепочка – это публичная бухгалтерская книга, в которой транзакции записываются и подтверждаются анонимно. Одним из самых известных примеров блокчейна является криптовалюта Bitcoin. Но как блокчейн может улучшить шифрование в Интернете?
Для начала, он может использоваться отдельными сторонами для генерации уникальных криптографических ключей, которые могут проверять информацию и обеспечивать безопасную связь. На рынке уже существует несколько SSL-сертификатов на основе блокчейна. Эти сертификаты исключают центры сертификации (человеческий фактор) из цифровых транзакций, обеспечивая более надежную аутентификацию.
Одной из таких систем является Remme. Распределенный протокол инфраструктуры открытых ключей назначает SSL-сертификаты отдельным устройствам, таким как смартфоны или ПК, и хранит информацию о сертификатах в защищенной базе данных с поддержкой блокчейна.
Хотя блокчейн преподносится как лучшая замена SSL, исключение центров сертификации из уравнения может привести к обратному эффекту. Технология все еще находится в зачаточном состоянии, и пока разработчики не смогут доказать ее эффективность и стабильность в обеспечении децентрализованного доверия, высокорегулируемые центры сертификации будут продолжать проверять легитимность владельцев сертификатов.
Как гласит старая поговорка, если ничего не сломалось, не чините. Это не значит, что у CA не было своих проблем и испытаний, но их непрерывный прогресс превратил индустрию SSL в гораздо более безопасное место. Сегодня ведущие центры сертификации предлагают широкий спектр возможностей управления сертификатами и автоматизации, помогая компаниям эффективно управлять тысячами циклов сертификации.
И браузеры, и центры сертификации настолько уверены в безопасности SSL, что Google намерен убрать значок висячего замка – последний сохранившийся индикатор безопасного сайта. Пока что все замыслы Google воплотились в жизнь. Конец SSL-замка ознаменует революцию HTTPS как историю успеха и важную главу в молодой истории Интернета.
Нижняя линия
С момента появления первого протокола SSL прошло почти три десятилетия. Со времен первых браузеров Интернет прошел долгий путь, и теперь это совершенно другая среда. Шифрование в Интернете теперь повсеместно распространено. Старые протоколы SSL и TLS устарели, освободив место для самой последней версии TLS 1.3.
История SSL научила нас важности шифрования, аутентификации, адаптивности, отраслевых стандартов, удобства использования, доступности и постоянного характера безопасности. Эти уроки дают ценные знания, поскольку мы стремимся создать более безопасный и надежный цифровой мир для людей, предприятий и организаций по всему миру.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10