SSL/TLS

Протокол HTTPS применяется для безопасного обмена данными между веб-ресурсом и пользователем. Если веб-ресурс не поддерживает HTTPS, современные веб-браузеры могут уведомлять пользователя об опасности посещения такого веб-ресурса.

Для использования HTTPS на сервере веб-ресурса должен быть установлен SSL-сертификат. SSL-сертификат содержит информацию о владельце домена веб-ресурса, реквизиты поставщика SSL-сертификата и открытый ключ для шифрования данных. SSL-сертификат подписывается удостоверяющим центром, что гарантирует неизменность содержащейся с нем информации.

Применение HTTPS имеет ряд преимуществ:

  1. Конфиденциальность. Между веб-ресурсом и пользователем данные передаются в зашифрованном виде. Злоумышленники не смогут узнать, какие действия выполнял пользователь на веб-ресурсе, перехватить пароли или данные кредитных карт.

  2. Целостность. Подмена данных при передаче между веб-ресурсом и пользователем невозможна.

  3. Аутентичность. Браузеры автоматически проверяют валидность SSL-сертификата и соответствие домена веб-ресурса указанному в SSL-сертификате.

Использование HTTPS на Платформе

Для использования HTTPS на Платформе NGENIX необходима настройка сервиса SSL Support. Для использования заказчиком собственных SSL-сертификатов дополнительно необходима настройка сервиса Hosted SSL.

Включение и режимы поддержки HTTPS

Включение поддержки HTTPS осуществляется на странице «SSL Support» клиентского портала NGENIX Multidesk раздельно для каждой сервисной конфигурации. Может быть выбран один из следующих режимов:

  • HTTP + HTTPS. Сервисная конфигурация поддерживает работу протоколов HTTP и HTTPS одновременно. При включении поддержки протокола HTTPS этот режим выбирается по умолчанию.

  • Только HTTPS. Сервисная конфигурация поддерживает работу только протокола HTTPS. На любой запрос по протоколу HTTP пользователю будет возвращена ошибка.

Редирект с HTTP на HTTPS

При активации этой настройки в рамках сервиса SSL Support на любой запрос пользователя по протоколу HTTP будет возвращен код ответа 301 (Moved Permanently) с редиректом на этот же объект по протоколу HTTPS.

HTTP Strict Transport Security (HSTS)

HSTS – механизм, позволяющий информировать браузер о том, что для данного веб-ресурса необходимо использовать только протокол HTTPS, даже если пользователь введет http в адресной строке браузера (RFC6797). Использование HSTS снижает вероятность незащищенного обмена с пользователем.

Если HSTS настроен, то во время обращения пользователя к веб-ресурса по протоколу HTTPS ему будет возвращен HTTP-заголовок Strict-Transport-Security, который будет содержать в директиве max-age срок действия политики HSTS в секундах. Браузер, поддерживающий HSTS, будет обращаться к веб-ресурсу исключительно по протоколу HTTPS в течение срока, указанного в директиве max-age. Каждый раз при успешном подключении к веб-ресурсу по протоколу HTTPS браузер будет обновлять срок действия политики HSTS.

Пример настроенного HTTP-заголовка: Strict-Transport-Security: max-age=31536000. В данном случае срок действия политики HSTS равен одному году.

Соблюдайте осторожность при выборе срока действия HSTS. В случае каких-либо проблем с HTTPS браузер не позволит пользователю взаимодействовать с веб-ресурсом по протоколу HTTP до истечения срока действия HSTS. Рекомендуем начать с небольшого срока действия HSTS (например, 1 час max-age=3600) и увеличить его только после проверки беспрепятственного доступа пользователей.

Профиль TLS

Это настройка определяет список версий протокола TLS и наборы шифров, которые будут поддерживаться серверами доставки для сервисной конфигурации.

Во время установки защищенного соединения сервер доставки автоматически выберет максимальную версию протокола TLS, поддерживаемую конечным пользователем и доступную в профиле TLS. Для изменения профиля TLS обратитесь к инженеру NGENIX.

Виды SSL-сертификатов

Платформа NGENIX поддерживает следующие виды SSL-сертификатов:

  • SSL-сертификат NGENIX. Используется Wildcard SSL-сертификат NGENIX для доменов вида *.cdn.ngenix.net. Актуально, если вы планируете использовать доменное имя NGENIX в ссылках к данным. SSL-сертификат NGENIX используется для сервисных конфигураций, для которых настроен сервис SSL Support и не настроен сервис Hosted SSL.

  • Cобственный SSL-сертификат. Используется SSL-сертификат, который загружается на Платформу через клиентский портал NGENIX Multidesk. Актуально, если вы планируете использовать собственное доменное имя в ссылках к данным, например, при доставке веб-ресурса целиком через Платформу NGENIX. Для использования собственного SSL-сертификата для сервисной конфигураций необходимо его загрузить в настройках сервиса Hosted SSL.

  • SSL-сертификат Let's Encrypt. В этом случае для вашего доменного имени будет автоматически выпущен SSL-сертификат Let's Encrypt, который будет обновляться каждые два месяца. Актуально, если вы планируете использовать собственное доменное имя и не хотите сами заниматься выпуском и обновлением SSL-сертификата. Для использования собственного SSL-сертификата Let's Encrypt для сервисной конфигурации необходимо настроить его автоматический выпуск в настройках сервиса Hosted SSL.

  • Самоподписанный SSL-сертификат. В этом случае вы самостоятельно выпускаете себе SSL-сертификат. Используйте самоподписанный SSL-сертификат с осторожностью и только в том случае, если требуется реализовать безопасный канал для обмена информацией между сервером и клиентами, и при этом не требуется обеспечивать проверку подлинности владельца. Например: при разработке или тестировании веб-сайта, когда безопасность не является основным требованием. Также они могут использоваться внутри ограниченных сетей или для локальных проектов, где доверенность корневого сертификата (СА) не является обязательной.

Поддерживаемые алгоритмы шифрования

Платформа NGENIX поддерживает следующие алгоритмы шифрования для SSL-сертификатов:

  • RSA - асимметричный алгоритм шифрования, изобретен в 1978 году и назван в честь математиков, которые его изобрели: RSA (Rivest–Shamir–Adleman).

  • ECDSA - алгоритм шифрования с открытым ключом, основанный на базе криптографии на эллиптических кривых.

  • ГОСТ - подразумевают использование при генерации SSL-сертификата российских криптографических алгоритмов шифрования.

Last updated