Сертификат HTTPS

@Hrethgir · Регистрация: 25.01.2012

Студворк — интернет-сервис помощи студентам

Не совсем понятна необходимость сертификата для сайта, если так или иначе шифрованием данных занимается сервер хостера.
Не могу никак понять какую функциональность добавляет сам сертификат и как он это делает? Если хостер хочет просто снять какую-то с себя ответственность, то это ещё ясно. Но как допустим владелец сайта получивший сертификат может отвечать за всех пользователей размещающих там контент?

Но основная непонятка в том, что протокол обеспечивается непосредственно сервером хостера, и какую роль тут играет сертификат владельца сайта - не ясно вообще.

@N3utr1no · 25.12.2019, 12:14

Тут коротко и не объяснишь. Протокол HTTPS требует, чтобы клиент (т.е. посетитель сайта) и сервер, на котором расположен сайт (т.е. сервер Вашего хостера) имели сертификаты, которыми они должны обменяться при установлении защищенного соединения. Тут Ваша логика работает. НО: смысл защищенного соединения не просто в том, чтобы применить шифрование. Нужно понимать, что шифрование требуется для того, чтобы расположенный где-то на пути соединения между клиентом и сервером злоумышленник не мог прочитать и/или изменить данные. Здесь просто шифрования уже недостаточно. Представим себе, что для соединения не требуется сертификат конкретного сайта. Тогда злоумышленник сможет ответить клиенту, что он на самом деле и есть сервер, на котором расположен Ваш сайт. При этом клиент будет отправлять данные злоумышленнику, а тот будет прикидываться клиентом и осуществлять взаимодействие с Вашим реальным сайтом. Говоря техническим языком, злоумышленник выступит в роли SSL/TLS терминатора. Очевидно, при этом злоумышленник сможет и читать все, что клиент посылает серверу и обратно, а также менять эти данные.

Именно для того, чтобы предотвратить такой сценарий протокол HTTPS осуществляет проверку подлинности сертификата. Если говорить упрощенно, то делается это следующим образом. Существует некоторое количество безусловно доверенных центров сертификации. Вы, как владелец сайта, должны (зачастую с помощью хостера) сгенерировать запрос сертификата и отправить его в такой центр. Центр проверит, что Вы действительно являетесь владельцем сайта, и при успешной проверки выдаст Вам сертификат на Ваш сайт со своей цифровой подписью. Ваш сертификат связан с создаваемым одновременно при создании запроса на получение сертификата приватным ключом. Этот ключ Вы (Ваш хостер) храните на сервере, на котором хостится Ваш сайт и соответствующим образом подключается в конфиге версервера. Без приватного ключа злоумышленник не сможет воспользоваться (присвоить себе) сертификат Вашего сайта. При установлении защищенного соединения с сервером клиент проверяет, что высланный сервером сертификат подписан одним из указанных выше (и известных всем стандартным браузерам) центров сертификации. Если цифровая подпись верна, то браузер клиента высылает на сервер данные, зашифрованные с использованием публичной части ключа, находящейся в теле сертификата. Без приватного ключа злоумышленник не сможет расшифровать запрос клиента и, соответственно, не сможет дать на него правильный ответ. Таким образом гарантируется, что клиент соединится только с нужным сервером.

Собственно, для того, чтобы злоумышленник не смог сам сгенерировать "липовый" сертификат сайта, здесь и требуется непосредственное участие владельца сайта. Центры сертификации поставят свою подпись только на сертификат, создатель которого сможет доказать, что он реально владеет сайтом. В данном случае, это - Вы.

Иногда хостер сам может все это сделать - в случае, если Вы регистрировали домен через этого хостера и используете его сервера доменных имен. В противном случае без Вашего участия не обойтись. Если подумать, в этом есть смысл. Представьте себе, что злоумышленник завладеет доступом к одному из хостеров (не обязательно Вашему). Что тогда помешает ему получить цифровую подпись от центра сертификации, если центр не будет пытаться проверять право на владение сайтом?

Надеюсь, это достаточно понятно

Dmitry · 25.12.2019, 12:23

Сообщение от Hretgir

Не совсем понятна необходимость сертификата для сайта

защита от MITM

@Hrethgir · 25.12.2019, 19:17 **[ТС]**

Сообщение от N3utr1no

Надеюсь, это достаточно понятно

Дочитал, спасибо всё понятно.

@Black Fregat · 25.12.2019, 19:25

Сообщение от Hretgir

получив ответ с сертификатом, проверяет его в сертификационном центре

Проверяется цифровая подпись сертификационного центра, входящая в состав сертификата

@Hrethgir · 25.12.2019, 19:32 **[ТС]**

Сообщение от Black Fregat

Проверяется цифровая подпись сертификационного центра, входящая в состав сертификата

спасибо за уточнение.

Новые блоги и статьи Все статьи Все блоги /
сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и источниками (напряжения, ЭДС и тока). Найти токи и напряжения во всех элементах. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и. . .

@Hrethgir 421 / 143 / 3 Регистрация: 25.01.2012 Сообщений: 6,206 Записей в блоге: 176

	Сертификат HTTPS 23.12.2019, 21:08. Показов 2051. Ответов 5 Метки нет (Все метки) Не совсем понятна необходимость сертификата для сайта, если так или иначе шифрованием данных занимается сервер хостера. Не могу никак понять какую функциональность добавляет сам сертификат и как он это делает? Если хостер хочет просто снять какую-то с себя ответственность, то это ещё ясно. Но как допустим владелец сайта получивший сертификат может отвечать за всех пользователей размещающих там контент? Но основная непонятка в том, что протокол обеспечивается непосредственно сервером хостера, и какую роль тут играет сертификат владельца сайта - не ясно вообще. 0

@N3utr1no 16 / 12 / 4 Регистрация: 12.10.2019 Сообщений: 35
	25.12.2019, 12:14
	Сообщение было отмечено Hretgir как решение Решение Тут коротко и не объяснишь. Протокол HTTPS требует, чтобы клиент (т.е. посетитель сайта) и сервер, на котором расположен сайт (т.е. сервер Вашего хостера) имели сертификаты, которыми они должны обменяться при установлении защищенного соединения. Тут Ваша логика работает. НО: смысл защищенного соединения не просто в том, чтобы применить шифрование. Нужно понимать, что шифрование требуется для того, чтобы расположенный где-то на пути соединения между клиентом и сервером злоумышленник не мог прочитать и/или изменить данные. Здесь просто шифрования уже недостаточно. Представим себе, что для соединения не требуется сертификат конкретного сайта. Тогда злоумышленник сможет ответить клиенту, что он на самом деле и есть сервер, на котором расположен Ваш сайт. При этом клиент будет отправлять данные злоумышленнику, а тот будет прикидываться клиентом и осуществлять взаимодействие с Вашим реальным сайтом. Говоря техническим языком, злоумышленник выступит в роли SSL/TLS терминатора. Очевидно, при этом злоумышленник сможет и читать все, что клиент посылает серверу и обратно, а также менять эти данные. Именно для того, чтобы предотвратить такой сценарий протокол HTTPS осуществляет проверку подлинности сертификата. Если говорить упрощенно, то делается это следующим образом. Существует некоторое количество безусловно доверенных центров сертификации. Вы, как владелец сайта, должны (зачастую с помощью хостера) сгенерировать запрос сертификата и отправить его в такой центр. Центр проверит, что Вы действительно являетесь владельцем сайта, и при успешной проверки выдаст Вам сертификат на Ваш сайт со своей цифровой подписью. Ваш сертификат связан с создаваемым одновременно при создании запроса на получение сертификата приватным ключом. Этот ключ Вы (Ваш хостер) храните на сервере, на котором хостится Ваш сайт и соответствующим образом подключается в конфиге версервера. Без приватного ключа злоумышленник не сможет воспользоваться (присвоить себе) сертификат Вашего сайта. При установлении защищенного соединения с сервером клиент проверяет, что высланный сервером сертификат подписан одним из указанных выше (и известных всем стандартным браузерам) центров сертификации. Если цифровая подпись верна, то браузер клиента высылает на сервер данные, зашифрованные с использованием публичной части ключа, находящейся в теле сертификата. Без приватного ключа злоумышленник не сможет расшифровать запрос клиента и, соответственно, не сможет дать на него правильный ответ. Таким образом гарантируется, что клиент соединится только с нужным сервером. Собственно, для того, чтобы злоумышленник не смог сам сгенерировать "липовый" сертификат сайта, здесь и требуется непосредственное участие владельца сайта. Центры сертификации поставят свою подпись только на сертификат, создатель которого сможет доказать, что он реально владеет сайтом. В данном случае, это - Вы. Иногда хостер сам может все это сделать - в случае, если Вы регистрировали домен через этого хостера и используете его сервера доменных имен. В противном случае без Вашего участия не обойтись. Если подумать, в этом есть смысл. Представьте себе, что злоумышленник завладеет доступом к одному из хостеров (не обязательно Вашему). Что тогда помешает ему получить цифровую подпись от центра сертификации, если центр не будет пытаться проверять право на владение сайтом? Надеюсь, это достаточно понятно 1

Сертификат HTTPS

Решение