Чим відрізняється захищене з'єднання від незахищеного - знає досить велика кількість людей. А ось далі досить часто починається темний ліс: звідки береться сертифікат, ніж один сертифікат відрізняється від іншого, в чому різниця між SSL і TLS і хто це взагалі такі, яке відношення сертифікат має до безпеки і так далі.
В рамках цього поста ми спробуємо відповісти хоча б на частину цих та подібних питань, а почнемо все-таки здалеку - з того, що означають HTTP і HTTPS в адресному рядку. 
Коли хто-небудь з нас заходить на який-небудь сайт в Інтернеті, просто читає його або вводить на ньому якісь дані, відбувається обмін інформацією між нашим комп'ютером і сервером, на якому розміщений сайт. Відбувається він у відповідності з протоколом передачі даних - набором угод, що визначають порядок обміну інформацією між різними програмами.
Протокол, який використовується для передачі даних в мережі та отримання інформації з сайтів, називається HTTP (англ. HyperText Transfer Protocol - протокол передачі гіпертексту). У нього існує розширення, яке називається HTTPS (англ. HyperText Transfer Protocol Secure - безпечний протокол передачі гіпертексту). Його суть - в тому, що розширення дозволяє передавати інформацію між клієнтом і сервером в зашифрованому вигляді. Тобто інформація, якою обмінюються клієнт і сервер, доступна тільки цьому клієнту і цього сервера, а не третім особам (наприклад, провайдера або адміністратора Wi-Fi-мережі).
Шифрування даних, які передаються від клієнта до сервера, відбувається, в свою чергу, відповідно до свого, криптографічним протоколом. Спочатку для цього використовувався протокол під назвою SSL (англ. Secure Sockets). У нього було кілька версій, але всі вони в якийсь момент піддавалися критиці з-за наявності проблем з безпекою. В результаті була випущена та версія, яка використовується зараз - її перейменували в TLS (англ. Transport Layer Security). Однак назва SSL прижилося краще, і нову версію протоколу до сих пір часто називають так.
Для того щоб використовувати шифрування, у сайту повинен бути спеціальний сертифікат, або, як він ще називається, цифровий підпис, який підтверджує, що механізм шифрування дійсно надійний і відповідає протоколу. Індикаторами того, що у сайту такий сертифікат є, є, крім букви «S» в HTTPS, зелений замочок і напис «Захищено» або назва компанії в адресному рядку браузера.
Як сайту отримати SSL-сертифікат
Існує два способи. Спосіб перший - веб-майстер може видати і підписати сертифікат самостійно, згенерувавши криптографічні ключі. Такий сертифікат буде називатися самоподпісанного (англ. Self-Signed). У цьому випадку з'єднання з сайтом також буде зашифровано, але при спробі зайти на сайт з таким сертифікатом користувачеві буде показано попередження, що сертифікат - недовірених (непідтверджений центром або застарілий). Зазвичай у вікні браузер показує перекреслений замочок і виділені червоним букви HTTPS, або виділяє червоним і перекреслює букви HTTPS в пошуковому рядку - залежить від браузера.
Другий спосіб (і єдиний правильний) - придбати сертифікат, підписаний будь-яким з довірених центрів сертифікації (Certificate authority). Сертифікаційні центри вивчають документи власника сайту і його право на володіння доменом - адже, по ідеї, наявність сертифіката має також гарантувати користувачеві, що ресурс, з яким він обмінюється інформацією, належить реальної легітимною компанії, зареєстрованої в певному регіоні.
Сертифікаційних центрів існує досить багато, але авторитетні серед них можна перерахувати по пальцях. Від репутації центру залежить те, наскільки йому довірятимуть компанії-розробники браузерів і як вони будуть відображати сайт з таким сертифікатом. Від виду сертифіката, терміну його дії та репутації центру і залежить ціна на сертифікат.
Якими бувають SSL-сертифікати
Сертифікати, підписані центрами, діляться на кілька видів - залежно від рівня надійності, того, хто і як їх може отримати і, відповідно, ціни.
Перший називається DV (англ. Domain Validation - перевірка домену). Для його отримання фізичній або юридичній особі потрібно довести, що вони мають якийсь контроль над доменом, для якого купується сертифікат. Простіше кажучи, що вони або володіють доменом, або адмініструють сайт на ньому. Цей сертифікат дозволяє встановити захищене з'єднання, але в ньому немає даних про організацію, якій він виданий, а для його оформлення не потрібно ніяких документів. Процес отримання такого сертифіката зазвичай займає кілька хвилин.
Сертифікати більш високого рівня - OV (англ. Organization Validation - перевірка організації). Такі сертифікати видаються тільки юридичним особам, і від них потрібні документи, що підтверджують існування організації, - так підтверджується не тільки безпеку з'єднання з доменом, але і те, що домен належить організації, зазначеної в електронному сертифікаті. Оформлення може займати кілька днів, поки перевіряються всі документи. Наявність DV або OV-сертифікату у сайту в браузері відображається сірим або зеленим замочком, словом Secure і буквами HTTPS в адресному рядку.
І ще є EV (англ. Extended Validation - розширена перевірка) - сертифікати найвищого рівня. Такий сертифікат також можуть отримати тільки юридичні особи, які надали всі необхідні документи, а відмітною особливістю є те, що назва і локація організації відображаються зеленої написом в адресному рядку після зеленого замочка. Такі сертифікати користуються найбільшою довірою у браузерів, але вони і найдорожче. В основному їх купують великі компанії. Навіть банки часто купують їх в основному не для основного сайту, а окремо для домену свого сервісу онлайн-платежів.
Інформацію про сертифікат (ким виданий, коли і скільки діє) можна подивитись, натиснувши на назву організації або напис Secure - правда, це можна зробити не у всіх браузерах.
Що може бути не так з сертифікатами
Один з принципів, за якими основні розробники браузерів, такі як Google і Mozilla, вибудовують свою політику - безпека Інтернету і призначених для користувача даних в ньому. У зв'язку з цим восени 2017 року Google анонсувала , Що відтепер буде маркувати всі сторінки, що використовують HTTP-з'єднання, як «незахищені», і, по суті, блокувати користувачам доступ до них.
Фактично, ця умова змусило всі сайти на HTTP в прискореному темпі купувати надійні сертифікати. Відповідно, попит на послуги сертифікаційних центрів виріс в рази, а час на перевірку документів останнім, природно, хотілося б скоротити, щоб видати якомога більше цих самих сертифікатів. Тому багато хто з центрів стали проводити перевірку набагато менш ретельно.
Результатом цього стає те, що надійні сертифікати отримують далеко не самі надійні сайти. так, Google провела розслідування , За результатами якого з'ясувалося, що один з найбільших і авторитетних центрів видав понад 30 тис. Сертифікатів, не здійснивши при цьому належної перевірки. Наслідки для центру не райдужні: Google заявила, що перестане вважати довіреними всі сертифікати, видані центром, поки той повністю не переробить всю систему перевірки і не встановить нові стандарти. Mozilla також планує посилити верифікацію сертифікатів в своїх браузерах і тим самим вплинути на вимоги до їх видачі.
Проте поки повністю впевненим у надійності сертифіката і отримала його організації бути не можна. Навіть якщо це EV-сертифікат, зовні який відповідає всім вимогам безпеки, не варто довіряти тому, що написано зеленим шрифтом, беззастережно.
З EV-сертифікатами все навіть особливо погано: зловмисник може зареєструвати компанію з назвою, підозріло схожим на назву якоїсь відомої компанії і отримати для свого сайту EV-сертифікат. В цьому випадку зеленими буквами в адресному рядку буде написано як раз-таки назва компанії (дуже схоже на назву іншої відомої компанії), що дозволить зловмисникові підвищити довіру користувача до фішингових сайтів. Тому ніколи не забувайте про обережність і дотриманні правил при використанні будь-який веб-сторінки.