bv

Для чего нужен SSL-сертификат, и как его получить

Для чего нужен SSL-сертификат, и как его получить

Безопасность данных пользователя стала одним из главных трендов интернета за последние несколько лет. Google внес наличие SSL-сертификата в число факторов ранжирования. Сегодня не только Google Chrome, но и другие популярные браузеры рунета помечают сайты, работающие по протоколу HTTP как ненадежные. Что такое SSL-сертификат? Нужно ли всем сайтам переходить на HTTPS?

 

Что такое SSL-сертификат

SSL-сертификат – это электронная подпись сайта, защищающая данные пользователя и идентифицирующая сервер в сети. Он представляет собой электронный документ с полной юридической информацией о домене и его владельце.

ssl-сертификат

рис. 1 Вот так примерно выглядит код SSL-сертификата.

 

Сертификат обеспечивает передачу данных по протоколу HTTPS. Протокол создает безопасное соединение, шифруя данные и защищая их от попадания к третьим лицам – недобросовестному провайдеру, злоумышленникам, администраторам сети и другим.

При открытом соединении по протоколу HTTP конфиденциальные данные могут перехватить. Именно так в руки мошенников утекает информация о банковских картах, пароли от личных кабинетов и аккаунтов, переписки и истории посещений. Провайдер сможет разместить на незащищенном сайте свою рекламу.

Безопасное соединение не только уберегает данные от кражи, но и шифрует их. Даже в случае их утечки злоумышленники не смогут расшифровать и воспользоваться ими без ключа, известного только владельцу домена.

 

В случае потери ключа владельцем его нельзя будет восстановить. Придется перевыпускать сертификат.

 

Как работает HTTPS

HTTPS – это протокол защищенной передачи данных по технологии шифрования TLS/SSL. Был внесен в стандарты интернета в 2000 году. Получил широкую огласку только в 2014 году, когда Google подтвердил его учет при ранжировании. С 2018 года Chrome начал выводить предупреждение о ненадежности сайта посетителям ресурсов на HTTP. Остальные популярные браузеры присоединились к такой политике.

Как происходит защита данных по HTTPS при посещении сайта:

  •  браузер посылает запрос;
  •  сайт в ответе отправляет копию сертификата;
  •  браузер проверяет подлинность сертификата по запросу в центр сертификации;
  •  браузер и сервер идентифицируют друг друга и устанавливают защищенное соединение с помощью ассиметричного шифрования (открытый и закрытый ключи, закрытый известен только ладельцу домена);
  •  создается секретный симметричный ключ для шифрования соединения.

 

Домен без ssl-сертификата

рис. 2  Так выглядит сайт без SSL-сертификата в популярных браузерах

 

Домен с ssl-сертификатом

рис. 3  Так выглядит сайт с SSL-сертификатом в популярных браузерах

 

Безопасность обеспечивается идентификацией сайта и ключом. По успешной идентификации пользователь узнает, что зашел на оригинальный ресурс, а не фишинговую копию.

Симметричный ключ же является уникальным и одноразовым. Он генерируется для каждого нового соединения. Его нельзя перехватить и расшифровать. Стандартный ключ состоит из более 100 цифр и символов. Даже если злоумышленник перехватит данные, он не сможет их расшифровать без ключа.

 

Для чего нужен SSL-сертификат

Сертификат обязательно нужен сайтам, работающим с конфиденциальными данными пользователей. Интернет-магазины, банки, платежные сервисы, социальные сети, форумы, различные коммерческие онлайн-проекты – только HTTPS. Однако и владельцам других сайтов тоже стоит задуматься над покупкой SSL-сертификата.

 

 

Основные аргументы в пользу установки сертификата:

  •  Безопасность;

Каждое незащищенное соединение – потенциальная утечка данных. Злоумышленник сможет перехватить не только банковские карты и пароли, но и историю посещений, накапливая статистку поведения и раскрывая личности пользователей.

Данные можно не только украсть, но и подменить. Ничего не подозревающий посетитель увидит рекламу запрещенных товаров, зайдет на фишинговую страницу или перейдет по вирусной ссылке. HTTPS уберегает пользователя от таких действий.

  •  Тренды;

Google и другие IT-корпорации, связанные с веб-технологиями, прямо или косвенно подталкивают владельцев сайтов переходить на защищенный протокол. Они уверены, что за ним – будущее всемирной паутины.

  •  Технологии;

Так называемые прогрессивные веб-приложения функционируют только на HTTPS. В браузере компьютера они открываются как обычные сайты, а с мобильных платформ работают как мобильные приложения. Они обеспечивают быструю загрузку, безопасность данных и частичную работу без соединения с интернетом.

  •  Поисковая оптимизация;

С 2014 года Google официально включил наличие SSL-сертификата в список факторов ранжирования. Сайты на HTTP при прочих равных условиях занимают меньшую позицию в поисковой выдаче. Нельзя не следовать рекомендациям поисковой системы номер один в мире.

  •  Лояльность пользователей;

Если у ресурса есть сертификат, то браузер отмечает сайт как надежный. В адресной строке слева от URL помещается значок закрытого замочка.

В Chrome названия сайтов у компаний, получивших SSL-сертификат, выделяются зеленым цветом. У разных браузеров свои способы указать на безопасность. Так пользователь узнает, что сайт действительно принадлежит кампании, и без опасений вводит данные и расплачивается картой.

Все сайты на HTTP отмечаются Chrome как ненадежные, о чем выводится предупреждение. Такие окна отпугивают посетителей, увеличивая число отказов.

  •  Законодательство;

Федеральный закон №152 «О персональных данных» предъявляет к ресурсам, собирающим данные пользователей, ряд требований. Одно из них – обязательное наличие SSL-сертификата.

 

Почему не все сайты перешли на HTTPS

 

Несмотря на очевидную перспективу безопасного соединения и давление поисковых систем, немалая часть сайтов се еще использует HTTP. Это объясняется несколькими причинами:

  •  не все страницы собирают критичные для пользователя данные;
  •  в системе ранжирования Google более 200 факторов, HTTPS – не самый важный из них;
  •  после установки сертификата временно понижаются позиции в выдаче;
  •  увеличивается нагрузка на хостинг;
  •  SSL-сертификат нужно покупать и продлевать, что нецелесообразно для некоторых проектов.

Такие аргументы подойдут далеко не всем сайтам. Если ресурс так или иначе взаимодействует с личными данными посетителей, то установка сертификата обязательна.

 

Какие SSL-сертификаты бывают

Есть три вида сертификатов. Они отличаются по принадлежности сайта тому или иному лицу, количеству сайтов и доменов, степени проверки и отображению в браузере. Все сертификаты даются на определенное время, максимум – 3 года. Далее их необходимо продлевать.

 

1) Сертификат DV (domain validation)

Подтверждает права на домен. Устанавливать его могут как физические, так и юридические лица. Если сайтом владеет физическое лицо, то можно устанавливать только сертификат DV.

Как и другие сертификаты, он обеспечивает безопасное соединение по протоколу HTTPS. Рядом с адресом сайта появляется замочек. Сертификат DV выпускается практически мгновенно.

Подойдет ресурсам, не собирающим личные или платежные данные – информационным сайтам (сайт-визитка).

 

2) Сертификат OV (organization validation)

Подтверждает принадлежность домена определенной организации. Выдается только юридическим лицам с подтвержденным номером телефона.

Сертификат создает защищенную передачу данных и показывает пользователям, что компания реальна, и ей действительно принадлежит данный сайт. Это увеличивает доверие посетителей.

Информацию о компании можно посмотреть, щелкнув по замочку в адресной строке. Сертификат OV обычно делается в течение 3 дней.

Предназначен для ресурсов, не являющихся приоритетной целью для мошенников, но работающих с личными данными и платежами. Например, интернет-магазины, форумы, благотворительные организации.

 

3) Сертификат EV (extended validation)

Подтверждает не только принадлежность домена организации, но и саму деятельность компании. Для получения такого сертификата компания проходит полную проверку, включая налоговую и коммерческую сферы.

Сертификат EV создает защищенное соединение и показывает, что и сайту, и компании можно доверять. Появляется зеленая адресная строка с названием компании и замочком. Посетители без опасений вводят личные данные и совершают операции на крупные суммы.

Сертификат получают серьезные компании – банки, сетевые гипермаркеты, платежные системы, СМИ. Стандартный срок – от 5 дней до нескольких недель.

рис.4  Сертификаты с расширенной проверкой.

 

Где получить SSL-сертификат

Сертификаты выпускают доверенные удостоверяющие центры. Распространением могут заниматься их партнеры. Центры подтверждают подлинность ключей шифрования на весь срок их действия. Они занимаются проверкой организаций при заказе сертификатов OV и EV и заверяют подлинность ресурса.

 

Есть множество мировых удостоверяющих центров и их партнеров в России. Так как все сертификаты создаются по единому стандарту, при выборе центра имеет смысл ориентироваться на цену. Она может отличаться в несколько раз для аналогичных продуктов. В некоторых центрах DV выдается бесплатно, но за продление придется заплатить. Список доверенных центров можно увидеть в браузерах от Яндекса и Google в дополнительных настройках.

Крупным компаниям важно, чтобы центр, в котором они получают сертификат, находился в топе и был авторитетным. Такое подход тоже оправдан. Однако на практике были случаи, когда центры с именитыми именами утрачивали доверие и переставали существовать.

 

Чтобы получить сертификат, необходимо обратиться в сам центр или к посреднику. После выбора сертификата нужно ввести требуемые на сайте данные, затем проследовать по ссылке в ответном письме. По окончании проверки центр пришлет файлы и инструкции. При возникновении сложностей при установке лучше обратиться к специалистам.

 

Заключение

SSL-сертификат обеспечивает безопасное соединение пользователя с сайтом по протоколу HTTPS. Сертификаты бывают трех видов. Все они выдаются доверенными удостоверяющими центрами.

Защищенные сайты в адресной строке браузера помечены знаком замочка. Его наличие означает, что данные пользователя передаются в зашифрованном виде и что права на домен подтверждены. Если по щелчку на замочек выводится информация о компании, то ее права на ресурс подтверждены. Если в адресной строке название организации имеет зеленый цвет, то и сайт, и компания проверены, и им можно доверять.

 

SSL-сертификат нужен, если:

  •  сайт собирает персональные данные;
  •  компания хочет завоевать доверие клиентов;
  •  ресурс может стать объектом атаки мошенников;
  •  сайт претендует на топовые позиции в выдаче.

 

Остались вопросы – задайте их нам по телефону или напишите на нашу почту. Проконсультируем, починим, создадим, продвинем, оптимизируем, внедрим. Будем рады помочь.

 

Если Вам понравилась статья - ставим лайк и делимся ей в социальных сетях. Хотите получать больше полезных статей? Подпишитесь на рассылку. Раз в неделю пишем коротко про интернет-маркетинг.

 

Подпишитесь на наш блог

Обсудим Ваш проект?

Вам также может понравиться