Безопасность данных пользователя стала одним из главных трендов интернета за последние несколько лет. Google внес наличие SSL-сертификата в число факторов ранжирования. Сегодня не только Google Chrome, но и другие популярные браузеры рунета помечают сайты, работающие по протоколу HTTP как ненадежные. Что такое SSL-сертификат? Нужно ли всем сайтам переходить на HTTPS?
Что такое SSL-сертификат
SSL-сертификат – это электронная подпись сайта, защищающая данные пользователя и идентифицирующая сервер в сети. Он представляет собой электронный документ с полной юридической информацией о домене и его владельце.
рис. 1 Вот так примерно выглядит код SSL-сертификата.
Сертификат обеспечивает передачу данных по протоколу HTTPS. Протокол создает безопасное соединение, шифруя данные и защищая их от попадания к третьим лицам – недобросовестному провайдеру, злоумышленникам, администраторам сети и другим.
При открытом соединении по протоколу HTTP конфиденциальные данные могут перехватить. Именно так в руки мошенников утекает информация о банковских картах, пароли от личных кабинетов и аккаунтов, переписки и истории посещений. Провайдер сможет разместить на незащищенном сайте свою рекламу.
Безопасное соединение не только уберегает данные от кражи, но и шифрует их. Даже в случае их утечки злоумышленники не смогут расшифровать и воспользоваться ими без ключа, известного только владельцу домена.
В случае потери ключа владельцем его нельзя будет восстановить. Придется перевыпускать сертификат.
Как работает HTTPS
HTTPS – это протокол защищенной передачи данных по технологии шифрования TLS/SSL. Был внесен в стандарты интернета в 2000 году. Получил широкую огласку только в 2014 году, когда Google подтвердил его учет при ранжировании. С 2018 года Chrome начал выводить предупреждение о ненадежности сайта посетителям ресурсов на HTTP. Остальные популярные браузеры присоединились к такой политике.
Как происходит защита данных по HTTPS при посещении сайта:
- браузер посылает запрос;
- сайт в ответе отправляет копию сертификата;
- браузер проверяет подлинность сертификата по запросу в центр сертификации;
- браузер и сервер идентифицируют друг друга и устанавливают защищенное соединение с помощью ассиметричного шифрования (открытый и закрытый ключи, закрытый известен только ладельцу домена);
- создается секретный симметричный ключ для шифрования соединения.
рис. 2 Так выглядит сайт без SSL-сертификата в популярных браузерах
рис. 3 Так выглядит сайт с SSL-сертификатом в популярных браузерах
Безопасность обеспечивается идентификацией сайта и ключом. По успешной идентификации пользователь узнает, что зашел на оригинальный ресурс, а не фишинговую копию.
Симметричный ключ же является уникальным и одноразовым. Он генерируется для каждого нового соединения. Его нельзя перехватить и расшифровать. Стандартный ключ состоит из более 100 цифр и символов. Даже если злоумышленник перехватит данные, он не сможет их расшифровать без ключа.
Для чего нужен SSL-сертификат
Сертификат обязательно нужен сайтам, работающим с конфиденциальными данными пользователей. Интернет-магазины, банки, платежные сервисы, социальные сети, форумы, различные коммерческие онлайн-проекты – только HTTPS. Однако и владельцам других сайтов тоже стоит задуматься над покупкой SSL-сертификата.
Основные аргументы в пользу установки сертификата:
- Безопасность;
Каждое незащищенное соединение – потенциальная утечка данных. Злоумышленник сможет перехватить не только банковские карты и пароли, но и историю посещений, накапливая статистку поведения и раскрывая личности пользователей.
Данные можно не только украсть, но и подменить. Ничего не подозревающий посетитель увидит рекламу запрещенных товаров, зайдет на фишинговую страницу или перейдет по вирусной ссылке. HTTPS уберегает пользователя от таких действий.
- Тренды;
Google и другие IT-корпорации, связанные с веб-технологиями, прямо или косвенно подталкивают владельцев сайтов переходить на защищенный протокол. Они уверены, что за ним – будущее всемирной паутины.
-
Технологии;
Так называемые прогрессивные веб-приложения функционируют только на HTTPS. В браузере компьютера они открываются как обычные сайты, а с мобильных платформ работают как мобильные приложения. Они обеспечивают быструю загрузку, безопасность данных и частичную работу без соединения с интернетом.
-
Поисковая оптимизация;
С 2014 года Google официально включил наличие SSL-сертификата в список факторов ранжирования. Сайты на HTTP при прочих равных условиях занимают меньшую позицию в поисковой выдаче. Нельзя не следовать рекомендациям поисковой системы номер один в мире.
- Лояльность пользователей;
Если у ресурса есть сертификат, то браузер отмечает сайт как надежный. В адресной строке слева от URL помещается значок закрытого замочка.
В Chrome названия сайтов у компаний, получивших SSL-сертификат, выделяются зеленым цветом. У разных браузеров свои способы указать на безопасность. Так пользователь узнает, что сайт действительно принадлежит кампании, и без опасений вводит данные и расплачивается картой.
Все сайты на HTTP отмечаются Chrome как ненадежные, о чем выводится предупреждение. Такие окна отпугивают посетителей, увеличивая число отказов.
- Законодательство;
Федеральный закон №152 «О персональных данных» предъявляет к ресурсам, собирающим данные пользователей, ряд требований. Одно из них – обязательное наличие SSL-сертификата.
Почему не все сайты перешли на HTTPS
Несмотря на очевидную перспективу безопасного соединения и давление поисковых систем, немалая часть сайтов се еще использует HTTP. Это объясняется несколькими причинами:
- не все страницы собирают критичные для пользователя данные;
- в системе ранжирования Google более 200 факторов, HTTPS – не самый важный из них;
- после установки сертификата временно понижаются позиции в выдаче;
- увеличивается нагрузка на хостинг;
- SSL-сертификат нужно покупать и продлевать, что нецелесообразно для некоторых проектов.
Такие аргументы подойдут далеко не всем сайтам. Если ресурс так или иначе взаимодействует с личными данными посетителей, то установка сертификата обязательна.
Какие SSL-сертификаты бывают
Есть три вида сертификатов. Они отличаются по принадлежности сайта тому или иному лицу, количеству сайтов и доменов, степени проверки и отображению в браузере. Все сертификаты даются на определенное время, максимум – 3 года. Далее их необходимо продлевать.
1) Сертификат DV (domain validation)
Подтверждает права на домен. Устанавливать его могут как физические, так и юридические лица. Если сайтом владеет физическое лицо, то можно устанавливать только сертификат DV.
Как и другие сертификаты, он обеспечивает безопасное соединение по протоколу HTTPS. Рядом с адресом сайта появляется замочек. Сертификат DV выпускается практически мгновенно.
Подойдет ресурсам, не собирающим личные или платежные данные – информационным сайтам (сайт-визитка).
2) Сертификат OV (organization validation)
Подтверждает принадлежность домена определенной организации. Выдается только юридическим лицам с подтвержденным номером телефона.
Сертификат создает защищенную передачу данных и показывает пользователям, что компания реальна, и ей действительно принадлежит данный сайт. Это увеличивает доверие посетителей.
Информацию о компании можно посмотреть, щелкнув по замочку в адресной строке. Сертификат OV обычно делается в течение 3 дней.
Предназначен для ресурсов, не являющихся приоритетной целью для мошенников, но работающих с личными данными и платежами. Например, интернет-магазины, форумы, благотворительные организации.
3) Сертификат EV (extended validation)
Подтверждает не только принадлежность домена организации, но и саму деятельность компании. Для получения такого сертификата компания проходит полную проверку, включая налоговую и коммерческую сферы.
Сертификат EV создает защищенное соединение и показывает, что и сайту, и компании можно доверять. Появляется зеленая адресная строка с названием компании и замочком. Посетители без опасений вводят личные данные и совершают операции на крупные суммы.
Сертификат получают серьезные компании – банки, сетевые гипермаркеты, платежные системы, СМИ. Стандартный срок – от 5 дней до нескольких недель.
рис.4 Сертификаты с расширенной проверкой.
Где получить SSL-сертификат
Сертификаты выпускают доверенные удостоверяющие центры. Распространением могут заниматься их партнеры. Центры подтверждают подлинность ключей шифрования на весь срок их действия. Они занимаются проверкой организаций при заказе сертификатов OV и EV и заверяют подлинность ресурса.
Есть множество мировых удостоверяющих центров и их партнеров в России. Так как все сертификаты создаются по единому стандарту, при выборе центра имеет смысл ориентироваться на цену. Она может отличаться в несколько раз для аналогичных продуктов. В некоторых центрах DV выдается бесплатно, но за продление придется заплатить. Список доверенных центров можно увидеть в браузерах от Яндекса и Google в дополнительных настройках.
Крупным компаниям важно, чтобы центр, в котором они получают сертификат, находился в топе и был авторитетным. Такое подход тоже оправдан. Однако на практике были случаи, когда центры с именитыми именами утрачивали доверие и переставали существовать.
Чтобы получить сертификат, необходимо обратиться в сам центр или к посреднику. После выбора сертификата нужно ввести требуемые на сайте данные, затем проследовать по ссылке в ответном письме. По окончании проверки центр пришлет файлы и инструкции. При возникновении сложностей при установке лучше обратиться к специалистам.
Заключение
SSL-сертификат обеспечивает безопасное соединение пользователя с сайтом по протоколу HTTPS. Сертификаты бывают трех видов. Все они выдаются доверенными удостоверяющими центрами.
Защищенные сайты в адресной строке браузера помечены знаком замочка. Его наличие означает, что данные пользователя передаются в зашифрованном виде и что права на домен подтверждены. Если по щелчку на замочек выводится информация о компании, то ее права на ресурс подтверждены. Если в адресной строке название организации имеет зеленый цвет, то и сайт, и компания проверены, и им можно доверять.
SSL-сертификат нужен, если:
- сайт собирает персональные данные;
- компания хочет завоевать доверие клиентов;
- ресурс может стать объектом атаки мошенников;
- сайт претендует на топовые позиции в выдаче.
Остались вопросы – задайте их нам по телефону или напишите на нашу почту. Проконсультируем, починим, создадим, продвинем, оптимизируем, внедрим. Будем рады помочь.
Если Вам понравилась статья - ставим лайк и делимся ей в социальных сетях. Хотите получать больше полезных статей? Подпишитесь на рассылку. Раз в неделю пишем коротко про интернет-маркетинг.