Означает ssl. Что такое SSL и зачем он нужен

Про SSL-сертификаты уже написано немало статей, однако интерес к ним не спадает, тем более что количество людей, решивших открыть свою сайт в сети, постоянно возрастает. Эта статья - специально для тех, кто хочет узнать, что такое SSL-сертификат, зачем использовать его на своем сайте, какие варианты сертификатов существуют, и о чем обязательно стоит помнить при установке сертификата на свой сайт.

Что такое SSL-сертификат?

SSL-сертификат - это специальный сертификат, который устанавливается на сайт для того, чтобы данные можно было передавать по протоколу SSL. SSL расшифровывается как Secure Sockets Layer, в переводе уровень защищенных сокетов. Этот протокол обеспечивает безопасную передачу данных между сервером, на котором находится сайт, и браузером пользователя.

SSL-сертификаты содержат данные о физических лицах или организациях, для сайтов которых они были выданы.

Наличие SSL-сертификата на сайте легко проверить, просто посмотрев на строку с адресом сайта в браузере. В адресной строке вы (в зависимости от выбранного владельцем сайта сертификата) вы увидите:

• значок закрытого замка, при нажатии на который вы увидите фразу «Безопасное соединение», а также сможете получить более подробную информацию об установленном сертификате;
• либо рядом с значком замочка будет также указано название компании-собственника сайта.

Если же на сайте SSL-сертификат не установлен, то перед адресом будет написано «Не защищено».

Разница между HTTP и HTTPS

HTTP - это протокол прикладного уровня, который используется для передачи данных в сети. Этот протокол дает возможность передавать запросы от клиента к серверу и получать от сервера ответы на эти запросы.

Что касается HTTPS, то это не другой отдельный протокол, а расширение протокола HTTP. Это можно понять уже по расшифровке аббревиатур:

Если по HTTP данные передаются в незащищенном виде, то HTTPS обеспечивает их криптографической защитой, то есть уберегает данные от несанкционированного доступа.

Почему важно, чтобы на сайте использовался HTTPS? Потому что никто не хочет, чтобы его данные авторизации (если речь о социальных сетях) или платежные данные (если речь об интернет-магазинах) оказалась в руках злоумышленников.

Для чего нужен SSL-сертификат для сайта?

Как уже было сказано выше, очень важно, чтобы данные, которые передаются между пользовательским компьютером и сайтом, не попали в третьи руки. В первую очередь речь идет о данных, связанных с финансовыми операциями: денежных транзакциях, банковских картах и так далее.

Так что ответ на вопрос «Для чего нужен SSL-сертификат для сайта» - для того, чтобы обеспечить безопасное соединение между браузером клиента и сервером, и используется SSL-сертификат.

Но перед дальнейшим разговором о сертификатах необходимо сказать несколько слов о том, что такое SSL.

Как уже было сказано, SSL расшифровывается как “Secure Sockets Layer” (уровень защищенных сокетов). Именно этот протокол позволяет зашифровать данные, передающиеся между компьютером пользователя и веб-сайтом. И для работы именно этого протокола на сайте должен быть установлен SSL-сертификат.

То есть, если подвести итог, сертификат необходим для безопасной передачи данных между компьютером пользователя и сервером, на котором расположен сайт.

Следующий вопрос, который может у вас возникнуть, - а так ли необходимо устанавливать SSL-сертификат на свой сайт? Ответ один - да, это абсолютно необходимый в данный момент элемент сайта.

Раньше SSL-сертификаты чаще всего использовались на сайтах, связанных с электронной коммерцией (например, в интернет-магазинах), и других ресурсах, где используются конфиденциальные данные пользователей. Но сейчас наступило время, когда сетевой безопасности уделяется особое внимание, поэтому любой сайт, который не имеет SSL-сертификата, воспринимается как потенциально опасный для пользователей.

Разновидности SSL-сертификатов

SSL-сертификаты базово можно разделить по двум критериям - по компаниям (проектам), которые их выпускают, и по типу самих сертификатов.

Начнем с первого критерия. Существует несколько компаний, которые выпускают сертификаты, мы остановимся на одних из самых известных на данный момент - это Sectigo и Let’s Encrypt.

Let’s Encrypt завоевал популярность за счет своего бесплатного распространения. А Sectigo выпускает несколько видов платных SSL-сертификатов. На примере сертификатов от Sectigo мы рассмотрим, какие виды бывают у SSL-сертификатов:

• Sectigo Positive SSL - это самый базовый и недорогой вариант SSL-сертификата. Поэтому он является и самым распространенным. К тому же этот сертификат наиболее легко оформить с точки зрения документов - пользователю нужно лишь подтвердить владение доменом, другие документы предоставлять не требуется. По времени процесс оформления сертификата тоже довольно быстрый - если вы захотите установить Sectigo Positive SSL, вам понадобится всего несколько часов.
• Sectigo Postitive Wildcard SSL - сертификат, который можно установить не только на сам домен, но и все поддомены этого адреса. Это намного выгоднее и удобнее, чем покупать для каждого поддомена отдельный сертификат.
• Sectigo EV SSL - сертификат с расширенной проверкой. От предыдущих вариантов отличается тем, что при его заказе происходит проверка и подтверждение владельца сайта (компании или юридического лица), этим занимаются центры сертификации, и поэтому на выпуск этого сертификата требуется больше времени - несколько дней. Именно такой вид сертификата стоит на тех сайтах, где вы видите название компании перед адресом сайта.

Можно ли взломать сайт с SSL-сертификатом?

Направлены на безопасную передачу данных, они никак не влияют на защиту самого сайта от взлома. Что дает SSL-сертификат для сайта - информация, которая поступает от пользователя на сайт и обратно, будет защищена, но над защищенностью самого сайта нужно работать отдельно. О защите сайта можно прочитать в статье « Как защитить сайт от взлома ».

Чем опасны сертификаты?

Пользователи, которые только начинают разбираться в том, что это, SSL-сертификат, наверняка захотят узнать, может ли установка SSL-сертификата как-то негативно отразиться на самом сайте.

В целом можно ответить, то нет, SSL-сертификат - это большой плюс сайту, можно даже сказать, что необходимость. Однако есть один нюанс, с которым вы можете столкнуться после его установки, - это проблема смешанного содержимого (или “mixed content”).

Такая ситуация возникает в тех случаях, когда страница передается по протоколу HTTPS, но часть содержимого отправляется все еще по HTTP (например, изображения). В этом случае соединение будет считаться не полностью, а лишь частично зашифрованным, ведь все, что передается по HTTP, можно перехватить.

Споры вокруг протоколов HTTPS и сертификатов SSL идут не первый год. Одни утверждают, что для продвижения сайтов нет особой разницы между SSL разных издателей. Другие уверены - чем больше заплатите за сертификат, тем выше будет позиция сайта. Третьи считают, что HTTPS актуален только для магазинов и коммерции. Этот вопрос разбирает Владислава Рыкова, директор маркетингового агентства MAVR . Также она описывает пл юсы и минусы бесплатных, платных и самописных SSL.

Что такое SSL

SSL или Secure Sockets Layer - это стандартная технология, которая используется для обеспечения безопасности и установления зашифрованной связи между браузером и веб-сервером. Это своего рода электронный паспорт сайта, который содержит криптографические ключи и данные о его держателе и издателе. Также он позволяет пользователям шифровать любую личную информацию.

Есть 3 ключа, которые используются для шифрования соединений:

• открытый;
• закрытый;
• сеансовый.

Работает это так: то, что зашифровано с помощью открытого ключа, может быть расшифровано с использованием закрытого ключа и наоборот. Автоматически создается симметричный сеансовый ключ и затем применяется для шифрования данных, передаваемых с сайта после создания безопасного соединения. Всякий раз, когда браузер обращается к защищенному сайту, устанавливается соединение - на это уходит несколько десятых секунды.

Посмотреть SSL можно, кликнув мышью в поисковой строке на замке перед HTTPS.

Что тут важно:

• издатель;
• владелец;
• тип сертификата;
• срок действия.

Остальная информация носит технический характер.

Пару слов о терминологии. В данной статье под SSL я подразумеваю стандарт SSL, который был разработан компанией Netscape, и с января 1999 года IETF стандартизирует его под именем TLS. Как утверждается в TLS-документации, «разница между этим протоколом и SSL 3.0 некритична». SSL и TLS представляют собой постоянно обновляемую серию протоколов, и их часто в обиходе объединяют в общее название SSL/TLS.

HTTP и HTTPS

Для лучшего понимания, что такое SSL и какова разница между его типами, немного коснемся протоколов HTTP и HTTPS. Есть подробные технические описания и гайды, мы их приводить не будем. Для обычного пользователя ситуация выглядит вот так:

Многим владельцам сайтов непонятно, почему Google уже несколько лет досаждает рекомендациями перейти на HTTPS - HyperText Transfer Protocol Secure. Суть в том, что шифрованный протокол позволяет устанавливать относительно безопасное соединение между браузерами и сайтами. HTTPS значительно снижает вероятность взлома коммерческих данных - а значит и воровства ваших средств.

Вот краткое описание из search-консоли:

С середины 2018 года все сайты без HTTPS считаются небезопасными. Об этом сообщает браузер Chrome при каждом заходе на сайт, что видно на иллюстрации выше. SSL - важнейшая часть протокола HTTPS. А он, по сути, все тот же HTTP плюс шифрование и сертификат SSL.

Почему SSL-сертификат - это важно

По утверждению Google, сайты, которые не используют SSL-сертификаты, столкнутся с проблемами. Но главное - его наличие сказывается на доверии пользователей и рейтинге в поисковой системе из-за защиты транзакций. Сертификаты повышают репутацию бренда и служат средством борьбы с фишингом.

С 2014 года, когда Google включил протокол HTTPS в факторы ранжирования, SSL сертификаты стали must-have для любого коммерческого проекта. Так, эксперт Hubspot Сэм Кусиниц написал статью « Окончательное руководство по факторам рейтинга Google в 2019 году ». Среди факторов продвижения, связанных с контентом, соцсетями и ссылками, характеристику «очень важно» получила безопасность домена. А она реализуется благодаря сертификатам SSL в протоколе HTTPS.

Больше года назад ведущий специалист moz.com доктор Питер Мейерс писал о том, что примерно 30% ТОПа выдачи Google - сайты с SSL. Теперь их количество более 80%.

Аналитик предполагает, что для этого есть несколько причин.

1. Google с 2014 года поднимает в выдаче сайты с SSL, потому что они более безопасные. Значение этого параметра среди общих факторов ранжирования увеличивается примерно два раза в году.
2. Само наличие сертификата положительно сказывается на поведенческом факторе. Пользователи не склонны делать интернет-заказы в незащищенных магазинах.
3. Владельцы успешных сайтов видят перспективы в таком «апдейте» и сами модернизируют ресурсы.

Плюсы SSL-сертификатов

В важности SSL-сертификата и работы сайта через HTTPS уже почти никто не сомневается. Но есть еще другой насущный вопрос - какие сертификаты лучше подходят для продвижения сайта и у кого их заказывать?

Виды SSL-сертификатов: плюсы и минусы

Есть три варианта, где можно взять сертификат:

• сделать собственный;
• заказать бесплатный;
• купить платный, коммерческий SSL.

Разберем каждый из видов подробнее.

Самоподписные SSL

Их также называют self-signed и создают в хостинговых сервисах типа Cpanel. Эта возможность есть у каждого владельца сайта. Мы не будем рассматривать технический аспект генерирования - нас интересуют особенности таких SSL.

Плюс

Это быстро и бесплатно.

Минус

Вы, наверное, видели такую картину - это и есть результат использования самоподписного сертификата:

Как это повлияет на поведенческий фактор и впечатление пользователей о ресурсе? Нетрудно догадаться, какое количество посетителей будет у этого сайта. И насколько успешно будут работать любые методы продвижения - например, линкбилдинг, крауд- или контент-маркетинг.

Такие сертификаты можно применять только на внутренних сайтах компаний. И то целесообразнее заказать бесплатные, вместо того, чтобы объяснять каждому сотруднику, как побороть неприязнь браузера к самодельным SSL.

Бесплатные сертификаты

В интернете работает достаточно регистраторов, предоставляющих бесплатные сертификаты. Вот одни из популярных:

• letsencrypt.org
• startssl.com
• buy.wosign.com/free/

Плюсы

1. На этих сайтах несложно получить SSL, и он не будет вызывать браузерную ошибку.
2. Компании, которые предоставляют сертификаты, зарекомендовали себя на рынке. Например, letsencrypt.org - имеет деловые связи с поисковиком Google, соцсетью Facebook и несколькими другими крупными корпорациями.

Минусы

1. Сертификат не подразумевает финансовых гарантий, то есть компенсаций при хакинге.
2. Срок действия всего 90 дней.
3. В letsencrypt и startssl используется технология идентификации SNI, с которой не работают большинство платежных систем. Для коммерции эти сертификаты непригодны.
4. Они подтверждают только то, что существует такое доменное имя. Никакой информации о владельцах не несут и обеспечивают минимальный уровень защиты.

Бесплатные SSL сертификаты подходят для некоммерческих сайтов, блогов, новостных порталов и т. д. И практически полностью бесполезны, если планируете продавать товары или услуги.

Платные сертификаты

Купить SSL несложно, для этого нужно просто связаться с издателем и сделать заказ. Время регистрации составляет от нескольких часов до недели. Есть несколько основных типов платных сертификатов.

1. DV (Domain Validation) SSL - подтверждают только имя домена.
2. OV (Organization Validation) SSL - подтверждающие домен и компанию.
3. EV (Extended Validation ) SSL - самые надежные с «зеленой строкой» и проверкой расширенного типа.
4. Сертификаты для нескольких доменов.

Типы сертификатов подбирают в соответствии с целями и характером сайта. DV - это то, что нужно для небольших сайтов и блогов. OV подойдут для корпоративных ресурсов. EV - это решение для интернет-магазинов. Мультидоменные SSL разработаны для крупных организаций и корпоративных сетей.

Вы сможете подобрать оптимальное решение, набрав в поиске «SSL сертификат Comodo» или подобный запрос. Обратите внимание, иногда выгоднее покупать не напрямую у издателей, а через дилеров и представителей.

Популярные издатели сертификатов:

• Comodo;
• Symantec;
• DigiCert;
• GlobalSign.

Плюсы

В пользу платных сертификатов говорят моменты, которые связаны с вопросами продвижения.

1. Улучшение поведенческого фактора. Согласно недавнему исследованию HubSpot, до 85% пользователей не будут продолжать просмотр, если сайт не является безопасным. В январе 2017 года Google выпустил обновление, которое применяется только к сайтам, собирающим конфиденциальную информацию. Например, пароли или номера кредитных карт. Теперь речь идет о всех сайтах без HTTPS. Уведомление о небезопасности заметно увеличивает количество отказов, особенно если речь идет о финансовых рисках. Чтобы этого избежать, нужно использовать самый надежный сертификат - платный.
2. Оптимизация платежей. На сайтах с бесплатными сертификатами совершать торговые операции сложно, потому что далеко не все системы платежей поддерживают их. Опять же растут отказы и это негативно сказывается на коммерческом SEO-продвижении.
3. Защита. Один из важных моментов - уровень шифрования. Платные сертификаты позволяют обеспечить ключи большей длины и с высокой степенью защиты. Чтобы расшифровать их, потребуются десятки лет. Google анализирует это и повышает сайт в выдаче.
4. Гарантии издателя от взлома сертификатов. Взломают реально или нет - другой вопрос, но если гарантия есть, то это успокаивает. В зависимости от издателя и типа SSL гарантии разнятся, например, взлом QuickSSL оценен в 10 000 у. е., что говорит о надежности компании.
5. Удобство. Не обязательно каждые 90 дней перерегистрировать сертификаты. Платные SSL нужно обновлять раз в год.

Минусы

1. На сертификат все-таки придется потратиться. Стоимость использования зависит от степени защиты и составляет от 20 до 500 у.е.
2. Регистрация дорогих сертификатов, где требуется юридическое подтверждение и документы, может занять немало времени.

Полезные сервисы при работе с SSL/TLS

1. SSL Shopper - этот ssl-чекер поможет понять, правильно ли установлен ssl-сертификат у вас на сайте.
2. SSL Server Test - с помощью этого бесплатного сервиса вы сможете оценить уровень защищенности конфигурации SSL/TLS.

Выводы

SSL - это не только защита посетителей сайта, но и выгодное вложение в развитие. Владельцам новых сайтов лучше заказывать пусть недорогие, но платные сертификаты. Это поможет ресурсу расти в выдаче и снимет вопросы по доверию со стороны поисковика и пользователей.

Но есть и сложности.

1. Сразу после перехода на SSL и HTTPS отмечают временное падение позиций в выдаче.
2. HTTPS более требователен к системе, поэтому может немного снизиться скорость загрузки сайта. Решается оптимизацией кода или увеличением серверных мощностей.
3. Нужно проводить ряд технических работ при переходе, что требует времени и ресурсов.

SSL-сертификат (от англ. Secure Sockets Layer — уровень защищённых сокетов) - это протокол для кодировки данных, которые идут от пользователя к серверу и обратно.

Как SSL-сертификат работает?

На сервере есть ключ, с помощью которого шифруются любые данные, которыми он обменивается с пользователем. Браузер пользователя получает уникальный ключ (который известен только ему) и таким образом складывается ситуация, когда расшифровать информацию может только сервер и пользователь. Хакер конечно может перехватить данные, но расшифровать их практически невозможно.

Зачем SSL-сертификат владельцу сайта?

Если ваш сайт подразумевает регистрацию для пользователей, онлайн-покупки и т.д., то SSL-сертификат будет хорошим сигналом для пользователя, что вашему сайту можно доверять. Сегодня многие пользователи не знают об этом, и без раздумий передают данные своих кредиток на различных сайтах. Но в будущем таких людей будет становиться все меньше и меньше, т.к. после первой же пропажи денег с карточки человек сразу задумывается "а что нужно делать, чтобы деньги не пропадали?", "каким сайтам можно доверять?". В итоге о безопасном соединение, говорит наличие протокола https:// в адресе сайта или такой вид адресной строки в браузере.

Как получить SSL-сертификат?

SSL-сертификаты выдают специальные сертификационные центры, наиболее популярными в мире считаются Thawte , Comodo , Symantec . Но все они имеют англоязычный интерфейс, что создает определенные неудобства для отечественных пользователей. Поэтому сейчас появилось очень много компаний, которые являются посредниками и продают SSL-сертификаты. Это же делают и крупные хостинг-компании, и регистраторы доменов. Мы рекомендуем покупать сертификаты именно у качественных хостеров или регистраторов доменов. А еще лучше, покупать их у той компании, у которой вы регистрировали свой домен. Как правило эти компании сотрудничают с сертификационными центрами, и за счет объема имеют существенную скидку. Поэтому итоговая цена для вас скорее всего не будет меняться.

Какие бывают SSL-сертификаты?

Начальный уровень

Как правило такие сертификаты покупают в том случае, если не нужно подтверждать компанию (или компании вовсе нет, а сайт принадлежит частному лицу), а нужно лишь безопасное соединение.

• Самые дешевые
• Срок выдачи: несколько часов
• Подтверждают права на домен, и не подтверждают компанию
• Для юридических, физических и частных лиц
• Не нужны какие-либо документы

Средний уровень

Такие сертификаты уже могут подтвердить компанию владельца домена, что вызывает больше доверия у посетителей сайта. Ведь документы компании проверяет аттестационный центр, что должно вызывать максимальное доверие пользователей. При этом адрес сайта в браузере подсвечивается зеленым цветом.

• Средняя стоимость
• Срок выдачи: в течении недели
• Подтверждают компанию, которая владеет доменом
• Только для юридических лиц
• Требуются документы, подтверждающие вашу компанию и ее адрес

высокий уровень

Данные сертификаты имеют все показатели Среднего уровня, но цена их дороже, за счет маркетинговой игры центров аттестации. Так например вы сможете их использовать не только на основном домене, но и на поддоменах (например forum.mysite.com и т.д.), или пользователи с устаревшими браузерами смогут использовать защищенное соединение. Также от уровня сертификата зависит максимальный срок регистрации сертификата. Как правило он составляет 1-4 года от даты выдачи.

Что нужно чтобы получить?

Для сертификатов низкого уровня

• e-mail (обязательно чтобы он принадлежал вашему сайту, например для сайта mysite.com имейл может быть [email protected]
• Имя или организация
• Адрес

Для сертификатов более высокого уровня

Здесь проводиться проверка организации, поэтому к тому, что перечислено выше вам придется добавить:

• Телефон
• Документы подтверждающие организацию (номер регистрации компании или подобные документы). В целом для каждой страны перечень
• документов разный, но будьте готовы к серьезной проверке, в плоть до того, что придется высылать копию договора о предоставлении услуг связи, чтобы подтвердить телефон. Отправка скан-копий документов возможно по факсу и электронной почте.

Также для получения SSL-сертификата у домена должен быть отключен WHOIS-Protect (скрытие данных о домене). На сегодня это правило не действует лишь на домены.ru и.рф. И еще, обязательной является генерация CSR.

Что такое CSR?

CSR (Certificate Signing Request) - это зашифрованный запрос, который нужно приложить к заявке отправляемой в центр сертификации. Этот запрос нужно сгенерировать на сервере, на котором расположен ваш сайт. Процесс генерации CSR зависит от сервера, а точнее от программного обеспечения, которое на нем установлено. Если покупать сертификат через хостинг-компанию у которой расположен ваш сайт, то скорее всего вам будет представлен удобный интерфейс для генерации CSR. Если же его нет, то мы расскажем как это сделать для наиболее распространенного серверного софта (Linux\Apache).

Как генерировать CSR?

1. Подключаетесь к серверу через SSH-соединение

Используем программу PuTTY . В командной строке вводите:

openssl genrsa -out myprivate.key 2048

Тем самым мы генерируем закрытый приватный ключ для CSR. При этом будет задано два вопроса "Enter pass phrase for private.key" и "Verifying - Enter pass phrase for myprivate.key" - это просьба два раза ввести пароль для ключа. Важно чтобы вы его запомнили, т.к. понадобится на следующем шаге. В результате будет сгенерирован файл myprivate.key.

2. Генерируем CSR

Вводим команду:

openssl req -new -key myprivate.key -out domain-name.csr

Только меняйте domain-name на имя вашего домена. Потом в ответ на вопрос "Enter pass phrase for myprivate.key" вводим пароль, который мы задавали на предыдущем шаге.

После этого только английскими буквами заполняем:

Country Name - Код страны в формате ISO-3166 (нам нужен двухбуквенный код, берем его из колонки Alpha-2);
State or Province Name: Область или регион\штат;
Locality Name: Город;
Organization Name: Организация;
Organizational Unit Name: Подразделение (необязательное заполнять);
Common Name: доменное имя;
Email Address: ваш E-mail (необязательное поле);
A challenge password: (не нужно заполнять);
An optional company name: Другое название организации (не нужно заполнять).

Все данные которые вносятся должны быть правдивыми и совпадать с теми, которые вы заполняли при регистрации домена (проверить их можно через WHOIS-сервисы). В результате этих операций, на сервере будет создан файл domain-name.csr. Его нужно сохранить, и потом приложить к заявке на получение SSL-сертификата, которая подается в центр сертификации.

Что делать, после получения SSL-сертификата?

После получения сертификата его нужно установить на сервер. Процесс установки достаточно простой, но очень отличается в зависимости от программного обеспечения сервера. Поэтому поищите инструкцию на сайте хостинг-провайдера, а еще лучше - обратитесь в техническую поддержку, чтобы правильно все настроить.

Что делать если изменились данные организации или поменялся хостинг?

В таких случаях нужно переиздавать SSL-сертификат, но при этом это должно делать бесплатно для вас.

Сделать хороший сайт непросто, продающий - и того сложнее.

Нужно думать над позиционированием, писать статьи, подбирать иллюстрации.

Это крупные и важные задачи.

Но есть в работе над сайтом мелочи.

Они кажутся формальностью, и отвлекаться на них не хочется.

Забудет о них владелец сайта, а потом это выходит боком.

Одна из таких мелочей - SSL-сертификат.

Казалось бы, зачем он. Говорят, для защиты, но кому нужен мой сайт, брать-то там еще нечего. Так ведь?

Так, да не так. SSL-сертификат нужен для перевода сайта на защищенное соединение (HTTPS).

А оно действительно снижает риск самых разных видов мошенничества в сети.

Именно поэтому все больше сайтов переходят на него.

В России кампанию поддерживает Яндекс: HTTPS как знак качества сайта .

В связи с этим возникает еще два основания для перехода на безопасное соединение.

SSL заслуживает доверия пользователей

Чтобы склонить веб-мастеров использовать безопасный протокол, Яндекс и Google встраивают особые уведомления в свои браузеры.

Если SSL не установлен, и при этом сайт собирает чувствительные данные, браузеры заблокируют доступ к нему.

Пользователи уходят, когда видят эти уведомления.

Так отсутствие SSL снижает посещаемость и заработок с сайта .

SSL-сертификат приносит преимущества SEO

Поисковики повышают сайты с SSL в поисковой выдаче.

Google считает HTTPS сигналом ранжирования с 2014 года , Яндекс объявил об этом в 2019 году .

Имейте в виду, это только один из многих факторов.

Когда нужен SSL-сертификат

Поговорим о конкретных ситуациях, в которых необходимо безопасное соединение.

Итак, когда нужен SSL-сертификат.

Если сайт собирает данные кредитных карт

Нужно убедиться, что информация, которую Вы собираете от пользователей или покупателей, достаточно защищена, ведь она может быть использована для кражи личных данных или денег.

SSL предотвращает утечку информации.

К тому же люди заботятся о своей безопасности.

Они не станут платить на Вашем сайте или оставлять контакты, если браузер поставит рядом с адресом сайта пометку «Не защищено».

Если Ваш сайт использует формы для сбора логинов и паролей

Для доступа к Вашему сайту посетителям надо оставить логин и пароль?

Если так, Вам нужен SSL-сертификат, чтобы убедиться, что никто не украдет их пароли или не получит доступ к их профилю.

Вам нужно обеспечить эту безопасность, даже если Ваш сайт не содержит чувствительной информации.

Большинство людей используют одинаковые пароли (или вариации одного) для множества сайтов.

Так что если кто-то получит пароли Ваших пользователей, он может взломать их банковский аккаунт или другую платформу.

Если Вы хотите сохранить Ваших пользователей

Ярлык «Не защищено» отпугивает современных интернет-пользователей.

Таким образом, если Вы хотите, чтобы Ваши посетители оставались на Вашем сайте, Вам нужно получить SSL.

Google Ghrome помечает все HTTP-сайты как небезопасные.

Если Вы не хотите помогать мошенникам

Все УЦ должны действовать в соответствии с ними.

Расширенная проверка проводится вручную, поэтому такой SSL стоит дорого.

Цены начинаются от 11500 рублей в год (около 4500 грн).

Проверка организации (Organization Validation, OV).

OV-сертификаты предоставляют следующий уровень доверия.

Он подтверждает права организации на использование доменного имени и ее существование.

Браузеры помечают сайты с OV-сертификатом замком.

Нажав на него, можно увидеть расширенные данные об организации.

Как пример, информационный сайт Сбербанка:

УЦ обычно проверяют заявителей на определенном уровне.

Например, по телефону, обращаясь к третьим лицам или организациям.

OV-сертификат выпускается с частично ручной проверкой, поэтому они стоят дешевле, чем EV.

Цены начинаются от 4500 рублей (около 1700 грн) в год.

Проверка домена (Domain Validation, DV).

Предоставляет нижний уровень доверия.

DV-сертификаты только демонстрируют, что домен принадлежит тому, кто запросил сертификат.

Доступны юридическим и физическим лицам.

Конечные пользователи видят информацию только о шифровании, не об организации.

Вот обычный сайт по продаже штор.

Процесс проверки обычно полностью автоматизирован.

Так, если сертификат покупается для использования на www.mydomain.com, он не может быть использован на mail.mydomain.com или www.otherdomain.com.

Если нужно защитить несколько поддоменов, можно купить Wildcard-сертификат. Он покрывает все поддомены.

Например, Wildcard-сертификат для *.mydomain.com может быть использован для:

• mail.mydomain.com
• www.mydomain.com
• ftp.mydomain.com
• и др.

Он не может быть использован для защиты mydomain.com and myotherdomain.com.

Бесплатные Wildcard-сертификаты выдает Let’s Encrypt.

Чтобы защитить несколько разных доменных имен одним сертификатом, понадобится сертификат с SAN (Subject Alternative Name).

Он позволит защитить четыре дополнительных доменных имени.

Например, Вы можете использовать один сертификат для:

• www.mydomain.com
• www.mydomain.org
• www.mydomain.net
• www.mydomain.co
• www.mydomain.co.uk

Сертификаты с поддержкой разных имен стоят дорого.

Иногда выгоднее купить несколько SSL с поддержкой одного домена.

Какой сертификат выбрать

Если у Вас информационный сайт с поддоменами и Вы не собираете персональные данные - подойдет бесплатный Wildcard-сертификат от Let’s Encrypt.

Если у Вас сайт организации и Вам важно доверие (например, портал инвестиционной компании) - подойдет EV-сертификат.

Если у Вас банк или крупный интернет-магазин с миллионами пользователей - Вам нужен EV-сертификат.

Как получить SSL-сертификат

Процедура несложная, но отнимет пару часов.

Придется разобраться с технической частью самому или обратиться за помощью к профессионалам.

Если решите подключить SSL высокого уровня доверия, то его сначала надо будет купить.

Удостоверяющие центры

Обязательный участник процесса - удостоверяющий центр (или центр сертификации).

Как мы уже упоминали, это организация, которая выпускает и отзывает цифровые сертификаты.

УЦ подписывают SSL-сертификаты корневым сертификатом (CA certificate).

Корневые сертификаты устанавливаются во все популярные браузеры.

Именно поэтому браузеры могут распознать сайт с «хорошим SSL» и поставить рядом с его адресом замочек.

Корневые сертификаты выдают следующие центры сертификации: Comodo , Thawte , Symantec , GeoTrust , RapidSSL и другие.

Особой разницы, в каком из этих УЦ выпускать SSL, нет.

Исключение - Let’s Encrypt. Он выдает бесплатные SSL.

Купить цифровой сертификат

Купить SSL можно не только в центре сертификации.

SSL перепродают хостинг-провайдеры. Например,Ru-Center , Reg.ru , Макхост .

Узнайте, есть ли у Вашего провайдера такая услуга.

Она может стоить дороже, зато сотрудники поддержки помогут установить SSL и настроить HTTPS.

Есть и другие реселлеры и даже агрегаторы SSL. Например, LeaderSSL , FirstSSL , ISPsystem .

Здесь могут быть ниже цены - из-за скидок, которые агрегаторы получают за объем.

Кроме того, они помогают с выпуском SSL с высоким уровнем доверия: при расширенной проверке возникают проблемы, а у агрегаторов больше опыта в их разрешении.

Выберите продавца SSL, исходя из своих предпочтений.

Запросить цифровой сертификат

После оплаты услуги надо отправить запрос на выпуск SSL.

Форма этого запроса и количество вводимых данных будут зависеть от того, какой SSL-сертификат Вы запрашиваете.

Если нужен простой SSL с проверкой домена, то будет достаточно электронной почты на домене.

Если нужен сертификат с проверкой организации, то приготовьтесь указать ее юридическое название, реальные адрес и телефон.

После заполнения данных продавец сгенерирует CSR-запрос и приватный ключ.

После этого останется только дождаться активации сертификата.

Для SSL уровня DV она проходит до двух дней. Сертификаты уровня EV и DV выдают дольше.

Проверка организации, как мы уже упоминали, сопровождается запросом документов и другими действиями.

Установить цифровой сертификат

Когда УЦ закончит проверку, на указанную почту придут данные для установки SSL-сертификата: сам сертификат, корневой сертификат, промежуточный сертификат и приватный ключ.

Теперь все это надо установить на хостинг или сервер, где размещается сайт.

Попросите помочь поддержку продавца или воспользуйтесь инструкциями контрольных панелей: cPanel , Plesk , ISPmanager .

Когда SSL установлен, сайт автоматически начнет работать по HTTPS.

При этом протокол HTTP тоже продолжит работать.

Чтобы перевести все запросы к сайту на безопасное соединение, нужно включить переадресацию.

Сделайте это, следуя инструкциям контрольных панелей.

Если Вам помогали сотрудники провайдера, то они наверняка уже позаботились об этом.

Обратите внимание! При переходе на HTTPS меняется адрес сайта. Поисковики Яндекс и Google рассматривают сайт с новым адресом как новый. Соответственно, они могут понизить сайт в результатах поиска.

Бесплатный сертификат от Let’s Encrypt

Они автоматически запрашивают, устанавливают и обновляют SSL-сертификаты.

Чтобы установить бесплатный SSL, изучите инструкцию на сайте Let’s Encrypt или обратитесь за помощью к своему хостинг-провайдеру.

Запомните

1. SSL-сертификат необходим практически каждому сайту.
2. Он защищает посетителей, повышает доверие и дает дополнительные очки в SEO.
3. Кроме защиты данных у SSL есть еще одна функция - обозначать уровень доверия к владельцу сайта. От уровня доверия зависит вид SSL-сертификата.
4. Если уровень доверия не важен, установите бесплатный SSL от Let’s Encrypt.

Все сайты по умолчанию используют протокол HTTP для получения и передачи информации. Он применяется для отображения HTML-страниц, тех самых, что видит каждый пользователь, заходя по адресу сайта. Особенность HTTP в том, что он не хранит никакой информации о том, был ли посетитель на сайте раньше или нет. Это ускоряет загрузку сайта, но при этом нет практически никакой безопасности. В результате появился протокол HTTPS — (Secure HyperText Transfer Protocol).

«Безопасный HTTP» специально разработали для обмена конфиденциальной информацией — паролями, персональными данными, банковскими реквизитами. Такие данные необходимо передавать по безопасному каналу, чтобы третьи лица не могли перехватить их или взломать сайт.

Поскольку HTTP и HTTPS очень схожи между собой, пользователь разницу не чувствует. Но HTTPS обладает дополнительным уровнем защиты, используя специальный протокол для шифрования данных — SSL. HTTPS отвечает за то, чтобы данные были переданы в полном объеме, без потерь. SSL-протокол обрабатывает передаваемую информацию и шифрует ее от злоумышленников. Действуя «сообща», HTTPS и SSL надежно защищают данные от взлома и утечки. Google фиксирует это важное отличие от HTTP и проверяет его при отображении сайта в поиске.

Если сайт не защищен SSL-сертификатом, то в строке браузера Google Chrome, рядом с адресом появится отметка «Не защищено». Она предупреждает пользователя, что небезопасно оплачивать услуги на сайте, отправлять персональные данные через формы и даже ставить лайки и делать репосты в соцсетях.

Что хочет Google?

Google заботится о своих пользователях и хочет, чтобы сайты, по которым попадает клиент из поиска, были надежно защищены и безопасны для использования. Для этого поисковик запрашивает у сайта специальный SSL-сертификат. Получить его можно, обратившись в специальные организации, которые выступают в качестве доверительной стороны между клиентом и сайтом. Наличие сертификата серьезно влияет на выдачу сайта в поиске и получить его нужно даже если компания не занимается обработкой персональных данных пользователей.

Если сайт не защищен SSL-сертификатом, то постепенно он начнет терять свои позиции в поиске Google. Отсутствие HTTPS-протокола говорит пользователям и поисковику, что безопасность данных будет под угрозой, а значит, отображать сайт на первых страницах результатов поиска и переходить на него нельзя. Кроме этого, в строке браузера Google Chrome, рядом с адресом появится отметка «Не защищено». Она предупредит пользователя, что небезопасно оплачивать услуги на сайте, отправлять персональные данные через формы и даже ставить лайки и делать репосты в соцсетях.

Каким типам сайтов нужен SSL?

• интернет-магазинам;
• сайтам с личным кабинетом;
• сайтам, где есть формы связи, собирающие контакты и т.п;
• а если коротко — всем.

Как отсутствие SSL-сертификата повлияет на сайт?

Очень негативно. Фактически, сертификат сайта — его «паспорт» в интернете. Может ли гражданин полноценно существовать без паспорта?

• Google будет серьезно понижать сайты без SSL-сертификата в своей поисковой выдаче. Каким бы крупным не был сайт, отсутствие безопасной связи с посетителями считается поисковым гигантом серьезным недочетом, из-за которого продвигать сайт в ТОПе нельзя. Он уйдет с первых страниц поиска.
• Ваша компания будет считаться ненадежной. Надпись «Не защищено» заставит потенциальных клиентов с подозрением относиться к вашему бизнесу или проекту и негативно воспринимать просьбу отправить персональные данные через формы обратной связи.
• Все крупные и популярные сервисы отказываются работать с сайтами без HTTPS, к примеру, Яндекс Касса.
• Сайт будет выглядеть подозрительно . Отсутствие защищенного канала для передачи данных не дает гарантии, что сообщение не изменилось в процессе доставки, пользователь настоящий, а общение клиента с менеджером конфиденциально.
• Принесет репутационные потери — небезопасный сайт пользователи оценят как недействительный, а компанию — фиктивной или ненадежной. SSL-сертификат подтверждает, что бизнес легальный, компания действительно существует и корректно взаимодействует с клиентами.

Что делать?

Установить SSL-сертификат.

Клиентам компании WebCanape доступна услуга установка SSL-сертификатов, с помощью которых сохранится репутация компании и сайта.

При заказе нового сайта, оплате доменного имени и хостинга через WebCanape — установка и обслуживание SSL-сертификата в течение первого года — бесплатно.

Как это работает?

SSL-сертификат — специальный протокол связи, проверяющий подлинность и шифрующий данные между пользователем и веб-сайтом. Злоумышленники не взломают и не украдут персональную информацию, платежные сведения и другие данные — расшифровать информацию можно только с помощью специального генерируемого ключа, уникального для каждого пользователя.

Существует три типа сертификатов: «начальный», «бизнес» и «расширенного уровня». Какие они?

• DV-сертификаты (DomainSSL) — доступны частным лицам и организациям, подтверждает права на доменное имя. Самые простые и дешевые.
• OV-сертификаты (OrganizationSSL) — подтверждают существование доменного имени и компании, владеющей сайтом.
• EV-сертификаты (ExtendedSSL) — самый престижный тип сертификатов, вызывающий максимальное доверие пользователей. Адресная строка при открытии сайта с таким сертификатом становится зеленой, подписывается название магазина или организации. Это выделяет компанию на фоне конкурентов, не оставляя тени сомнения в надежности бизнеса.

Обратите внимание на дополнительные опции SSL-сертификатов

Кроме сертификата, есть «печать доверия» или «логотип доверия». Это изображение с логотипом центра сертификации, демонстрирующее факт проверки сайта. Ее ставят вместе с сертификатом, чтобы продемонстрировать, что сайт был проверен и надежно защищен. Существует два вида:

• Статическая печать. Для недорогих сертификатов, отображает информацию сертификационного центра. По клику на картинку открывается сайт центра, где компания проходила проверку.
• Динамическая печать . При наведении открывает окошко с подробностями о компании и SSL-сертификате.

Некоторые сертификаты не просто защищают домен сайта. К примеру:

• WC (WildCard) — защищает домен и поддомены, вплоть до третьего уровня (smolensk.shop.test.ru);
• MD (Multidomain, SAN) — защищает до 100 доменов (shop.ru, domain.ru, smolensk.ru);
• IDN (Internationalized Domain Name) — для корректной защиты национальных доменов, в том числе, кириллических адресов (тест.рф);
• SGC (Server Gated Cryptography) — помогает повысить безопасность клиентов, использующих старые браузеры. Это особенно важно, к примеру, для сайтов госструктур.

С первого взгляда выглядит сложно, поэтому расскажем подробнее, что купить, чтобы все было хорошо.

Алгоритм выбора SSL-сертификата для сайта

Шаг 1. Определите особенности сайта

• Если 1 латинский домен и поддомен www, то выбирайте практически любой сертификат
• Если нужна защита поддоменов, то выбирайте сертификат с пометкой Wildcard
• Если у вас много сайтов и хотите защитить всех одним сертификатом, то правильным выбором станут SAN или Multi-Domain сертификаты
• Если у вас кириллистический домен, то берите IDN-сертификат
• В случае кириллического домена с поддоменами — Wildcard+IDN

Шаг 2. Домен оформлен на физическое или юридическое лицо?

• Домен оформлен на физлицо — можно покупать только DV-сертификат (начального уровня)
• Домен оформлен на юридическое лицо — покупайте любой сертификат

Шаг 3. Насколько крупный сайт?

• Если проект небольшой, а сайт информационный, нужно дешево и просто — выбирайте DV-сертификат, подойдет и для поисковиков, и для безопасного соединения
• В случае интернет-магазина государственного учреждения или корпоративного сайта организации , желательно выбрать SSL-сертификат бизнес-уровня. Он выделит вас среди конкурентов, обезопасит сделки с клиентами и надежно защитит данные
• Крупный интернет-магазин, финансовые организации, корпоративные порталы и десятки конкурентов на рынке? Необходим расширенный SSL-сертификат

Доступные для покупки сертификаты в WebCanape

1. GlobalSign AlphaSSL . Выдается очень быстро, доступен физлицам и организациям, защищает поддомены, но не поддерживает кириллические адреса. Совместим со всеми браузерами и мобильными устройствами, имеет бесплатный значок AlphaSSL. Без технической поддержки. Отличный базовый вариант для простых проектов.
2. GlobalSign DomainSSL . Очень популярный в Интернете SSL-сертификат, подтверждающий права на домен. Кроме тех параметров, что уже перечислены в AplhaSSL, содержит имя домена, значок аутентичности, его установка возможна на бесконечное число серверов.
3. GlobalSign OrganizationSSL . Доступен только юридическим лицам, поддерживает кириллические адреса и подтверждает как домен, так и легальность компании. Название организации отображается на значке и в сертификате.
4. GlobalSign ExtendedSSL. Высочайший класс защиты. При заходе на сайт адресная строка подсвечивается зеленым, отображается название организации. Серьезно повышает доверие клиентов и посетителей сайта, что как следствие — повысит продажи товаров и услуг. Оформляется только на юридическое лицо.
5. Comodo PositiveSSL . Один из самых дешевых SSL-сертификатов на рынке, не требует документов о владении доменом, логотип безопасности бесплатен. Поддерживает кириллицу. Подходит только для базовых проектов.
6. Comodo EssentialSSL. Практически полный аналог Comodo PositiveSSL с длинным ключом шифрования (до 2048 бит) и печатью сертификации Comodo. Подходит только для базовых проектов.

На начальном этапе мы рекомендуем установить сертификат GlobalSign DomainSSL от Reg.ru. Если вы клиент нашего хостинга и покупали доменное имя через WebCanape, то сертификат дается на первый год в подарок, далее его продление будет стоить около 2500 руб. в год. Плюс переустановка на хостинг — 3000 руб. Однако этот сертификат не работает с кириллическими доменами и не защищает домены третьего уровня.