Что такое SSL-сертификат и нужен ли он вашему сайту?

World-Wide Web (WWW), Всемирная паутина, Интернет — все это названия одного, самого масштабного и успешного проекта за всю историю человечества. Запущенная в 1991 году глобальная сеть уже спустя 6 лет насчитывала 19,5 млн пользователей. На сегодняшний день их более 4,5 миллиарда.

Интернет привлекает людей огромным количеством возможностей, значительную часть которых, как им кажется, они получают бесплатно. Например, общаются в соцсетях, находят практически любую информацию. На самом деле в Сети нет ничего бесплатного. Если пользователи не оплачивают услуги веб-сервисов деньгами, то рассчитываются еще более ценной валютой — своими личными данными.

Большинство сайтов собирает обезличенные данные о пользователях — геопозицию, интересы, особенности поведения. Она используется в разных целях. Например, для показа персонализированной рекламы или аналитики поведения юзеров. Но есть площадки, которые агрегируют строго приватную информацию — реальные имя и фамилию, паспортные, биометрические, банковские данные. Обычно пользователи вводят их, когда проводят финансовые операции (онлайн-переводы, платежи), чтобы подтвердить личность.

Если для онлайн-сервисов эти данные — средство идентификации юзеров, то для злоумышленников это «красные алмазы», за которыми они в прямом смысле охотятся. Персональная информация используется мошенниками для разных целей:

  • Кражи денег с банковских счетов, электронных кошельков;
  • Оформления фиктивных кредитов;
  • Оплаты товаров и услуг онлайн;
  • Создания фейковых аккаунтов, с которых затем проводятся мошеннические операции в Сети.

Вариантов использования персональных данных мошенниками масса, поэтому вопрос защиты этой информации для интернет-сервисов крайне острый. В настоящее время самым надежным способом сохранения приватности данных пользователей для сайтов является SSL-сертификат. Его наличие на веб-ресурсе — это гарантия, что пользователи могут вводить свои персональные данные и не волноваться об их безопасности.

КАКИМ САЙТАМ SSL-СЕРТИФИКАТ НУЖЕН ОБЯЗАТЕЛЬНО

Без сертификата однозначно не должны работать сайты, которые хранят пользовательские данные и имеют функционал для проведения платежей. К таким ресурсам относятся:

  • Интернет-магазины;
  • Сервисы онлайн-банкинга и платежные системы;
  • Мессенджеры;
  • Соцсети и другие онлайн-сервисы.

Нужен ли сертификат сайтам, которые ничего не продают и не собирают данные пользователей? Да. Поисковые системы не хотят разбираться в специфике веб-ресурсов и предпочитают работать с безопасными площадками. Сайты без SSL-сертификатов они помечают как потенциально опасные, о чем предупреждают посетителей. И такое уведомление «отпугивает» пользователей.

Мало того, поисковики Яндекса и Google безопасное соединение учитывают как важный фактор ранжирования. Сайты с сертификатом занимают более высокие позиции в выдаче. Браузеры помечают безопасные сайты специальным значком в виде закрытого замка в адресной строке.

Кликнув на значок, можно увидеть более подробную информацию о соединении:

Пока у браузеров нет единой системы обозначения безопасного и ненадежного соединения с сайтом. В каждой программе используются свои метки. Вот примеры обозначения в популярных обозревателях:

При попытке пользователя перейти на сайт с незащищенным соединением браузеры также выводят предупреждающие уведомления. Выглядят они так:

Яндекс.Браузер:

Google Chrome:

Mozilla:

ПРИНЦИП РАБОТЫ SSL-СЕРТИФИКАТА

SSL-сертификат — это специальный криптографический протокол, который кодирует данные при их перемещении между браузером и сервером. Даже в случае перехвата информации злоумышленниками, она остается защищенной. Дешифровать её мошенники не могут без уникального ключа, который доступен только браузеру и серверу.

Протокол предусматривает шифрование с тремя типами ключей:

  • Публичный. Этот ключ использует браузер для шифрования данных пользователя при их отправке на сервер.
  • Приватный. Использует только сервер и никогда никому его не передает. Он расшифровывает сообщения.

Сразу подчеркнем: SSL-сертификат гарантирует безопасность только данных, которые пользователи вводят на сайте, но не защищает сам ресурс от взлома или хакерских атак.

  • Сеансовый. Ключ генерирует браузер и передает серверу вместе с сообщением пользователя. Этот ключ существует ровно столько, сколько длится сессия пользователя на сайте. Он одновременно шифрует и расшифровывает сообщения.

Схема работы протокола выглядит следующим образом: когда пользователь вводит домен сайта или кликает на него в поисковой выдаче, браузер обращается к серверу, чтобы узнать, установлен ли на сайте SSL-сертификат. Если он есть, сервер отправляет браузеру данные о сертификате и публичный ключ. Браузер проверяет, есть ли центр, выдавший сертификат, в списке авторизованных (авторитетных) центров сертификации. Если да, браузер отправляет серверу сеансовый ключ шифрования, который дополнительно кодируется публичным ключом. Только после этого браузер соединяется с сайтом через безопасный HTTPS-протокол.

ЧТО ПРЕДСТАВЛЯЕТ СОБОЙ SSL-СЕРТИФИКАТ?

SSL-сертификат — это уникальное «удостоверение» сайта, в котором содержатся следующие данные:

— домен, на который оформлен сертификат;

— юридическое имя владельца сертификата;

— физический адрес юрлица;

— период действия сертификата;

— данные о центре сертификации.

ДОВЕРЕННЫЕ И НЕДОВЕРЕННЫЕ SSL-СЕРТИФИКАТЫ — В ЧЕМ РАЗНИЦА

Доверенными (надежными) считаются сертификаты, выданные центрами сертификации, которые:

а) владеют правом выдавать SSL-сертификаты;

б) имеют высокий авторитет в IT-среде.

Эти компании используют открытый криптографический ключ, их корневые сертификаты есть практически во всех браузерах. Посмотреть список доверенных центров сертификации в браузере можно в разделе «Доверенные корневые центры сертификации» по следующему пути:

Если сертификат заверен цифровой подписью центр сертификации из списка «доверенных», это 100% гарантия, что домен принадлежит заявленному владельцу и он использует ключ шифрования законно.

Посмотреть сертификат сайта в браузере Google Chrome на Windows вы можете следующим образом:

1. Кликните на меню браузера (или нажмите Ctrl + Shift + I), выберите «Дополнительные инструменты», затем «Инструменты разработчика».

2. Перейдите в раздел «Безопасность» (Security), выберите опцию «Посмотреть сертификат» (View certificate).

В новом окне открывается информация о SSL-сертификате. В разделе «Общие» содержатся основные данные: тип, сайт-получатель, поставщик, срок действия. Кликнув на кнопку «Заявление поставщика», можно получить больше информации о центре сертификации. В разделе «Состав» представлены подробные данные о сертификате.

Если у SSL-сертификата истек срок действия, в разделе «Общие» вы увидите соответствующее уведомление:

ЧТО ПОДРАЗУМЕВАЕТСЯ ПОД ПОНЯТИЕМ «НЕДОВЕРЕННЫЙ СЕРТИФИКАТ»

  • Самоподписанные SSL-сертификаты. Они не гарантируют подлинность сайта (что он принадлежит указанной в сертификате компании);
  • Сертификаты, подписанные организациями, которых нет в списке доверенных корневых центров;
  • Сертификаты с неликвидной подписью. К ним относятся подписи центров сертификации, потерявших доверие со стороны браузеров.

При открытии сайта с недоверенным SSL-сертификатом браузер предупреждает пользователя, что их данные на этом ресурсе не защищены.

ТИПЫ SSL-СЕРТИФИКАТОВ

Владельцам сайтов доступно несколько типов SSL-сертификатов. Они отличаются по ряду параметров. В частности, по:

  • Свойствам (количеству доменов и поддоменов, которые охватывает сертификат);
  • Уровню проверки домена (что именно анализирует центр сертификации прежде чем выдать сайту SSL).

По свойствам

  • Обычные сертификаты. Обеспечивают поддержку одного домена. Обычно выпускаются автоматически.
  • Wildcard сертификаты. Шифруют данные одного домена и всех его поддоменов.
  • SAN сертификаты. Один такой сертификат может поддерживать все домены, размещенные на одном сервере. Кратность доменов для одного сертификата должна быть равна 5.

По уровню проверки сайта

  • DV (Domain Validation) — подтверждает подлинность домена. Обеспечивает безопасное HTTPS-соединение. Подходит всем сайтам, независимо от статуса владельца (юридическое или физическое лицо). Быстро устанавливается на сайт (до 3 часов).
  • OV (Organization Validation) — подтверждает подлинность не только домена, а и компании, которой он принадлежит. Выдается только после подтверждения организацией своих контактных данных. Подключается в течение 2-3 дней.
  • EV (Extended Validation) — сертификат с расширенной проверкой. Подтверждает домен, коммерческую и налоговую деятельность компании. В некоторых браузерах сайты с SSL-сертификатами этого типа отображаются в «зеленой» адресной строке (Green Bar). Получение сертификата занимает от 5 дней.

Дополнительные типы SSL

  • SGC сертификаты (Server-Gated Cryptography). Повышают уровень шифрования 40 и 56-битных расширений до 128 бит в браузерах старого образца.
  • CS сертификаты (Code Signing) — Обеспечивают безопасную загрузку программного обеспечения с сайтов.

КАКОЙ ТИП SSL-СЕРТИФИКАТА ВЫБРАТЬ?

Выбор зависит от специфики ресурса, направления деятельности и целей компании (если это коммерческий сайт). Владельцам сайтов-визиток, личных блогов, других площадок, где пользователи не оставляют приватные данные, достаточно сертификата DV SSL. Этот тип можно получить бесплатно даже в доверенных центрах. При этом браузер не будет выводить уведомления с предупреждением о небезопасном соединении.

Компаниям к выбору типа SSL-сертификата нужно отнестись внимательно. Для корпоративных сайтов, форумов, каталогов оптимальный вариант — OV SSL. Подобные ресурсы редко интересуют злоумышленников и на них пользователи не оставляют конфиденциальных данных о себе.

Интернет-магазинам, другим коммерческим площадкам, где есть функционал для проведения транзакций, а также официальным СМИ нужны SSL-сертификаты типа EV.

Рассмотрим особенности сертификатов DV, OV, EV подробнее

Domain Validated

Этот тип сертификатов распространяется платно и бесплатно. Популярный поставщик бесплатных SSL DV — центр Let’s Encrypt.

Преимущества:

  • Даже платные сертификаты доступны всем. Стоимость стартует от $20 за сертификат на 2 года.
  • Быстрая и простая установка.
  • Не нужно ничего подтверждать документами.
  • Поддерживается всеми современными браузерами в десктопных и мобильных версиях.

Подлинность домена можно подтвердить:

  • С помощью электронной почты (DCV Email);
  • Через DNS-запись (DNS CNAME);
  • Используя хеш-файл (HTTP CSR Hash).

Organization Validated

Чтобы получить сертификат этого типа для своего сайта, помимо валидации домена, организация должна пройти проверку на достоверность следующих данных о ней:

  • Название;
  • Адрес (страна, город, область и т.д.);
  • Контактная информация

Чтобы у компании не возникло сложностей при получении OV SSL, необходимо убедиться, что данные о ней совпадают с данными в:

  • ЕГРЮЛ;
  • информации, предоставленной при регистрации домена;
  • телефонной книге.

Преимущества:

  • более высокая позиция сайта в выдаче по сравнению с конкурентами на SSL DV;
  • отсутствие ограничений в серверных лицензиях.

Extended Validation

Такой сертификат выдается после расширенной валидации. Эта процедура включает проверки, предусмотренные для SSL-сертификатов DV и OV, плюс компания должна:

  • Подать заявление;
  • Подписать официальное соглашение с центром;
  • Подтвердить телефон;
  • Подтвердить e-mail.

Преимущества SSL EV

Получив такой сертификат, компания получает:

  • Печать доверия на ресурсе от центра сертификации;
  • Отображение в адресной строке названия компании;
  • Максимально криптостойкие алгоритмы шифрования;
  • Серверные лицензии без ограничений;
  • Дополнительные услуги (у разных ЦС свои бонусы).

Если ключ компании оказывает скомпрометирован и есть доказательства, что в этом виноват центр сертификации, компания получает денежную компенсацию. Например, для платных сертификатов DV от ЦС COMODO это $10000. Для SSL/TLS типа OV — $100000. Компенсация по сертификации EV — $1750000/

ОБЯЗАТЕЛЬНЫЕ УСЛОВИЯ ДЛЯ ПОЛУЧЕНИЯ SSL-СЕРТИФИКАТА

Чтобы получить сертификат любого типа, необходимо на домене отключить программу, которая скрывает данные о нем — WHOIS-Protect. Пока это правило не распространяется на доменные зоны .ru и рф.

Второе обязательное условие — генерация Certificate Signing Request (CSR).

Что такое CSR?

CSR — это запрос, который направляется в центр сертификации в зашифрованном виде. Он генерируется на сервере в месте расположения домена. В разном ПО процесс генерации проходит по-разному. При желании и наличии соответствующих знаний владелец сайта может самостоятельно разобраться в нюансах этого процесса и сгенерировать запрос. Более простой способ — запросить инструкцию у технической поддержки хостинга, на котором расположен домен. Этот вариант доступен, если компания приобретает сертификат у этого же хостинга.

Пример генерации CSR с применением ПО Linux\Apache

ШАГ 1: Подключение к удаленному серверу через SSH-соединение. Для этого вводим в командной строке команду:

Она активирует регенерацию приватного ключа CSR. Далее система два раза запросит пароль ключа:

Придуманный пароль необходимо запомнить. Он еще потребуется в дальнейшем. После подтверждения пароля система формирует файл myprivate.key.

ШАГ 2: Введите в командную строку команду:

Система запросит пароль, который был указан на предыдущем этапе.

После подтверждения необходимо заполнить следующую форму:

Поля обязательно заполнять латинскими буквами. Важно, чтобы предоставленные данные были точными, актуальными, соответствовали данным, которые указаны при регистрации домена.

В результате этих действий на сервере сформируется файл домен.csr. Его нужно сохранить и вместе с заявкой на получение сертификата отправить в центр сертификации.

Поля обязательно заполнять латинскими буквами. Важно, чтобы предоставленные данные были точными, актуальными, соответствовали данным, которые указаны при регистрации домена.

В результате этих действий на сервере сформируется файл домен.csr. Его нужно сохранить и вместе с заявкой на получение сертификата отправить в центр сертификации.

  • Приватный ключ;
  • Публичный ключ;
  • CA Bundle (цепочка SSL-сертификатов, благодаря которой повышается доверие к сайту).

Все эти файлы необходимо установить на сайт.

Важный момент: в случае потери приватного ключа, восстановить его не получится. Потребуется перевыпуск сертификата.

Так выглядит приватный ключ SSl:

SSL-сертификат имеет ограниченный срок действия. Соответственно, его необходимо регулярно и вовремя продлевать, чтобы пользовательские данные всегда были защищены. Сделать это можно тремя способами:

  • Подключить автоматическое продление;
  • Продлять вручную;
  • Заказывать новый сертификат.
  • Подключить автоматическое продление;
  • Продлять вручную;
  • Заказывать новый сертификат.

Автоматическое продление

Настраивается вручную в личном кабинете. При активации этой опции сертификат будет продляться за 14 дней до конца срока его действия, если на балансе есть необходимая сумма для его оплаты. ЦС отправляет обновленные файлы на электронную почту.

Продление вручную

Необходимо зайти в личный кабинет и подтвердить заявку на перевыпуск сертификата:

Оплатить услугу (через счет в кабинете, Webmoney, Яндекс.Деньги, картами Visa, MasterCard и т.д.).

Заказ нового сертификата

Нужно зайти в личный кабинет, выбрать сертификат в разделе «Товары», заказать и оплатить его.

КАК SSL-СЕРТИФИКАТ ВЛИЯЕТ НА КОНВЕРСИЮ САЙТА?

Эффективность сайта полностью зависит от того, насколько пользователи ему доверяют. Из это следует логичная закономерность: «уровень доверия = уровень конверсии». Наличие у сайта SSL-сертификата в этом уравнении играет значительную роль.

Визуальным признаком того, что данные пользователей на ресурсе защищены, являются следующие знаки:

Печать доверия
Она подтверждает, что на сайте установлен SSL-сертификат доверенного центра сертификации с надежной репутацией. У каждого ЦС печать доверия выглядит по-разному:

Закрытый замок перед адресом сайта в адресной строке
Символ сигнализирует пользователям, что ресурс безопасен и они могут смело вводить пароли и конфиденциальные личные данные — номера банковских карт, сканы удостоверений личности и т.д.

Зелёная адресная строка
Признак максимально надежного и безопасного сайта. Он указывает на то, что сайт принадлежит реальной компании, вся информация о которой проверена и подтверждена центром сертификации.

Важный момент: в случае потери приватного ключа, восстановить его не получится. Потребуется перевыпуск сертификата.

HTTPS и поисковые системы

Еще один веский повод установить сертификат — получить лояльность поисковых систем. Представитель Google еще в 2014 году официально заявил, что уровень безопасности соединения для их поисковой системы — важный фактор ранжирования. Сайты с HTTPS-соединением занимают в выдаче более высокие позиции.

Вот, что написал о значении безопасного соединения технический писатель Google Кейси Баски:

Яндекс также учитывает наличие SSL-сертификата при ранжировании сайта в поиске:

Поэтому, изменяя протокол HTTP на HTTPS, нужно сразу задействовать сигналы, которые сообщают системе о переходе сайта на безопасное соединение:

  • Использовать 301-й редирект;
  • Изменить настройки в Вебмастере;
  • Заменить sitemap.xml и директиву host.

Переход сайта на HTTPS — сложности и особенности

Когда сайт изначально запускается с HTTPS-соединением, у владельца не возникает никаких сложностей или вопросов. Другое дело, когда на защищенный протокол переходит работающий ресурс с высокими показателями органического трафика и конверсии. Их колебания в период смены протокола заставят владельца сайта и SEO-специалиста поволноваться.

При переходе сайта на HTTPS-соединение всегда наблюдается падение органического трафика. Не стоит по этому поводу переживать. Это временное явление и совсем скоро количество переходов вернется на прежний уровень или станет еще выше.

К тому же, есть эффективные способы предупредить снижение трафика и минимизировать это явление:

  • Убедитесь, что длина ключа сертификата 2048 бит;
  • Проведите тест на правильность настройки SSL-сертификата. Для этого есть специальные приложения;
  • Используйте 301 редирект только после выполнения всех настроек в веб-мастерах Яндекса и Google$
  • Измените абсолютные внутренние ссылки на относительные;
  • Обновите файл robots.txt;
  • Проверьте, не заблокирован ли robots.txt по HTTPS;
  • Проверьте корректность sitemap.xml;
  • Убедитесь, что у всех страниц есть HTTPS;
  • Проверьте корректность отображения ресурса в разных обозревателях и операционных системах на десктопных и мобильных устройствах.

Также убедитесь, что в https-версии сайта соблюдены следующие условия:

Проконтролируйте, чтобы все ссылки в этих протоколах и в sitemap.xml доступны по https.

Сложности с реферальным трафиком
Проблема возникает на сайтах с HTTPS, когда пользователи с него переходят на ресурсы с HTTP. Например, по рекламному баннеру, который разместил рекламодатель. Если на HTTPS-сайте не установлены нужные правила, в аналитике Яндекса и Google рекламодателя сайт не отобразится как источник трафика. Сервисы распознают его как прямые переходы. Соответственно, владелец HTTPS-сайт, который зарабатывает на размещении рекламы, теряет деньги.

Чтобы такого не произошло, на страницах ресурса с HTTPS нужно перед закрывающим тегом </head> добавить мета-тег:

В качестве [директива] можно указывать одну из следующих тактик поведения:

Для решения проблемы с реферальным трафиком оптимальным будет вариант:

ИТОГ

В этой статье мы постарались простыми словами объяснить довольно сложную тему. Хочется верить, что у нас это получилось, и вопросов о сути и важности SSL-сертификатов у вас стало меньше. Также надеемся, что в этом материале вы нашли необходимые аргументы для перевода своего ресурса на HTTPS, если до сих пор сомневались, нужно ли это вашему сайту.

Оставьте заявку, мы проведем бесплатный аудит вашего бизнеса

    Ваши данные не будут переданы третьим лицам.
    Автор
    Юлия Букреева
    Middle SEO Specialist

    Понравилась ли вам статья?

    Нажмите на звезду, чтобы оценить!

    Средняя оценка 5 / 5. Количество оценок: 4

    Оценок пока нет. Поставьте оценку первым.

    Вам нужен системный и рентабельный трафик на сайт?
    Оставьте заявку и получите бесплатную консультацию наших специалистов

      Добавить комментарий

      Ваш адрес email не будет опубликован. Обязательные поля помечены *