Вопрос-ответ: всё про SSL-сертификаты
Возможно, создавая сайты и работая с ними, вы слышали что-то про SSL-сертификаты, но до сих пор не решались детально разобраться в этом вопросе. Но поверьте, всё не так сложно, как кажется. Специально для вас редакция блога подготовила этот пост «вопрос-ответ», в котором мы разберём все популярные вопросы о SSL-сертификатах.
Что это за сертификат такой?
SSL-сертификат — это цифровая подпись сайта, которая нужна для работы протокола защищённой передачи данных в интернете. Аббревиатура SSL означает Secure Sockets Layer – протокол безопасности, создающий зашифрованное соединение между веб-сервером и веб-браузером.
Проще говоря, такой сертификат обеспечивает зашифрованное соединение между пользователями и сайтом. Благодаря этому вся информация, которой они обмениваются, защищена от посторонних, например, от провайдера, оператора WI-FI сети и злоумышленников.
А как понять защищен сайт или нет?
Это очень просто — вам достаточно взглянуть в адресную строку страницы (она ещё называется URL). Там вы должны увидеть иконку закрытого замка, который обычно находится слева от ссылки (или прям на ней — всё зависит от вашего браузера) и надпись https — дополнительная буква «s» означает secure «защищенный».
Зачем вообще нужно шифроваться? Я не делаю ничего противозаконного
Потому что, заходя на сайт, пользователи оставляют о себе много информации — номера банковский карт, паспортные данные, номера телефонов, логины, пароли и ещё много всего.
Давайте представим ситуации — вы оплачиваете заказ в интернете и вас просят ввести номер банковской карты. Браузер передаёт эту информацию на сервер, где специальная программа проверяет подлинность карты и отсылает квитанцию о покупке. Потом банк снимает с карты деньги. Казалось бы, что в этом такого? Но! Обычно браузер передаёт всю информацию в открытом виде. То есть на пути этой передачи могут оказаться мошенники, перехватить данные вашей карты и использовать её в своих корыстных целях. Отследить такой вид мошенничества крайне трудно. Обычно все становится ясно постфактум, когда деньги исчезли с карты или пароль от вашего аккаунта украден.
Поэтому прежде всего защищаться нужно интернет-магазинам, банкам, платёжным системам, соцсетям, форумам — всем сайтам, которые обрабатывают персональные данные и проводят финансовые транзакции.
То есть такие защищённые сайты не могут взломать хакеры?
SSL защищают сайт от перехвата информации, которой пользователь обменивается с сайтом. А ещё некоторые SSL-сертификаты подтверждают (OV и ЕV), что посетитель веб-ресурса имеет дело с авторизованным сайтом, который принадлежит определённому владельцу. Это особенно актуально к концу года, когда большинство интернет-магазинов анонсируют крупные распродажи к Новому году или Рождеству. Злоумышленники пользуются этим и создают так называемые сайты-клоны и фишинговые страницы.
Но, нажав на замочек, вы сможете убедиться в подлинности организации. Нажав на вкладку «Подробнее», вы найдёте следующую информацию:
- доменное имя, на которое оформлен SSL-сертификат;
- юридическое лицо, которое владеет сертификатом.
Вы хотите сказать, что когда я ввожу свои логин и пароль на сайте, где нет сертификата, их могут украсть?
Да, риск перехвата данных просто зашкаливает. Незашифрованную информацию может перехватить недобросовестный поставщик интернет-услуг, хостер сайта или же злоумышленник, который подключен вместе с вами к одной WI-FI-сети. Ещё один минус незащищённого сайта в том, что на них могут собирать информацию, которую потом продадут сторонним компаниям для таргетной рекламы.
А какие ещё есть плюсы от SSL для владельца сайта?
Пользователи привыкают, что все крупные проекты используют SSL-сертификаты. Надпись «Защищено» и замочек дают посетителю сайта представление о том, что он и его данные находятся в безопасности.
Например, большинство браузеров и поисковиков активно борются с незащищёнными сайтами. Например, компания Google понижает их в поисковой выдаче и отправляют специальные страницы-предупреждения на экран пользователя.
Также некоторые платёжные системы (Яндекс.Деньги) и сервисы (Голосовой помощник Google Chrome) работают только с сайтами с HTTPS протоколом. Если специфика вашей работы подразумевает взаимодействие с аналогичными сервисами, рекомендуем вам установить SSL-сертификат.
Кроме того, SSL-сертификат не позволяет перенаправлять пользователей на подменный ресурс, а самим сайтам помогает не нарушать федеральный закон № 152.
Что за закон такой?
Это закон «О персональных данных». Если сайт собирает хотя бы минимальную информацию о пользователях, например ФИО или email, то он становится оператором персональных данных. Согласно закону такие сайты должны соблюдать множество правил по защите данных своих клиентов, и установка SSL-сертификата — одна из них.
Ок, понятно, что сертификат нужен. Он один такой?
Нет, есть несколько видов SSL-сертификатов.
Во-первых, сертификаты делят на три группы по типу, как именно будет проверяться сайт:
- Сертификат DV (Domain Validation) подтверждает домен, а также шифрует и защищает данные при передаче с помощью протокола https. Установить его себе на сайт могут как физические лица, так и организации. Выпускается он, как правило, о-о-очень быстро — точно не дольше трёх часов. После выпуска сертификата и установки на сайте появляется значок замочка и страница становится защищённой.
- Второй тип — это OV (Organization Validation) SSL. Главное его отличие в том, что помимо защиты информации на сайте он подтверждает владение доменом конкретной компании. Сертификат выдаётся только компаниям с подтвержденным номером телефона и юридическим адресом. На сайте с таким сертификатом пользователь может найти информацию об организации — владельце сайта, открыв данные сертификата. Выпускается этот тип SSL как правило в течение трёх дней.
- Сертификат EV (Extended Validation) — по сути то же самое, что и OV-сертификат. Главное отличие в том, что при клике на замочек появляется название компании. Дело в том, что в организации детально проверяется и налоговая, и коммерческая деятельность компании. Выпускается EV SSL как правило в течение 5 дней.
Во-вторых, они могут отличаться по количеству доменов и поддоменов, которые будут защищать. SSL-сертификаты отличаются по типу защиты. В этой категории три вида сертификатов:
- Для одного домена — сертификат защитит основной домен или любой субдомен. Такой SSL подойдёт, если клиенты вводят личные данные на какой-то одной странице сайта. Например, такой сертификат подойдёт для личного сайта, блога или промо-страницы.
- Для нескольких доменов одной компании. Сертификат подойдёт компаниям с сайтами-«зеркалами» в других доменных зонах. Или, например, для сайтов с конкурсами и акциями, которые размещаются на отдельном домене.
- Для субдоменов. Этот SSL Одновременно защитит основной домен и все субдомены, на который он выпущен, например выпустить домены* reg.ru или *.b2b.reg.ru. Этот тип подойдёт сайту, у которого есть разделы на субдоменах, например, сайты, на которых можно создавать личные аккаунты — интернет-магазины или банки.
Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции, которые мы упомянули выше:
- WildCard — защищает соединение с доменом и всеми его поддоменами.
- SAN — защищает домены по списку, указанному при получении SSL-сертификата.
Так, а где можно получить SSL-сертификат?
Здесь тоже всё просто — в специальных удостоверяющих центрах. Эти центры подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи. Возможно вы уже встречали такие названия таких УЦ, как: GlobalSign, Symantec, Comodo, Thawte, GeoTrust, DigiCert.
Также распространением сертификатов занимаются партнёры УЦ, в том числе и REG.RU.
А зачем мне платить, если есть бесплатные сертификаты, которые выдают просто так?
Существует несколько видов бесплатных сертификатов. Есть такие проекты, как CloudFlare или LetsEncrypt, где можно получить сертификат бесплатно и самостоятельно. Такие сертификаты выпускаются всего на 3 месяца и далее требуют продления (иногда платного). Но в их установке и использовании есть ряд минусов. Например, эти сертификаты не предусматривает печати доверия. Также сертификат Cloudflare и выдаётся на 50 сайтов сразу, что несёт за собой риски безопасности. Если говорить о LetsEncrypt учтите, что сертификат поддерживается далеко не во всех браузерах.
Также просим вас сохранять бдительность. Если вы видите, что перед вами «крупный» сайт с бесплатным сертификатом — задумайтесь, довольно часто их выбирают мошенники, чтобы вызвать доверие пользователей. Мошенники вряд ли будут связываться с авторитетным УЦ да ещё и платить за то, что можно получить бесплатно.
Что за печать доверия?
Печать доверия — это особый знак, позволяющий посетителям видеть, что соединение с вашим сайтом и все передаваемые данные надёжно защищены.
Существует два вида печатей:
- Статическая — изображение формата PNG, которое прилагается к сертификатам с проверкой домена. При клике по картинке пользователь попадает на страницу с информацией о сертификате.
- Динамическая — такое же изображение, но без ссылки. При наведении курсора открывается встроенное окно с подробной информацией о компании и сертификате, защищающем сайт.
Когда посетитель видит печать SSL на сайте, он ещё раз убеждается, что соединение с ним надёжно защищено. Можно совершать покупки, денежные переводы и не беспокоиться, что данные перехватят мошенники. И раз доверие пользователей к сайту растёт, значит и конверсия повышается.
Зачем тогда вообще нужны бесплатные SSL?
Эти сертификаты могут стать отличным решением в качестве тест-драйва с возможностью сэкономить на первый год. Например, на нашем сайте вы можете приобрести бесплатный SSL‑сертификат от GlobalSign вместе с доменом или хостингом на год — этого времени должно хватить для старта интернет-проекта, а по мере его роста можно перейти на платный тариф.
А как понять, какой сертификат мне нужен?
На самом деле всё зависит от ваших потребностей. Сначала определитесь какое количество поддоменов вам нужно защитить. Потом задумайтесь о предпочтительной степени проверки вашей компании. От этого и будет зависеть цена SSL. Выбрать нужный сертификат можно на нашем сайте, пройдя специальный квиз. Также обратите внимание, что мы выдаём и бесплатные DV-сертификаты GlobalSign.
Как установить SSL-сертификат? Наверное, сложно?
Не очень. Если вы покупаете сертификат в REG.RU, то вам не нужно ничего делать — этот процесс полностью автоматизирован. Но, если вдруг возникнут какие-то вопросы, вы всегда можете посмотреть интересующую вас инструкцию в разделе про SSL в нашей Базе знаний или обратиться в нашу техническую поддержку.
⌘⌘⌘
Надеемся, что наша статья оказалась полезной, и мы помогли вам разобраться в вопросах про SSL-сертификаты. Не забывайте, что ваши клиенты не просто регистрируются на сайте, а доверяют вам свои личные данные. Не подведите их, побеспокойтесь о безопасности сайта уже сейчас!