Поиск по сайту Поиск

Вопрос-ответ: всё про SSL-сертификаты

Возможно, создавая сайты и работая с ними, вы слышали что-то про SSL-сертификаты, но до сих пор не решались детально разобраться в этом вопросе. Но поверьте, всё не так сложно, как кажется. Специально для вас редакция блога подготовила этот пост «вопрос-ответ», в котором мы разберём все популярные вопросы о SSL-сертификатах. 

Что это за сертификат такой?

SSL-сертификат — это цифровая подпись сайта, которая нужна для работы протокола защищённой передачи данных в интернете. Аббревиатура SSL означает Secure Sockets Layer – протокол безопасности, создающий зашифрованное соединение между веб-сервером и веб-браузером.

Проще говоря, такой сертификат обеспечивает зашифрованное соединение между пользователями и сайтом. Благодаря этому вся информация, которой они обмениваются, защищена от посторонних, например, от провайдера, оператора WI-FI сети и злоумышленников. 

А как понять защищен сайт или нет?

Это очень просто — вам достаточно взглянуть в адресную строку страницы (она ещё называется URL). Там вы должны увидеть иконку закрытого замка, который обычно находится слева от ссылки (или прям на ней — всё зависит от вашего браузера) и надпись https — дополнительная буква «s» означает secure «защищенный».

как понять, что сайт защищен

Зачем вообще нужно шифроваться? Я не делаю ничего противозаконного

Потому что, заходя на сайт, пользователи оставляют о себе много информации — номера банковский карт, паспортные данные, номера телефонов, логины, пароли и ещё много всего.

Давайте представим ситуации — вы оплачиваете заказ в интернете и вас просят ввести номер банковской карты. Браузер передаёт эту информацию на сервер, где специальная программа проверяет подлинность карты и отсылает квитанцию о покупке. Потом банк снимает с карты деньги. Казалось бы, что в этом такого? Но! Обычно браузер передаёт всю информацию в открытом виде. То есть на пути этой передачи могут оказаться мошенники, перехватить данные вашей карты и использовать её в своих корыстных целях. Отследить такой вид мошенничества крайне трудно. Обычно все становится ясно постфактум, когда деньги исчезли с карты или пароль от вашего аккаунта украден. 

Поэтому прежде всего защищаться нужно интернет-магазинам, банкам, платёжным системам, соцсетям, форумам — всем сайтам, которые обрабатывают персональные данные и проводят финансовые транзакции.

То есть такие защищённые сайты не могут взломать хакеры?

SSL защищают сайт от перехвата информации, которой пользователь обменивается с сайтом. А ещё некоторые SSL-сертификаты подтверждают (OV и ЕV), что посетитель веб-ресурса имеет дело с авторизованным сайтом, который принадлежит определённому владельцу. Это особенно актуально к концу года, когда большинство интернет-магазинов анонсируют крупные распродажи к Новому году или Рождеству. Злоумышленники пользуются этим и создают так называемые сайты-клоны и фишинговые страницы. 

данные ssl сертификата

Но, нажав на замочек, вы сможете убедиться в подлинности организации. Нажав на вкладку «Подробнее», вы найдёте следующую информацию:

  • доменное имя, на которое оформлен SSL-сертификат;
  • юридическое лицо, которое владеет сертификатом.

Вы хотите сказать, что когда я ввожу свои логин и пароль на сайте, где нет сертификата, их могут украсть?

Да, риск перехвата данных просто зашкаливает. Незашифрованную информацию может перехватить недобросовестный поставщик интернет-услуг, хостер сайта или же злоумышленник, который подключен вместе с вами к одной WI-FI-сети. Ещё один минус незащищённого сайта в том, что на них могут собирать информацию, которую потом продадут сторонним компаниям для таргетной рекламы. 

А какие ещё есть плюсы от SSL для владельца сайта?

Пользователи привыкают, что все крупные проекты используют SSL-сертификаты. Надпись «Защищено» и замочек дают посетителю сайта представление о том, что он и его данные находятся в безопасности.

Например, большинство браузеров и поисковиков активно борются с незащищёнными сайтами. Например, компания Google понижает их в поисковой выдаче и отправляют специальные страницы-предупреждения на экран пользователя. 

зачем нужен ssl

Также некоторые платёжные системы (Яндекс.Деньги) и сервисы (Голосовой помощник Google Chrome) работают только с сайтами с HTTPS протоколом. Если специфика вашей работы подразумевает взаимодействие с аналогичными сервисами, рекомендуем вам установить SSL-сертификат.

Кроме того, SSL-сертификат не позволяет перенаправлять пользователей на подменный ресурс, а самим сайтам помогает не нарушать федеральный закон № 152.

Что за закон такой?

Это закон «О персональных данных». Если сайт собирает хотя бы минимальную информацию о пользователях, например ФИО или email, то он становится оператором персональных данных. Согласно закону такие сайты должны соблюдать множество правил по защите данных своих клиентов, и установка SSL-сертификата — одна из них.

Ок, понятно, что сертификат нужен. Он один такой?

Нет, есть несколько видов SSL-сертификатов. 

 Во-первых, сертификаты делят на три группы по типу, как именно будет проверяться сайт:

  1. Сертификат DV (Domain Validation)  подтверждает домен, а также шифрует и защищает данные при передаче с помощью протокола https. Установить его себе на сайт могут как физические лица, так и организации. Выпускается он, как правило, о-о-очень быстро — точно не дольше трёх часов. После выпуска сертификата и установки на сайте появляется значок замочка и страница становится защищённой.
  2. Второй тип — это OV (Organization Validation) SSL. Главное его отличие в том, что помимо защиты информации на сайте он подтверждает владение доменом конкретной компании. Сертификат выдаётся только компаниям с подтвержденным номером телефона и юридическим адресом. На сайте с таким сертификатом пользователь может найти информацию об организации — владельце сайта, открыв данные сертификата. Выпускается этот тип SSL как правило в течение трёх дней.
  3. Сертификат EV (Extended Validation) — по сути то же самое, что и OV-сертификат. Главное отличие в том, что при клике на замочек появляется название компании. Дело в том, что в организации детально проверяется и налоговая, и коммерческая деятельность компании. Выпускается EV SSL как правило в течение 5 дней.

Во-вторых, они могут отличаться по количеству доменов и поддоменов, которые будут защищать. SSL-сертификаты отличаются по типу защиты. В этой категории три вида сертификатов:

  • Для одного домена — сертификат защитит основной домен или любой субдомен. Такой SSL подойдёт, если клиенты вводят личные данные на какой-то одной странице сайта. Например, такой сертификат подойдёт для личного сайта, блога или промо-страницы.
  • Для нескольких доменов одной компании. Сертификат подойдёт компаниям с сайтами-«зеркалами» в других доменных зонах. Или, например, для сайтов с конкурсами и акциями, которые размещаются на отдельном домене.
  • Для субдоменов. Этот SSL Одновременно защитит основной домен и все субдомены, на который он выпущен, например выпустить домены* reg.ru или *.b2b.reg.ru. Этот тип подойдёт сайту, у которого есть разделы на субдоменах, например, сайты, на которых можно создавать личные аккаунты — интернет-магазины или банки.

Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции, которые мы упомянули выше:

  • WildCard — защищает соединение с доменом и всеми его поддоменами.
  • SAN — защищает домены по списку, указанному при получении SSL-сертификата.

Так, а где можно получить SSL-сертификат?

Здесь тоже всё просто — в специальных удостоверяющих центрах. Эти центры подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи. Возможно вы уже встречали такие названия таких УЦ, как: GlobalSign, Symantec, Comodo, Thawte, GeoTrust, DigiCert. 

Также распространением сертификатов занимаются партнёры УЦ, в том числе и REG.RU.

А зачем мне платить, если есть бесплатные сертификаты, которые выдают просто так? 

Существует несколько видов бесплатных сертификатов. Есть такие проекты, как CloudFlare или LetsEncrypt, где можно получить сертификат бесплатно и самостоятельно. Такие сертификаты выпускаются всего на 3 месяца и далее требуют продления (иногда платного). Но в их установке и использовании есть ряд минусов. Например, эти сертификаты не предусматривает печати доверия. Также сертификат Cloudflare  и выдаётся на 50 сайтов сразу, что несёт за собой риски безопасности. Если говорить о LetsEncrypt учтите, что сертификат поддерживается далеко не во всех браузерах.

Также просим вас сохранять бдительность. Если вы видите, что перед вами «крупный» сайт с бесплатным сертификатом — задумайтесь, довольно часто их выбирают мошенники, чтобы вызвать доверие пользователей. Мошенники вряд ли будут связываться с авторитетным УЦ да ещё и платить за то, что можно получить бесплатно. 

Что за печать доверия?

Печать доверия — это особый знак, позволяющий посетителям видеть, что соединение с вашим сайтом и все передаваемые данные надёжно защищены.

Существует два вида печатей: 

  1. Статическая — изображение формата PNG, которое прилагается к сертификатам с проверкой домена. При клике по картинке пользователь попадает на страницу с информацией о сертификате.
  2. Динамическая — такое же изображение, но без ссылки. При наведении курсора открывается встроенное окно с подробной информацией о компании и сертификате, защищающем сайт.

Когда посетитель видит печать SSL на сайте, он ещё раз убеждается, что соединение с ним надёжно защищено. Можно совершать покупки, денежные переводы и не беспокоиться, что данные перехватят мошенники. И раз доверие пользователей к сайту растёт, значит и конверсия повышается.

Зачем тогда вообще нужны бесплатные SSL?

Эти сертификаты могут стать отличным решением в качестве тест-драйва с возможностью сэкономить на первый год. Например, на нашем сайте вы можете приобрести бесплатный SSL‑сертификат от GlobalSign вместе с доменом или хостингом на год — этого времени должно хватить для старта интернет-проекта, а по мере его роста можно перейти на платный тариф.

А как понять, какой сертификат мне нужен?

На самом деле всё зависит от ваших потребностей. Сначала определитесь какое количество поддоменов вам нужно защитить. Потом задумайтесь о предпочтительной степени проверки вашей компании. От этого и будет зависеть цена SSL. Выбрать нужный сертификат можно на нашем сайте, пройдя специальный квиз. Также обратите внимание, что мы выдаём и бесплатные DV-сертификаты GlobalSign.

Как установить SSL-сертификат? Наверное, сложно?

Не очень. Если вы покупаете сертификат в REG.RU, то вам не нужно ничего делать — этот процесс полностью автоматизирован. Но, если вдруг возникнут какие-то вопросы, вы всегда можете посмотреть интересующую вас инструкцию в разделе про SSL в нашей Базе знаний или обратиться в нашу техническую поддержку.

купить ssl сертификат бесплатно

⌘⌘⌘

Надеемся, что наша статья оказалась полезной, и мы помогли вам разобраться в вопросах про SSL-сертификаты. Не забывайте, что ваши клиенты не просто регистрируются на сайте, а доверяют вам свои личные данные. Не подведите их, побеспокойтесь о безопасности сайта уже сейчас!

FBS или FBO – схемы работы на маркетплейсах, какая из них лучше

Для бизнеса маркетплейс ― это неисчерпаемый источник клиентов, рекламная витрина и партнер, который может забрать на себя большую часть забот...
Read More

Валидация: что это и когда необходима

Валидация играет ключевую роль в обеспечении качества и надежности продуктов. Она помогает компаниям не только удовлетворить потребности клиентов, но и...
Read More

Как открыть интернет-магазин с нуля: гайд по запуску онлайн-бизнеса

К 2024 году интернет-магазины набрали большую популярность: большинство людей совершали онлайн-покупки хотя бы один раз в жизни. Как известно, спрос...
Read More

Машинное обучение: что такое и где применяют

Мир вокруг нас меняется быстрее, чем когда-либо. Алгоритмы, которые еще вчера были научной фантастикой, сегодня помогают водить автомобили, рекомендовать фильмы...
Read More

Коммерческое предложение: что это, зачем нужно, как его оформить

Коммерческое предложение — это ключевой инструмент, который позволяет компаниям представлять свои товары и услуги потенциальным клиентам. Рассмотрим, в каких случаях...
Read More

Как внедрить CRM-систему для подбора персонала в облаке и ускорить наем: кейс DIY Service

В кейсе рассказываем, как маркетинговое агентство DIY Service автоматизировало подбор и передачу кандидатов на вакансии в операционный отдел и оптимизировало...
Read More

Что такое CentOS – обзор, версии ОС

В мире IT есть много операционных систем, каждая из которых претендует на звание «лучшей». Среди этого множества дистрибутивов есть CentOS...
Read More

Холдинг: что это такое, как работает и кому выгоден

Рассмотрим, в чем особенности этой корпоративной структуры, какие у нее преимущества и недостатки. (далее…)
Read More

Байер: кто такой, чем занимается, сколько может заработать

Байера можно назвать менеджером по закупкам, но эта профессия подразумевает больше личного вовлечения. Для успешной карьеры в этой области нужно...
Read More

Что такое комплаенс: как бизнесу управлять рисками и вовремя решать проблемы

Соответствие требованиям закона и отраслевым стандартам — это не только юридическая необходимость, но и решающий фактор успеха и репутации компании....
Read More