Поиск по сайту Поиск

Вопрос-ответ: всё про SSL-сертификаты

Возможно, создавая сайты и работая с ними, вы слышали что-то про SSL-сертификаты, но до сих пор не решались детально разобраться в этом вопросе. Но поверьте, всё не так сложно, как кажется. Специально для вас редакция блога подготовила этот пост «вопрос-ответ», в котором мы разберём все популярные вопросы о SSL-сертификатах. 

Что это за сертификат такой?

SSL-сертификат — это цифровая подпись сайта, которая нужна для работы протокола защищённой передачи данных в интернете. Аббревиатура SSL означает Secure Sockets Layer – протокол безопасности, создающий зашифрованное соединение между веб-сервером и веб-браузером.

Проще говоря, такой сертификат обеспечивает зашифрованное соединение между пользователями и сайтом. Благодаря этому вся информация, которой они обмениваются, защищена от посторонних, например, от провайдера, оператора WI-FI сети и злоумышленников. 

А как понять защищен сайт или нет?

Это очень просто — вам достаточно взглянуть в адресную строку страницы (она ещё называется URL). Там вы должны увидеть иконку закрытого замка, который обычно находится слева от ссылки (или прям на ней — всё зависит от вашего браузера) и надпись https — дополнительная буква «s» означает secure «защищенный».

как понять, что сайт защищен

Зачем вообще нужно шифроваться? Я не делаю ничего противозаконного

Потому что, заходя на сайт, пользователи оставляют о себе много информации — номера банковский карт, паспортные данные, номера телефонов, логины, пароли и ещё много всего.

Давайте представим ситуации — вы оплачиваете заказ в интернете и вас просят ввести номер банковской карты. Браузер передаёт эту информацию на сервер, где специальная программа проверяет подлинность карты и отсылает квитанцию о покупке. Потом банк снимает с карты деньги. Казалось бы, что в этом такого? Но! Обычно браузер передаёт всю информацию в открытом виде. То есть на пути этой передачи могут оказаться мошенники, перехватить данные вашей карты и использовать её в своих корыстных целях. Отследить такой вид мошенничества крайне трудно. Обычно все становится ясно постфактум, когда деньги исчезли с карты или пароль от вашего аккаунта украден. 

Поэтому прежде всего защищаться нужно интернет-магазинам, банкам, платёжным системам, соцсетям, форумам — всем сайтам, которые обрабатывают персональные данные и проводят финансовые транзакции.

То есть такие защищённые сайты не могут взломать хакеры?

SSL защищают сайт от перехвата информации, которой пользователь обменивается с сайтом. А ещё некоторые SSL-сертификаты подтверждают (OV и ЕV), что посетитель веб-ресурса имеет дело с авторизованным сайтом, который принадлежит определённому владельцу. Это особенно актуально к концу года, когда большинство интернет-магазинов анонсируют крупные распродажи к Новому году или Рождеству. Злоумышленники пользуются этим и создают так называемые сайты-клоны и фишинговые страницы. 

данные ssl сертификата

Но, нажав на замочек, вы сможете убедиться в подлинности организации. Нажав на вкладку «Подробнее», вы найдёте следующую информацию:

  • доменное имя, на которое оформлен SSL-сертификат;
  • юридическое лицо, которое владеет сертификатом.

Вы хотите сказать, что когда я ввожу свои логин и пароль на сайте, где нет сертификата, их могут украсть?

Да, риск перехвата данных просто зашкаливает. Незашифрованную информацию может перехватить недобросовестный поставщик интернет-услуг, хостер сайта или же злоумышленник, который подключен вместе с вами к одной WI-FI-сети. Ещё один минус незащищённого сайта в том, что на них могут собирать информацию, которую потом продадут сторонним компаниям для таргетной рекламы. 

А какие ещё есть плюсы от SSL для владельца сайта?

Пользователи привыкают, что все крупные проекты используют SSL-сертификаты. Надпись «Защищено» и замочек дают посетителю сайта представление о том, что он и его данные находятся в безопасности.

Например, большинство браузеров и поисковиков активно борются с незащищёнными сайтами. Например, компания Google понижает их в поисковой выдаче и отправляют специальные страницы-предупреждения на экран пользователя. 

зачем нужен ssl

Также некоторые платёжные системы (Яндекс.Деньги) и сервисы (Голосовой помощник Google Chrome) работают только с сайтами с HTTPS протоколом. Если специфика вашей работы подразумевает взаимодействие с аналогичными сервисами, рекомендуем вам установить SSL-сертификат.

Кроме того, SSL-сертификат не позволяет перенаправлять пользователей на подменный ресурс, а самим сайтам помогает не нарушать федеральный закон № 152.

Что за закон такой?

Это закон «О персональных данных». Если сайт собирает хотя бы минимальную информацию о пользователях, например ФИО или email, то он становится оператором персональных данных. Согласно закону такие сайты должны соблюдать множество правил по защите данных своих клиентов, и установка SSL-сертификата — одна из них.

Ок, понятно, что сертификат нужен. Он один такой?

Нет, есть несколько видов SSL-сертификатов. 

 Во-первых, сертификаты делят на три группы по типу, как именно будет проверяться сайт:

  1. Сертификат DV (Domain Validation)  подтверждает домен, а также шифрует и защищает данные при передаче с помощью протокола https. Установить его себе на сайт могут как физические лица, так и организации. Выпускается он, как правило, о-о-очень быстро — точно не дольше трёх часов. После выпуска сертификата и установки на сайте появляется значок замочка и страница становится защищённой.
  2. Второй тип — это OV (Organization Validation) SSL. Главное его отличие в том, что помимо защиты информации на сайте он подтверждает владение доменом конкретной компании. Сертификат выдаётся только компаниям с подтвержденным номером телефона и юридическим адресом. На сайте с таким сертификатом пользователь может найти информацию об организации — владельце сайта, открыв данные сертификата. Выпускается этот тип SSL как правило в течение трёх дней.
  3. Сертификат EV (Extended Validation) — по сути то же самое, что и OV-сертификат. Главное отличие в том, что при клике на замочек появляется название компании. Дело в том, что в организации детально проверяется и налоговая, и коммерческая деятельность компании. Выпускается EV SSL как правило в течение 5 дней.

Во-вторых, они могут отличаться по количеству доменов и поддоменов, которые будут защищать. SSL-сертификаты отличаются по типу защиты. В этой категории три вида сертификатов:

  • Для одного домена — сертификат защитит основной домен или любой субдомен. Такой SSL подойдёт, если клиенты вводят личные данные на какой-то одной странице сайта. Например, такой сертификат подойдёт для личного сайта, блога или промо-страницы.
  • Для нескольких доменов одной компании. Сертификат подойдёт компаниям с сайтами-«зеркалами» в других доменных зонах. Или, например, для сайтов с конкурсами и акциями, которые размещаются на отдельном домене.
  • Для субдоменов. Этот SSL Одновременно защитит основной домен и все субдомены, на который он выпущен, например выпустить домены* reg.ru или *.b2b.reg.ru. Этот тип подойдёт сайту, у которого есть разделы на субдоменах, например, сайты, на которых можно создавать личные аккаунты — интернет-магазины или банки.

Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции, которые мы упомянули выше:

  • WildCard — защищает соединение с доменом и всеми его поддоменами.
  • SAN — защищает домены по списку, указанному при получении SSL-сертификата.

Так, а где можно получить SSL-сертификат?

Здесь тоже всё просто — в специальных удостоверяющих центрах. Эти центры подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи. Возможно вы уже встречали такие названия таких УЦ, как: GlobalSign, Symantec, Comodo, Thawte, GeoTrust, DigiCert. 

Также распространением сертификатов занимаются партнёры УЦ, в том числе и REG.RU.

А зачем мне платить, если есть бесплатные сертификаты, которые выдают просто так? 

Существует несколько видов бесплатных сертификатов. Есть такие проекты, как CloudFlare или LetsEncrypt, где можно получить сертификат бесплатно и самостоятельно. Такие сертификаты выпускаются всего на 3 месяца и далее требуют продления (иногда платного). Но в их установке и использовании есть ряд минусов. Например, эти сертификаты не предусматривает печати доверия. Также сертификат Cloudflare  и выдаётся на 50 сайтов сразу, что несёт за собой риски безопасности. Если говорить о LetsEncrypt учтите, что сертификат поддерживается далеко не во всех браузерах.

Также просим вас сохранять бдительность. Если вы видите, что перед вами «крупный» сайт с бесплатным сертификатом — задумайтесь, довольно часто их выбирают мошенники, чтобы вызвать доверие пользователей. Мошенники вряд ли будут связываться с авторитетным УЦ да ещё и платить за то, что можно получить бесплатно. 

Что за печать доверия?

Печать доверия — это особый знак, позволяющий посетителям видеть, что соединение с вашим сайтом и все передаваемые данные надёжно защищены.

Существует два вида печатей: 

  1. Статическая — изображение формата PNG, которое прилагается к сертификатам с проверкой домена. При клике по картинке пользователь попадает на страницу с информацией о сертификате.
  2. Динамическая — такое же изображение, но без ссылки. При наведении курсора открывается встроенное окно с подробной информацией о компании и сертификате, защищающем сайт.

Когда посетитель видит печать SSL на сайте, он ещё раз убеждается, что соединение с ним надёжно защищено. Можно совершать покупки, денежные переводы и не беспокоиться, что данные перехватят мошенники. И раз доверие пользователей к сайту растёт, значит и конверсия повышается.

Зачем тогда вообще нужны бесплатные SSL?

Эти сертификаты могут стать отличным решением в качестве тест-драйва с возможностью сэкономить на первый год. Например, на нашем сайте вы можете приобрести бесплатный SSL‑сертификат от GlobalSign вместе с доменом или хостингом на год — этого времени должно хватить для старта интернет-проекта, а по мере его роста можно перейти на платный тариф.

А как понять, какой сертификат мне нужен?

На самом деле всё зависит от ваших потребностей. Сначала определитесь какое количество поддоменов вам нужно защитить. Потом задумайтесь о предпочтительной степени проверки вашей компании. От этого и будет зависеть цена SSL. Выбрать нужный сертификат можно на нашем сайте, пройдя специальный квиз. Также обратите внимание, что мы выдаём и бесплатные DV-сертификаты GlobalSign.

Как установить SSL-сертификат? Наверное, сложно?

Не очень. Если вы покупаете сертификат в REG.RU, то вам не нужно ничего делать — этот процесс полностью автоматизирован. Но, если вдруг возникнут какие-то вопросы, вы всегда можете посмотреть интересующую вас инструкцию в разделе про SSL в нашей Базе знаний или обратиться в нашу техническую поддержку.

купить ssl сертификат бесплатно

⌘⌘⌘

Надеемся, что наша статья оказалась полезной, и мы помогли вам разобраться в вопросах про SSL-сертификаты. Не забывайте, что ваши клиенты не просто регистрируются на сайте, а доверяют вам свои личные данные. Не подведите их, побеспокойтесь о безопасности сайта уже сейчас!

«Доменный брокер» или как REG.RU договаривается о покупке за вас

Давайте представим, что вы решили зарегистрировать домен, но оказалось, что он уже занят другим администратором или владельцем. Казалось бы, что...
Read More

Google Workspace: Gmail, видеозвонки, календарь и многое другое

Хотите выстроить работу в режиме удалёнки? Это не так уж и сложно. Организовать онлайн-офис вам помогут digital-инструменты, например, Google Workspace,...
Read More

Бесплатный SSL vs платный SSL-сертификат: какой выбрать?

Недавно мы уже отвечали на вопросы о том, что такое SSL-сертификат, как он связан с безопасностью сайта и данных пользователей....
Read More

Слушать, говорить, договариваться: что такое Soft Skills

Успех в работе — это не только про опыт в специализации. Для продвижения по карьерной лестнице важно ладить с коллегами,...
Read More

Создаём лендинг, который будет продавать

Создание лендинга — важный этап для тех, кто хочет продвигать свои услуги или товары в Сети. Именно с его помощью...
Read More

Безопасность ИТ-инфраструктуры

Сегодня часто в новостях появляется информация об утечках данных. Ранее мы уже рассказывали о том, что такое ИТ-инфраструктура. В этой...
Read More

Дата-центры в фактах и цифрах

Всем известно, что в именно в дата-центрах 24 на 7 хранится весь контент интернета — от видео с котиками до...
Read More

Феномены настоящего и будущего — цифровые двойники, нейросети, интернет: книга Алексея Королюка

У нас классная новость и мы спешим ей поделиться с вами! Серийный предприниматель и сооснователь REG.RU Алексей Королюк выпустил свою...
Read More

Вопрос-ответ: всё про SSL-сертификаты

Возможно, создавая сайты и работая с ними, вы слышали что-то про SSL-сертификаты, но до сих пор не решались детально разобраться...
Read More

Разбираемся вместе: что такое система хранения данных

Надёжное хранение данных — задача, которую приходится решать каждому бизнесу. Но когда повышаются объёмы информации, растут и требования к надёжности...
Read More