В интернете многих волнует защита данных. Из-за вирусов, хакерских взломов, неосторожности самих простых пользователей мошенники могут получить доступ к личной информации, перепискам и данным о денежных переводах. Чтобы соединение между устройством человека и сайтом надежно защищалось, прибегают к помощи SSL-сертификата. Сегодня подробнее рассмотрим именно эту тему.
Суть SSL-сертификата
Расшифровывается как Secure Sockets Layer. Дословный перевод - «уровень защищенных сокетов». Простыми словами: шифровальный протокол, кодирующий информацию, чтобы защитить процесс обмена ею.
Теперь попробуем еще более простым языком. Если на ресурсе оставляют какую-то важную информацию (например, персональные данные, реквизиты карты, номер личного счета и т.д.), при наличии SSL она направляется на сервер по https протоколу в формате шифра. Даже если эту информацию перехватят мошенники, шанс, что они смогут ее раскодировать, - минимален.
Https – это не специальный протокол, на самом деле это тот же http, только поддерживающий кодирование информации (secured). Когда пользователь приходит на ресурс, имеющий https-протокол, сервер, на котором размещен этот сайт, должен доказать его существование. Поэтому он отправляет браузеру особый сертификат в цифровом формате.
Если подлинность сайта будет подтверждена, в браузерной строке появится символ замка, а также слово «Защищено» в Google Chrome. В соответствии с разновидностью SSL-сертификата, в нем могут быть указаны следующие сведения:
- домен;
- характеристика обладателя сайта (юрлицо или физлицо);
- наименование центра, предоставившего сертификат;
- дата прекращения функционирования;
- алгоритм кодирования и т.п.
SSL-сертификат делает сайт менее уязвимым от взлома и кражи информации мошенниками.
Типы SSL-сертификатов
Различая источник подписи и тип проверки информации, можно выделить несколько видов SSL-сертификатов. Коротко разберем их.
По источнику подписи:
1. Самоподписанные.
Фактически это сертификат, который владелец сайта выдал сам себе. Практически каждый пользователь может выписать его самостоятельно. Ну и не сложно догадаться, что толку от такого сертификата немного. Почти все браузеры будут предупреждать посетителей такого ресурса о том, что соединение небезопасно, поскольку не знают точно, выдан сертификат самим владельцем или злоумышленником.
2. Подписанные недоверенным центром.
Что это значит? Сертификат прошел проверку, но независимая организация, которая контролирует принадлежность юрлицу или физлицу, а также реальное существование сайта, не уполномочена такими правами. Так, центр Symantec признан недоверенным в марте 2018-го. Началось все с того, что компания выдавала сертификаты без официальных запросов от пользователей. А затем Google установил, что от лица данного центра выписывали сертификаты еще четыре других организации.
3. Подписанные доверенным центром.
Их выдают организации, которые имеют на это официальное право. Достаточно заполнить заявку с личными данными, отправить и подождать ответа. Сертификат придет на электронную почту. Он будет отображаться в любом браузере, вся предоставленная информация тщательно проверится и подтвердится. Кстати, некоторые конструкторы сайтов предоставляют пользователю и сертификат. По этому принципу работает, например, Ucraft.
Стоит сказать, что сертификаты, выданные доверенным центром, также имеют свои разновидности в соответствии с типом проверки информации:
- Essential SSL. Довольно распространенный сертификат. Подходит как для юрлиц, так и для физлиц. Доступен лишь для одного домена. Контроль за реальным существованием сайта проводится через E-mail, запись DNS или хэш-код. Персональная информация и реквизиты организации не подлежат проверке.
- Wildcard SSL. Действует как стандартный сертификат, но включает в себя безлимит на главный домен и дополнительные на нескольких серверах. Примерная стоимость такого сертификата - 300$ и выше.
- Instant SSL. Действует только на одном домене и подходит как для физических, так и для юрлиц. Проверяется подлинность сайта, персональная информация физлица или данные о регистрации юрлица.
- SGC SSL-сертификат. Очень похож на Instant SSL, поддерживает около 40 бит расширений. Благодаря этому, сертификат позволяет открываться сайту даже в старых браузерах и операционных системах. Тоже действует лишь на одном домене.
- Extended Validation сертификат. Здесь подключается серьезная проверка. Сертификат выдается только юридическим лицам. Под контроль ставится подлинность сайта, данные о регистрации организации, документация, заверенная нотариусом, и т.п. Уникальность подтверждается адресной строкой зеленого цвета в браузере. Стоимость такого сертификата – около 350$.
- Extended Validation Multidomain сертификат. Похож на предыдущий, но поддерживает даже 100 доменов. Стоимость данного сертификата – минимум 800$.
Зачем ресурсу необходим SSL-сертификат?
Теперь мы понимаем, что главное назначение SSL-сертификата – это сохранение информации в безопасности. Это особенно важно для ниш, связанных с денежными средствами, и для сайтов, которые собирают информацию пользователей. Давайте тогда разберемся с главными преимуществами, которые дает наличие SSL-сертификата.
1. Охрана данных
Это первое и главное, пожалуй, преимущество, которое дает сертификат. Если на сайте собирается секретная информация, личные данные посетителей, то владельцам крайне важно обезопасить и себя, и своих клиентов кодированием такого контента при передаче его серверу. Сертификат позволяет шифровать полученные сведения, так что даже при их заполучении злоумышленники попросту не поймут, что получили.
2. Усиление доверия к ресурсу
Ни для кого не секрет, что замок зеленого цвета в браузерной строке значительно увеличивает доверие пользователей к сайту. Все мы привыкли, что действительно серьезные компании и бренды владеют SSL-сертификатами. Многие пользователи могут даже не знать наверняка, что означает символ замочка, но надпись «Защищено» внушает чувство безопасности и надежности.
3. Возможность работы со сторонними сервисами
Некоторые ресурсы работают исключительно с сайтами, обладающими SSL-сертификатом. К ним относятся, например, сервис Яндекс.Деньги и Голосовой помощник от Google Chrome. Если вам тоже придется взаимодействовать с подобными сервисами, то вам крайне необходимо подумать над установкой HTTPS протокола.
4. Соблюдение законодательства
С недавних пор в России введен закон «О защите персональных данных». Если на вашем сайте происходит обмен личными данными, информацией о платежах и финансах, то вы считаетесь оператором персональной информации. Тогда для соблюдения законодательства вы обязаны обзавестись SSL-сертификатом.
5. SEO-продвижение
С 2014 года Google регулярно сообщает, что наличие HTTPS протокола будет оказывать влияние на ранжирование. Изначально сотрудники обещали, что этот признак качественности сайта будет играть незначительную роль. Но в итоге официальных данных так больше и не поступило. В Яндекс ранжирование сайтов с HTTP и HTTPS протоколами никак не отличается. Но поисковая система все же предупреждает, что для ресурсов, которые занимаются продажей товаров и услуг, а также финансовыми операциями, SSL-сертификат обязателен. И если прямо наличие сертификата сегодня на ранжирование не влияет, это может случиться уже завтра. Так что советуем перестраховаться.
На каком SSL-сертификате остановиться в зависимости от типа сайта?
- Личный сайт, портфолио
Для сайта, созданного физлицом, можно получить сертификат типа Domain Validation (DV). Он подтверждает подлинность ресурса и распространяется на 1 домен. Проверка данных проводится через электронную почту сайта. Получить такой бесплатный сертификат можно в доверенном центре Let’s Encrypt.
- Сайты физических лиц
Тут стоит подразделить ресурсы еще на несколько подвидов:
- Онлайн-визитки организаций. Здесь не производятся никакие платежные операции, акцента на информировании. Тогда здесь тоже актуальным будет сертификат типа Domain Validation. Он лишь кодирует информацию и устраняет надпись «Небезопасно» в строке браузера.
- Корпоративные сайты крупных магазинов, банков, платежных систем, средств массовой информации. На таких ресурсах производятся операции финансового характера, поэтому они интересны для злоумышленников. Здесь пригодится сертификат Extended Validation. Он доступен только реально существующим компаниям, поскольку в сертификате указываются наименование и сфера деятельности организации. Все данные тщательно проверяются. Строка браузера приобретет зеленый цвет, возникает название организации.
- Форумы, онлайн-магазины, сайты некоммерческих организаций. Сами ресурсы представляют мало интересного для мошенников, но они должны внушать доверие своим клиентам. Так что наличие сертификата значительно укрепит репутацию. Здесь понадобится сертификат типа Organization Validation. В нем будет значиться название организации, а в браузерной строке высветится зеленый замок.
Как стать обладателем SSL-сертификата?
В зависимости от того, где вы планируете получать свой сертификат, различается и сам процесс. Но стандартно это выглядит примерно следующим образом:
- Выбираете вид SSL на сайте доверенного центра.
- Вносите необходимую информацию. К обязательным данным относятся: домен, электронная почта, номер телефона представителя. Если вам необходим DV-сертификат, то этого достаточно. Если OV или EV, то придется добавить также документальное официальное подтверждение существования организации, а также соответствие осуществляемой деятельности указанной в сертификате (ИНН, выписка из Единого государственного реестра юридических лиц и т.д.).
- На почту придет уведомление об активации, перейдите по указанной ссылке.
- Пройдите проверку (результат может прийти как через 20 минут, так и через несколько недель, все зависит от выбранного вами вида сертификата). Будьте готовы к тому, что центр выдачи может запросить дополнительную документацию.
- Ждите на электронной почте файлы сертификата.
- Установите эти файлы на сайт и сохраните тем самым все данные сайта и пользовательскую информацию в безопасности.
Кстати, Ucraft бесплатно предоставляет SSL-сертификат для каждого сайта. Так что если вы давно хотели создать сайт, то, возможно, сейчас самое время.