Дизайн
Вёрстка макетов дизайна для сайта
Качественная верстка не просто переносит в браузер то, что нарисовал дизайнер, она также формирует основу успеха поискового продвижения вашего будущего сайта.
SSL: зачем нужен сертификат безопасности и в чем преимущества сайтов, открывающихся по HTTPS протоколу
На вопрос, какой будем ставить SSL сертификат, чаще всего звучат два ответа:
- А что это такое?
- А они что, разные бывают?
Оба варианта говорят о том, что нет понимания ценности этого инструмента. Рассказываем, зачем нужен сертификат безопасности, можно ли обойтись без него, зачем платить за SSL, если можно взять бесплатный, и какой тип сертификата подойдет именно вам.
- А что это такое?
- А они что, разные бывают?
Оба варианта говорят о том, что нет понимания ценности этого инструмента. Рассказываем, зачем нужен сертификат безопасности, можно ли обойтись без него, зачем платить за SSL, если можно взять бесплатный, и какой тип сертификата подойдет именно вам.
SSL сертификат
SSL (Secure Socket Layer — уровень защищенных сокетов) — это протокол, который гарантирует безопасность соединения между сервером и браузером пользователя. Чтобы использовать этот протокол у себя на сайте, подключают SSL сертификат, который является «цифровой подписью» сайта, неким удостоверением, подтверждающим безопасность для пользователя. Наличие SSL на сайте гарантирует, что личная и платежная информация не будет перехвачена злоумышленниками. Понять, что на сайте установлен SSL можно по следующим признакам:
Замок перед URL в адресной строке. В некоторых версиях браузера вместо замка может быть слово «Защищено».
Кликнув на замок, можно увидеть заверение, что информация защищена.
Кликнув на сертификат, можно ознакомиться с подробной информацией о нем:
- На какое доменное имя оформлен SSL-сертификат;
- Юрлицо, которое владеет сертификатом;
- Местонахождение владельца сертификата (город, страна);
- Срок действия SSL сертификата;
- Реквизиты компании выдавшей SSL-сертификат
Если кликнуть на URL, перед доменным именем будет префикс https — еще один признак защищенного соединения.
Что такое HTTPS и в чем отличие от HTTP
Взаимодействие с сайтом — это всегда обмен данными. Протокол HTTP — это технология, которая позволяет передавать информацию от пользователя к серверу и обратно. Эта схема существует более 30 лет, но, несмотря на ее видимое совершенство, есть один изъян: данные не шифруются. Если пользователь оставил на сайте свои контакты, реквизиты банковской карты, паспортные данные, логины и пароли — вся эта информация в первоначальном виде может быть перехвачена злоумышленниками.
Но протокол HTTP можно доработать при помощи сертификата безопасности:
Но протокол HTTP можно доработать при помощи сертификата безопасности:
HTTP + SSL = HTTPS
Защищенный SSL сертификатом протокол HTTPS шифрует информацию пользователя, превращая передачу данных в обмен ключами.
Как работает шифрование
Шифрование происходит при помощи 2 ключей: открытого и закрытого (их еще называют публичным и приватным). Открытый ключ — на стороне пользователей, закрытый — у владельца сайта.
Представьте, что перед входом на сайт, под ковриком у двери лежит ключ. Каждый зашедший посетитель может воспользоваться им, чтобы отправить заявку. Но второй ключ, висит у сайта на шее на цепочке и никто больше не имеет к нему доступ.
Александр зашел на сайт WebValley. Оставляя заявку, он воспользовался открытым ключом, как и тысячи пользователей до него. Но прочитать то, что было в этой заявке, сможет только WebValley, потому как ответный уникальный ключ, которым можно расшифровать это послание, в единственном экземпляре находится у WebValley и больше ни у кого в интернете.
Александр может быть на 100% уверен, что его персональные данные, которые он оставил на сайте, попадут только тому, кому предназначены, а не третьим лицам.
Если все же мошенники захотят перехватить отправленные данные, они увидят что-то вроде:
Представьте, что перед входом на сайт, под ковриком у двери лежит ключ. Каждый зашедший посетитель может воспользоваться им, чтобы отправить заявку. Но второй ключ, висит у сайта на шее на цепочке и никто больше не имеет к нему доступ.
Александр зашел на сайт WebValley. Оставляя заявку, он воспользовался открытым ключом, как и тысячи пользователей до него. Но прочитать то, что было в этой заявке, сможет только WebValley, потому как ответный уникальный ключ, которым можно расшифровать это послание, в единственном экземпляре находится у WebValley и больше ни у кого в интернете.
Александр может быть на 100% уверен, что его персональные данные, которые он оставил на сайте, попадут только тому, кому предназначены, а не третьим лицам.
Если все же мошенники захотят перехватить отправленные данные, они увидят что-то вроде:
Это очень сложный шифр, даже у мощного компьютера уйдут годы на то, чтобы его расшифровать.
В реальности, конечно, обмен ключами происходит в автоматическом режиме, ни пользователь, ни владелец сайта не задумываются о том, как шифруется и дешифруется информация. SSL сертификат берет все эти процессы на себя.
В реальности, конечно, обмен ключами происходит в автоматическом режиме, ни пользователь, ни владелец сайта не задумываются о том, как шифруется и дешифруется информация. SSL сертификат берет все эти процессы на себя.
Зачем нужен сертификат безопасности для сайта
Разобравшись, как работает SSL сертификат, уже можно сделать выводы, зачем он нужен. Однако, помимо очевидных преимуществ, он дает еще и дополнительные.
Подтверждение подлинности
SSL сертификат гарантирует подлинность ресурса, к которому обращается пользователь. Можно быть уверенным, что это не фишинговая страница и не другие мошеннические схемы, при которых один сайт, пытается замаскироваться под другой с целью кражи персональных данных. Это повышает доверие в глазах пользователя.
Целостность информации
При передаче информации от браузера к серверу и обратно данные не изменятся, не повредятся, не потеряются.
Конфиденциальность персональных данных
Сертификат безопасности помогает владельцу сайта не нарушить ФЗ 152 «О персональных данных». Он защищает такую информацию как:
- Учетные данные (логины, пароли) для входа в систему;
- Операции по банковской карте и платежные реквизиты пользователя;
- Персональную информацию: ФИО, адрес, дату рождения, email, номер телефона;
- Важные документы: сканы паспорта, ПТС, ИНН и т. д.;
- Медицинские документы (результаты анализов, заключение врача);
- Другую конфиденциальную информацию.
Фактор ранжирования в поисковых системах
Факторы ранжирования Яндекс оцениваются с точки зрения заботы о пользователе. SSL сертификат говорит поисковому роботу о том, что наш сайт ответственно относится к персональным данным пользователей, за счет чего мы получаем дополнительный траст от поисковой системы.
Для Google наличие SSL также является фактором ранжирования, кроме того, после июльского обновления алгоритма (Google July 2021 CoreUpdate), этот фактор приобрел больший вес, чем было раньше. В ближайшем будущем в ТОПе поисковой выдачи не останется сайтов, работающих по незащищенному протоколу.
Для Google наличие SSL также является фактором ранжирования, кроме того, после июльского обновления алгоритма (Google July 2021 CoreUpdate), этот фактор приобрел больший вес, чем было раньше. В ближайшем будущем в ТОПе поисковой выдачи не останется сайтов, работающих по незащищенному протоколу.
Выполнение требований различных сервисов
Если к сайту подключаются сторонние сервисы, такие как:
- Платежные системы;
- Онлайн консультанты;
- Системы записи на прием;
- Голосовые помощники и т. д.,
Виды SSL сертификатов
Итак, мы определились с тем, что SSL сертификат — это мастхев для сайта. Теперь осталось его купить. Но тут начинаются новые сложности — на первом же сайте по продаже сертификатов безопасности, вы столкнетесь с тем, что SSL не один. Оказывается, их множество видов, разброс по цене колоссальный, еще и называются они EV, SAN, Wildcard, OV — вообще ничего не понятно:
Но это сложно только для неподготовленного пользователя. Прочитав шпаргалку ниже, вы сможете ориентироваться в любых видах SSL, по одному лишь названию понимая, что это за сертификат и в каких ситуациях подойдет.
Сертификат с проверкой домена — Domain Validation SSL (DV, Positive)
Это SSL базового уровня. Он самый дешевый, выдается мгновенно. Все, что нужно сделать, чтобы получить такой сертификат — подтвердить домен, отсюда и название Domain Validation или просто DV. Физические лица могут подключить только сертификат этого типа. Для юридических лиц DV SSL также доступен. Сертификат с проверкой домена подходит для личных сайтов, блогов, форумов, небольших корпоративных сайтов — то есть всех тех, на которых пользователи создают аккаунты, подписываются на email-рассылки, оставляют заявки на обратный звонок. Domain Validation SSL обеспечивает шифрование данных, но не подтверждает существование организации.
Сертификат с проверкой организации — Organization Validation SSL (OV)
В отличие от предыдущего типа, Organization Validation SSL требует не только подтверждения права собственности на домен, но и проверки компании — ее физического и юридического существования, поэтому для получения такого сертификата, в удостоверяющий центр придется выслать регистрационные и уставные документы организации. Также придется подтвердить номер телефона компании. Этот тип сертификата безопасности доступен только юрлицам, стоит дороже, чем DV SSL, и выпускается дольше, так как проверка документов занимает в среднем 3 дня. Доверие к OV SSL выше, поэтому они подходят для сайтов, на которых клиенты оставляют свои паспортные данные, совершают платежи и покупки — то есть для корпоративных сайтов и интернет-магазинов.
Сертификат безопасности с расширенной проверкой — Extended Validation SSL (EV)
Сертификат безопасности с расширенной проверкой — самый дорогой тип SSL, предполагающий максимальную защиту. Его получение занимает до 2 недель — в этот срок проверяется документация компании. Список документов увеличивается, т.к. нужно подтвердить не только существование организации, но и ее операционную деятельность: запрашиваются лицензии, выписки из банковских счетов, коммерческая и налоговая информация. Получить EV SSL могут только юридические лица. Наличие Extended Validation SSL можно определить по зеленой адресной строке и названию компании рядом с замочком:
Этот тип сертификата безопасности устанавливают на сайты, где клиенты хранят свои деньги, активы, ценные бумаги, проводят сделки на крупные суммы, загружают личные документы — это банки, инвестиционные, трейдинговые компании, аукционные площадки, страховщики. Extended Validation SSL — стандарт мировой финансовой индустрии.
Сертификат с поддержкой субдоменов — Wildcard SSL
Формулировка WildcardSSL означает, что сертификат безопасности поддерживает не только домен, но и все его субдомены. Это удобно, если компания имеет несколько направлений и, соответственно, несколько сайтов на субдоменах — не приходится покупать SSL сертификат для каждого из них, можно просто поставить WildcardSSL.
Важно: WildcardSSL никогда не бывает расширенного типа (EV)! Только с проверкой домена (DV) или организации (OV). Чтобы получить «зеленую строку» для основного сайта и всех субдоменов, воспользуйтесь мультидоменным сертификатом.
Важно: WildcardSSL никогда не бывает расширенного типа (EV)! Только с проверкой домена (DV) или организации (OV). Чтобы получить «зеленую строку» для основного сайта и всех субдоменов, воспользуйтесь мультидоменным сертификатом.
Мультидоменный сертификат — SAN SSL
SANSSL — это сертификат безопасности, способный защитить несколько доменов и субдоменов. Подойдет для крупных торговых сетей, холдингов, конгломератов.
Важно: мультидоменный сертификат защищает домены по списку, который вы укажете при установке SSL. То есть, если Wildcard предполагает, что вы указали только основной домен, а подключить SSL можете ко всем его субдоменам, то в случае с SAN — это так не работает. Если нужно подключить, помимо доменов, субдомены — то они должны быть указаны в этом списке отдельно, наряду с доменами.
Важно: мультидоменный сертификат защищает домены по списку, который вы укажете при установке SSL. То есть, если Wildcard предполагает, что вы указали только основной домен, а подключить SSL можете ко всем его субдоменам, то в случае с SAN — это так не работает. Если нужно подключить, помимо доменов, субдомены — то они должны быть указаны в этом списке отдельно, наряду с доменами.
Бесплатный сертификат Let’s Encrypt
Let’sEncrypt — это разновидность сертификата с проверкой домена (DV). Но его хотелось бы упомянуть отдельно, поскольку это единственный SSL сертификат, который может получить любой желающий совершенно бесплатно. Он действует 90 дней, а после может быть также бесплатно перевыпущен, причем количество перевыпусков не ограничено.
Его создала команда энтузиастов, которая радеет за безопасный интернет. Сегодня большинство платформ для создания сайтов (Тильда, Вордпресс и другие) интегрировали функцию выпуска и продления SSL сертификатов Let’s Encrypt в автоматическом режиме, поэтому то, что срок действия этого сертификата всего 3 месяца — больше не проблема. Его достаточно установить один раз и навсегда забыть о небезопасном соединении.
Его создала команда энтузиастов, которая радеет за безопасный интернет. Сегодня большинство платформ для создания сайтов (Тильда, Вордпресс и другие) интегрировали функцию выпуска и продления SSL сертификатов Let’s Encrypt в автоматическом режиме, поэтому то, что срок действия этого сертификата всего 3 месяца — больше не проблема. Его достаточно установить один раз и навсегда забыть о небезопасном соединении.
В чем разница между платными и бесплатными сертификатами
Напрашивается логичный вопрос: зачем платить за SSL сертификат, если можно использовать бесплатный?
Доверие пользователей
Бесплатный SSL сертификат выпускается только с проверкой домена, с его помощью невозможно подтвердить организацию, в то время как в финансовой нише — это необходимо для повышения доверия.
Финансовые гарантии
Let’s Encrypt берет на себя ответственность за шифрование данных, но если произошла утечка пользовательской информации, отвечает за это сайтовладелец. В то время как платный сертификат гарантирует выплату компенсации — обычно сумма указана в описании сертификата при покупке:
Техническая поддержка
Если у вас не получается установить, перевыпустить сертификат, или он вроде установлен, а браузер все равно показывает незащищенное соединение, то с бесплатным SSL искать помощи будет негде. Техническую поддержку будет тяжело разыскать, и она будет англоязычная. С платными сертификатами такое не случится: поддержка в сети 24/7 и всегда рада настроить для вас все самостоятельно.
Какой SSL сертификат выбрать
Ориентируйтесь на особенности вашего бизнеса. Для большинства компаний достаточного самого простого бесплатного SSL сертификата Let’s Encrypt. Если храните платежную информацию пользователей, их активы, документы — смотрите в сторону сертификатов с проверкой организации (OV) или расширенной проверкой (EV).
Во всех остальных случаях, использование платных SSL сертификатов — это:
Во всех остальных случаях, использование платных SSL сертификатов — это:
- Понты — по большей части «зеленая строка» просто поддерживает чувство собственной важности, элитности, но глупо думать, что это как-то сильно поднимет доверие пользователей. Большинство даже не заметит ее, а те, кто обратит внимание, не поймут, к чему это;
- Финансовые возможности — если компании некуда девать 50−70 тыс, почему бы их не вложить в безопасность сайта?
- Техническая необходимость — иногда удобнее заплатить за мультидоменный SANSSL, чем каждый раз ставить по сертификату на все домены.
Сравнительная таблица SSL сертификатов
Где купить SSL сертификат
SSL сертификаты продаются в удостоверяющих сертификационных центрах. Среди известных такие компании как:
- Comodo;
- Geotrust;
- Symantec;
- Thawte;
- Trustwave,
- Verisgin,
- DigiCert.
Также большинство хостингов и регистраторов доменов продают SSL сертификаты, но они выступают посредниками:
Стоимость SSL сертификата
В зависимости от вида сертификата безопасности, цена варьируется от 3 000 до 120 000 рублей. Иногда продавец указывает стоимость за год, а не за весь период пользования сертификатом, чтобы цена казалась ниже, поэтому при покупке всегда обращайте внимание на какой срок предоставляется SSL.
Можно ли не использовать HTTPS
Мы не рекомендуем использовать небезопасное подключение. Без SSL вы потеряете часть трафика, так как при входе на ваш сайт, пользователь будет видеть следующее сообщение:
Мы понимаем, что это предупреждение высвечивается только потому, что на сайт не установлен SSL сертификат, но неподготовленного человека это отпугнет и он сразу же закроет сайт.
Учитывая, что наличие SSL — это один из факторов ранжирования, ваш сайт будет получать худшие позиции в поисковой выдаче, чем сайты, открывающиеся по https.
Учитывая, что наличие SSL — это один из факторов ранжирования, ваш сайт будет получать худшие позиции в поисковой выдаче, чем сайты, открывающиеся по https.
Может ли наличие SSL негативно отразиться на сайте
SSL оказывает только положительное влияние на сайт. Но если ваш сайт долгое время открывался по http, а потом вы перешли на https, то можно столкнуться с проблемой «смешанного содержимого» — когда страница открывается по https, а часть ее контента все еще по http (например, картинки, лежащие на сервере). В таком случае, соединение будет частично зашифрованным, потому что все, что передается по http можно перехватить. Но чаще всего проблема решается заменой внутренних ссылок на относительные (без указания домена, например, просто /uslugi), либо заменой ссылки с http на https.
Могут ли хакеры взломать сайт с SSL сертификатом
Важно понимать, что SSL защищает от перехвата информацию, которой пользователь обменивается с сайтом, но никак не защищает от взлома сам сайт. Хакеры могут взломать сайт с SSL так же просто, как и без SSL, над безопасностью сайта нужно работать отдельно.
Вероника Юдина
Руководитель SEO
12.08.2021
Доверьте разработку сайта профессионалам!
Оставьте заявку с кратким рассказом о проекте или заполните бриф.
Понравилась статья?
Поделись материалом с другими в социальных сетях — сохрани статью себе для быстрого доступа, поддержи нашу студию!
Подпишись, чтобы быть в курсе!
Подпишись на наш новостной дайджест, чтобы первым получать анонсы новых статей, материалов или мероприятий. Без спама, только по факту =). Наши соцсети в конце сайта.
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности.
Смотрите также
Дизайн
Вёрстка макетов дизайна для сайта
Качественная верстка не просто переносит в браузер то, что нарисовал дизайнер, она также формирует основу успеха поискового продвижения вашего будущего сайта.
Дизайн
Вёрстка макетов дизайна для сайта
Качественная верстка не просто переносит в браузер то, что нарисовал дизайнер, она также формирует основу успеха поискового продвижения вашего будущего сайта.