Безопасность сайтов и данных пользователей являются одним из самых главных проблем в сети. Поэтому многие владельцы веб-ресурсов используют SSL-сертификаты. О том, какие особенности использования шифрованного соединения и как правильно его настроить, мы расскажем в этой статье.
HTTP vs. HTTPS
Когда пользователь вводит доменное имя в браузере, для загрузки контента веб-сайта компьютер выполняет соединение с веб-сервером. Стандартно для такого контакта используется протокол HTTP (hypertext transfer protocol). Больше об этом протоколе вы можете узнать здесь: https://ru.wikipedia.org/wiki/HTTP. Признаком его использования является ссылка сайта в браузере, которая начинается с http://. При этом данные, которые передаются не шифруются. А это значит, что кто угодно может получить доступ к информации и использовать. Речь идет об изменении оригинальных данных или использовании в корыстных целях.
Чтобы избежать взлома данных злоумышленниками, используют SSL-сертификат. Он позволяет настроить защищенный канал связи между браузером и веб-сервером через HTTPS-протокол. Признаком использования такого соединения является URL сайта с https:// в начале.
Защищенное соединение необходимо всем сайтам, которые работают с личной и финансовой информацией. Вот несколько признаков, что вам нужно переходить на https:
- Формы регистрации и логина.
- Поля ввода личной информации и данных кредитных карт.
- Деятельность ресурса связана с проведением транзакций.
Если хотя бы один пункт применим к вашему веб-сайту, настраивайте https-соединение.
Настройка HTTPS
Для того, чтобы ваш веб-сайт работал через защищенное https-соединение, необходимо:
- Купить SSL-сертификат.
- Активировать его.
- Установить сертификат на хостинге.
- Поставить перенаправление для всех ссылок сайта с http на https.
После этого при открытии веб-сайта в браузере, вы сможете отметить следующее:
- Зеленый замочек возле ссылки.
- URL начинается с https://, а не с http://.
- Для некоторых типов сертификата: название компании в зеленой строке.
Сертификаты SSL
SSL или Secure Sockets Layer является уникальной цифровую подпись для доменного имени. Она включает в себя:
- организацию, которой был выдан сертификат;
- публичный ключ для шифрования и проверки цифровой подписи;
- цифровую подпись, созданную с использованием приватного ключа.
Эти данные кодируются base64.
Сертификаты выдаются специальными компаниями - центрами сертификации. Они берут на себя ответственность за проверку доменов и организаций, которые заказали сертификат. Проверяется право владения доменом и/или легальность деятельности компании в зависимости от типа сертификата. Если же по вине центра сертификации, шифр SSL был взломан и данные украдены, то он обязан выплатить компенсацию пострадавшим пользователям. Сумма компенсации основывается на сумме гарантии, которая варьируется в зависимости от типа сертификата.
Известными продуктами от центров сертификации являются сертификаты Comodo, Geotrust, Thawte, Symantec.
Все SSL-продукты можно разделить на следующие типы:
-
- По количеству доменов под защитой:
- Для одного домена - обеспечивают безопасность для домена с и без www. Подходят для простых ресурсов, например, блога или сайта-визитки.
- С защитой поддоменов (wildcard) - c помощью такого сертификата можно настроить защиту домена и всех его поддоменов первого уровня. Необходим для тех сайтов, которые используют поддомены в своей структуре.
- Для нескольких доменов (мультидоменные, multidomain или SAN) - защищают до 100 доменов (при покупке в стоимость входит 3 домена, остальные требуют доплаты). Пригодиться, если у вас несколько разных ресурсов или сайтов-зеркал.
- По степени защиты:
- DV SSL или SSL-сертификаты доменов - выпуск сертификата требует только права владения доменом. После установки сайт отображает только информацию о шифровании при нажатии на зеленый замок.
- OV SSL или SSL-сертификаты организации - для получения компания должна быть готова к проверке регистрации и легальности компании. Такой сертификат выдает информацию о шифровании и компании, владеющей доменным именем.
- EV SSL или SSL-сертификаты высокой надежности - получение такого сертификата требует глубокой ежегодной проверки компании, включая юридический, физический и рабочий статусы компании, а также данные в официальных реестрах. Именно этот тип сертификата позволяет добавить имя компании в зеленой строке.
- По количеству доменов под защитой:
Кроме того, что SSL-сертификаты необходимы для настройки https-соединения, они также влияют на результаты ранжирования в поисковых системах. Если для вас важно, чтобы сайт отображался как можно выше в поисковых результатах, стоит учесть SSL как один из важных факторов для этого.
Также, не стоит забывать о том, что сайты без сертификатов помечаются как “Ненадежные” или “Not Secure”. Это значит, что браузер не доверяет таким ресурсам и предупреждает пользователя о возможной опасности. Видя такую надпись, посетитель сайта может покинуть его сразу или после того, как столкнется с необходимостью предоставления ресурсу личной информации. Наличие сертификата, решает эту проблему, и сайт обозначается как “Надежный” или “Secure”.
Покупка сертификата
SSL можно купить на официальных сайтах центров сертификации или у компаний, которые их перепродают. Последние предлагают сертификаты по сниженной цене за счет партнерских соглашений. Но будьте внимательны выбирая провайдера и учитываете следующие моменты:
- Наличие сертификатов от известных центров сертификации (Comodo, GeoTrust, Thawte, Symantec).
- Тарифная сетка со скидками при покупке на длительный период.
- Техническая поддержка 24/7.
- База знаний по работе с SSL-продуктами.
- Позитивные отзывы реальных пользователей.
- Возможность возврата сертификата.
В заключение стоит добавить, что вы можете начать с покупки просто сертификата и поменять его в случае необходимости. Но помните, что экономить на безопасности не стоит. Защита данных ваших пользователей - это их доверие и лояльность к вашему ресурсу.