SSL - сертификаты и протокол HTTPS

На сегодняшний день проблема безопасности в интернете стоит на высоком уровне, и риск понести различные виды убытков из-за хакерских атак, взломов и других видов вредоносных деяний очень высок. Сегодня мы познакомимся с одним из важнейших методов, позволяющих обезопасить свой сайт, - использование протокола https, а также поможем вам правильно выбрать SSL-сертификат для вашего проекта и расскажем, почему это срочно нужно сделать.

Чем отличаются HTTP и HTTPS протоколы?

HTTP ПРОТОКОЛ
Cтандартный протокол передачи данных, работает с 80 портом, служит обычным проводником данных для клиент-серверной технологии

HTTPS ПРОТОКОЛ
Протокол является полной копией протокола http, за исключением одной особенности: https - расширяет возможности стандартного протокола, преобразуя передачу данных в зашифрованный формат SSL, что позволяет производить безопасную передачу. Данный протокол работает с 443 портом

Что такое SSL - сертификат и зачем он нужен

SSL-сертификат - это файл, содержащий в себе зашифрованный ключ, выданный центром сертификации. Он позволяет производить передачу данных на вашем сайте в зашифрованном виде через специальный протокол https.

При получении сертификата SSL, ваш сайт будет иметь цифровую подпись, которая подтверждает, что он является доверенным и все данные безопасны для передачи. Проверить, работает ли ваш сайт по безопасному протоколу, можно взглянув на иконку замка в адресной строке вашего браузера.

Как мне выбрать SSL - сертификат и где его можно получить?

1. Количество доменов и поддоменов, используемых у вас на проекте

WILDCARD SSL CERTIFICATES
Сертификаты с поддержкой субдоменов, если вам нужно защитить субдомены в рамках одного домена. Этот сертификат будет действителен для всех поддоменов и для главного домена. Выдается в автоматизированном режиме любому желающему после покупки. Подойдет для любых проектов, если вам нужно защитить несколько доменов

MULTI DOMAIN SSL CERTIFICATES
Сертификаты с расширяемым числом доменов. Предназначены для того, чтобы подтвердить достоверность адреса сайта и могут содержать информацию об организации, которой выдавался домен. Могут быть выданы без проверки компании, выдается как юридических лицам, так и физическим. Среднее время выдачи от 3 до 10 дней. Количество включаемых доменов от 2 до 5, каждый последующий домен нужно оплачивать отдельно. Подойдет для компаний, у которых много различных проектов на разных доменах

2. Глубина проверки вашей компании

DV (domain validation) SSL
Проверяется только ваш домен. Самый распространенный и простой вариант, так как установить такой сертификат можно достаточно быстро, выпуск занимает не более 2-3 часов. Приобрести его могут как физические, так и юридические лица. Не требуется никаких документов при проверке и стоимость данного вида сертификатов самая низкая. Если у вас сайт Landing-page (одностраничный сайт), корпоративный сайт, небольшой интернет магазин или небольшой личный проект, то данный вариант отлично вам подойдет

OV (organization validation) SSL
Проверяется принадлежность домена конкретной организации. Выпуск занимает от 2 до 10 дней. Получить данный вид сертификатов могут только юридические лица. Происходит проверка регистрационных данных компании, а также принадлежность домена именно вашей организации, а не частному лицу. Если у вас крупный интернет-магазин, финансовое учреждение либо крупный информационный портал, то данный вид сертификата для вас

EV (extended validation) SSL
Проверяется также как и предыдущий пункт (organization validation), только проверка происходит более углубленно с проверкой налоговой и коммерческой деятельности компании. Получить данный вид сертификатов могут только юридические лица. Выпуск данного сертификата занимает от 4 до 12 дней. Данный вид сертификатов имеет максимальный уровень доверия. Их можно легко отличить от других, посмотрев на регистрационное имя компании рядом с адресной строкой.

Данный сертификат подойдет для крупных банков, интернет-магазинов и других организаций с большими потоками данных.

Очень важно определиться с видом сертификата, который будет удовлетворять требованиям специфики вашего проекта. Стоимость сертификата может варьироваться от 0 до 400 000 рублей.

Не менее важно знать, что сертификат обычно выдается на 1 или 2 года. В связи с этим, вам нужно будет его продлить, иначе ваш ресурс перестанет быть доступным. Не забудьте себе поставить напоминание в календаре!

Получаем SSL - сертификат

Сегодня есть несколько путей получения SSL сертификата:

1. Создать самоподписанный сертификат
Данный метод требует технических знаний. При подключении к вашему сайту пользователи могут получать сообщение о том, что центр, подписавший ваш сертификат, неизвестен.

2. Обратиться напрямую через профессиональный центр сертификации
Существует несколько крупных центров, которые могут вам выдать SSL сертификат. Самые популярные - Let’s encrypt, Comodo, Symantec. Данные центры выдадут вам подписанный сертификат, который вы можете самостоятельно установить на свой сайт

3. Обратиться напрямую к партнёрам центров сертификаций
Чаще всего в качестве партнеров выступают хостинг центры и регистраторы доменов например Timeweb, Reg.ru, Rucenter. Быстро и безболезненно вы можете получить бесплатный сертификат в панели управления хостингом, либо обратившись в техническую поддержку.

Почему больше нельзя игнорировать переход на HTTPS протокол?

Основные проблемы, которые могут возникнут из-за отсутствия защищенного протокола - утечка данных пользователей, получение штрафов, уменьшение трафика на сайте, потеря позиции в органической выдаче поисковых систем Google и Yandex.

Обо всем этом сейчас подробнее:

Безопасность
Самый важный пункт, при отсутствии протокола https у вас на сайте: данные банковских карт, регистрационные данные, какая-либо важная информация о ваших пользователях может быть перехвачена или подменена злоумышленниками и использована в любых целях, способных навредить вашей репутации и заставить понести вас финансовые потери

Законодательство
В связи с выходом законов ФЗ-54 «О применении контрольно-кассовой техники» и ФЗ-152 «О персональных данных», которые требуют переход на защищенный протокол https, игнорировать данное требование больше нельзя, в качестве наказания вас могут привлечь к административной или уголовной ответственности

Потеря позиций в поисковой выдаче и уменьшение трафика на сайте
C октября 2018 года Google помечает сайты как не защищенные с красным значком, такое нововведение уже есть в версии Google Chrome 70.
Поисковые системы поднимают позиции сайтов, которые имеют протокол https. Сейчас уже редко можно увидеть сайты в топ 10, имеющие протокол http. Если у вас до сих пор на сайте не присутствует защищенный протокол, а у ваших конкурентов он есть, то они начнут обгонять вас в поисковой выдачи, тем самым забирая ваш трафик. Подводя итог, можно сказать, что переход на уже не новый протокол SSL это must have для любого проекта в интернете. Он позволит вам избежать многих проблем, описанных выше. Возможно, в будущем устаревший протокол окажется недоступен, и все сайты будут по умолчанию работать по безопасному протоколу.