CityHost.UA
Помощь и поддержка

Что такое SSL-сертификат, зачем он нужен и как выбрать

 171
24.11.2021
article

SSL-сертификат безопасности — одно из обязательных условий эффективного продвижения сайта в сети и доверия пользователей. Это свидетельство безопасности и надежности веб-ресурса, которому можно с большей долей уверенности передавать свои данные. 

В 2020 году Google объявил о том, что наличие SSL-сертификата будет существенно влиять на ранжирование. И если до этого услугой пользовалась лишь часть веб-мастеров, то теперь сложно найти сайт, на котором нет SSL-сертификата. 

После того, как вы приобрели домен и хостинг, выгрузили сайт и настроили его работу, первым делом нужно позаботиться о покупке или создании бесплатного SSL-сертификата.  

Что такое SSL-сертификат 

SSL-сертификат — это протокол безопасного шифрования данных. Он защищает от перехвата информацию, которой обмениваются пользователи и сайт. Это все данные, которые проходят через трафик сайта, но важнее всего обеспечить сохранность личных паролей и данных банковских карт (срок действия, CVV). Поэтому наличие сертификата безопасности играет самую большую роль для банковской сферы, интернет-магазинов и других отраслей, где производятся финансовые операции. Но и там, где существуют аккаунты (форумы, соцсети, сайты с регистрацией) важно, чтобы логины и пароли не попали в руки к посторонним людям.

Это могут быть не только злоумышленники, но и работники, обслуживающие сеть, wi-fi или сервер. Существует много промежуточных узлов, через которые можно перехватить данные. Поэтому их защита играет огромную роль. 

Сертификат выглядит как файл с кодом, это нечто вроде цифровой подписи сайта. Он используется как подтверждение того, что клиент взаимодействует именно с указанным сайтом, а не с хакером, который может отвечать вместо сервера.

Но сервер не может дать самому себе подтверждение, что сайт действительно существует и является безопасным. Вы же не поверите первому встречному на улице, что его зовут Джордж Вашингтон? Для идентификации его личности вы попросите предъявить паспорт, выданный специальным учреждением, паспортным столом. 

SSL-сертификат — это и есть паспорт сайта, выданный центром сертификации. 

Как работает SSL-сертификат

Чтобы лучше понять принцип работы SSL, нужно знать, что такое  http и чем он отличается от https. 

Когда интернет только появился, для обмена информацией между посетителем сайта и сервером использовался http — протокол передачи гипертекста. Принцип такой: клиент посылает запрос, сервер его обрабатывает и возвращает ответ. Таким образом и сейчас происходит передача данных, но для их защиты был внедрен более новый протокол, https, где последняя буква обозначает security — защищенный.

Это не новый способ передачи данных, а просто расширенный http с использованием протоколов шифрования SSL/TLS. Эти технологии зашифровывают и расшифровывают данные с помощью криптографических ключей. SSL — более ранний способ шифрования данных, TLS — его продолжение. 

Как работает технология безопасного соединения? По сути это хитрый способ установить закрытое соединение через открытый канал. 

При первом контакте пользовательского браузера и сайта (сервера) две стороны сначала обмениваются «рукопожатием»:

  1. Клиент посылает hello-сообщение. 

  2. Сервер отвечает и посылает сертификат безопасности сайта.

  3. Браузер проверяет сертификат через базу корневых сертификатов, встроенную в систему или сам браузер. 

После этого две стороны при помощи открытого ключа (со стороны клиента) и закрытого ключа (со стороны сервера) совместно генерируют тайный ключ, с помощью которого в дальнейшем будут осуществлять шифрование.

Это довольно упрощенная схема, чтобы составить общее понимание процесса. Для генерации секретного ключа используется сложная и многоэтапная технология, иначе бы ее мог взломать кто угодно. 

Как проверить SSL-сертификат на сайте

Наличие или отсутствие сертификата увидеть очень просто. Если сертификат есть, в адресной строке рядом с доменным именем будет виден закрытый замочек и надпись https. Если же сертификат отсутствует, буквы https будут перечеркнуты красным, а рядом с доменом вы увидите знак восклицания в треугольнике или перечеркнутый замок. Зависимо от браузера пиктограммы могут отличаться. Кликнув на иконку слева от домена, вы точно поймете, есть на сайте сертификат или нет.

Но как узнать, насколько надежен сертификат и можно ли доверять сайту, который его использует?

Для этого можно воспользоваться онлайн-сервисами: 

Сервисы англоязычные, но их можно переводить с помощью встроенного переводчика в Google Chrome. Они делают глубокий анализ сертификата, проверяют уровень безопасности, срок действия и другие параметры.

Мы воспользовались сервисом SSL Shopper для проверки двух доменов — сайта Cityhost и ресурса, который работает на протоколе http. Как видим, во втором случае сервис «ругается», что сертификат уже давно просрочен. 

Виды SSL-сертификатов

Сертификаты могут отличаться по целому перечню критериев. 

По типу проверки:

  1. С проверкой домена (DV). Самый простой и распространенный вид сертификата, но при этом имеет наименьшую защиту. Для его получения не нужно проходить серьезные процедуры проверки, достаточно подтвердить право на домен. Устанавливается очень быстро. Рекомендован для установки на небольшие сайты без введения данных со стороны пользователя или с наличием формы обратной связи, но без проведения через сайт серьезных финансовых операций. 

  2. С проверкой компании (OV). В этом случае будет проверяться не только домен, но и регистрация владельца, подтверждающая право заниматься предпринимательской деятельностью. Нужно будет предоставить документы, подтверждающую регистрацию ФЛП с направлением деятельности, которое соответствует тематике сайта. Для получения такого SSL-сертификата может понадобиться до трех дней, но он обладает большей надежностью и позволяет совершать онлайн-покупки и сохранять в аккаунтах пользователей защищенные данные.

  3. С расширенной проверкой (EV). Такой сертификат может получить только юридическое лицо — предприятие или компания. Нужно будет предоставить все регистрационные документы и подождать до двух недель. Используется для больших проектов с финансовой составляющей — сайтов банков, маркетплейсов, транспортных компаний. 

По типу распространения:

  1. Однодоменный распространяется только на один домен или поддомен.

  2. Мультидоменный сертификат SAN/UCC действует сразу для нескольких доменов одной компании.

  3. Wildcard (WC) защищает домен и его поддомены, как существующие, так и те, которые будут созданы в будущем. 

Дополнительные критерии:

  1. Code Signing SSL (сертификат разработчика) — для компаний, которые разрабатывают и продают программное обеспечение

  2. SGC — сертификат с принудительно высоким уровнем шифрования

  3. IDN — сертификаты с поддержкой кириллических доменов

Все разновидности легко комбинируются между собой — например, это может быть мультидоменный сертификат с проверкой организации и высоким уровнем шифрования данных. 

Как купить SSL-сертификат

Сертификаты доверия выдаются многими центрами сертификации. Среди них можно выделить Sectigo Limited, DigiCert Inc, Symantec, GeoTrust, RapidSSL, Thawte и другие. Но не обязательно обращаться к ним напрямую. Большинство провайдеров предлагают к хостинговым тарифам целый комплект сертификатов на выбор. Такой вариант даже лучше, потому что провайдер имеет достаточно опыта, чтобы найти надежный центр сертификации и предложить лучшее решение. 

Факторы, которые формируют стоимость сертификата:

  1. Сумма компенсации, которую центр сертификации гарантирует выплатить при утечке данных

  2. Метод подтверждения (DV, OV, EV)

  3. Распространение (на один домен/поддомен или несколько)

  4. Уровень надежности (шифрования)

В зависимости от этого цена SSL-сертификата может колебаться от 350 грн за год до 12 000 грн и более. Чем выше стоимость — тем надежнее сертификат и выше уровень ответственности центра сертификации за сохранность данных. Самые дешевые — с проверкой домена. После них по стоимости идут сертификаты с проверкой компании и самые дорогие — с расширенной проверкой. 

Cityhost также предоставляет возможность купить SSL-сертификаты разных уровней защиты.  Их можно как установить как для домена, приобретенного у нас, так и использовать для доменов, зарегистрированных у сторонней компании.

Бесплатный сертификат — стоит ли брать? 

Любой владелец сайта может получить SSL-сертификат бесплатно. Самый популярный центр выдачи таких сертификатов — Let’s Encrypt. Это некоммерческая организация, цель которой — сделать интернет более безопасным. Существует за счет меценатов, в основном производителей ПО и других цифровых продуктов. 

У бесплатных сертификатов есть существенные плюсы: за них не нужно платить и они быстро устанавливаются автоматически без участия центра сертификации. Но у них ограничены возможности. 

Минусы бесплатных сертификатов:

  1. Не гарантируют защиту финансовых данных, нет выплаты компенсации за их утечку.

  2. Минимальный уровень защиты. Это самый простой сертификат с базовой функцией проверки домена. 

  3. Нужно часто обновлять (обычно срок действия составляет 3 месяца). Правда, провайдеры предоставляют функцию автообновления, что упрощает процесс.

  4. Нет технической поддержки.

Но, несмотря на все эти недостатки, бесплатные сертификаты установлены на миллионах сайтов. Почему? Потому что это оптимальный вариант для небольших визиток, блогов и других ресурсов, на которых не происходит финансовых операций или ввода конфиденциальных данных. Но если у вас интернет-магазин или сайт, на котором посетители имеют аккаунты или заполняют регистрационные формы — обязательно обзаведитесь платным сертификатом. 

В панели управления хостингом Cityhost также есть возможность установить бесплатный SSL-сертификат Let's Encrypt в один клик. Для этого нужно нажать вкладку Хостинг 2.0 в панели управления, а затем перейти в раздел «Управление» (кнопка напротив имени домена). В открывшемся окне нужно нажать вкладку SSL, где сначала включить Free SSL, а затем — «Переадресацию на https». Зачем делается переадресация — расскажем ниже.

Как установить SSL-сертификат и сделать переадресацию на https 

Если вы покупали или заказывали бесплатный сертификат у своего провайдера, то он присоединится к домену автоматически. Но если он приобретен в центре сертификации или на специальном сервисе, его нужно установить. Это делается в разделе SSL, путь к которому описан выше. Только теперь нужно будет нажать кнопку «Установить» напротив графы «Произвольный сертификат SSL».

Понадобиться отдельно ввести текст самого сертификата и его приватный ключ, который также выглядит как код. 

После установки сертификата версия http не исчезает, она продолжает работать параллельно с https. Поэтому нужно сделать перенаправление, чтобы клиент всегда попадал на защищенный канал. Вот зачем мы включаем опцию «Переадресация на https». Ее нужно активировать всегда, независимо от того, где получен сертификат и сколько он стоит. 

Есть и другие варианты выполнения переадресации: с помощью создания редиректа в .htaccess или специальных плагинов, если вы используете CMS.

Не забывайте о поисковых системах. Проверьте, чтобы в сервисах аналитики и продвижения Google адрес сайта был указан с https, иначе он будет плохо ранжироваться. 

Какой сертификат выбрать, покупать или заказывать бесплатный — все зависит от специфики проекта. Главное, чтобы SSL-сертификат обязательно был на сайте и вовремя продлевался. 


Понравилась статья? Расскажите о ней друзьям: