CityHost.UA
Допомога і підтримка

Що таке SSL-сертифікат, навіщо він потрібен і як вибрати

 170
24.11.2021
article

SSL-сертифікат безпеки — одна з обов'язкових умов ефективного просування сайту в мережі та довіри користувачів. Це ознака безпеки та надійності вебресурсу, якому можна з більшою часткою впевненості передавати свої дані.

У 2020 році Google оголосив про те, що наявність SSL-сертифіката істотно впливатиме на ранжування. І якщо раніше послугою користувалася лише частина вебмайстрів, то тепер складно знайти сайт, на якому немає SSL-сертифіката.

Після того, як ви придбали домен та хостинг, вивантажили сайт і налаштували його роботу, насамперед потрібно подбати про покупку або створення безкоштовного SSL-сертифіката.

Що таке SSL-сертифікат

SSL-сертифікат – це протокол безпечного шифрування даних. Він захищає від перехоплення інформацію, якою обмінюються користувачі та сайт. Це всі дані, які проходять через трафік сайту, але найважливіше забезпечити збереження особистих паролів та даних банківських карток (термін дії, CVV). Тому наявність сертифікату безпеки відіграє найбільшу роль для банківської сфери, інтернет-магазинів та інших галузей, де здійснюються фінансові операції. Але й там, де існують акаунти (форуми, соцмережі, сайти з реєстрацією) важливо, щоб логіни та паролі не потрапили до рук сторонніх людей.

Це можуть бути не лише зловмисники, а й працівники, які обслуговують мережу, wi-fi чи сервер. Існує багато проміжкових вузлів, через які можна перехопити дані. Тому їхній захист відіграє величезну роль.

Сертифікат виглядає як файл із кодом, це щось на кшталт цифрового підпису сайту. Він використовується як підтвердження того, що клієнт взаємодіє саме із вказаним сайтом, а не з хакером, який може відповідати замість сервера.

Але сервер не може дати собі підтвердження, що сайт дійсно існує і є безпечним. Ви ж не повірите першому зустрічному на вулиці, що його звати Джордж Вашингтон? Для ідентифікації особи ви попросите пред'явити паспорт, виданий спеціальною установою, паспортним столом.

SSL-сертифікат — це паспорт сайту, виданий центром сертифікації.

Як працює SSL-сертифікат

Щоб краще зрозуміти принцип роботи SSL, потрібно знати, що таке http і чим він відрізняється від https.

Коли інтернет тільки з'явився, для обміну інформацією між відвідувачем сайту та сервером використовувався http – протокол передачі гіпертексту. Принцип такий: клієнт надсилає запит, сервер його обробляє та повертає відповідь. Таким чином і зараз відбувається передача даних, але для їхнього захисту було впроваджено новий протокол, https, де остання літера позначає security — захищений.

Це не новий спосіб передачі, а просто розширений http з використанням протоколів шифрування SSL/TLS. Ці технології зашифровують та розшифровують дані за допомогою криптографічних ключів. SSL – більш ранній спосіб шифрування даних, TLS – його продовження.

Як працює технологія безпечного з'єднання? По суті, це хитрий спосіб встановити закрите з'єднання через відкритий канал.

При першому контакті браузера користувача і сайту (сервера) дві сторони спочатку обмінюються «рукостисканням»:

  1. Клієнт надсилає hello-повідомлення.

  2. Сервер відповідає та надсилає сертифікат безпеки сайту.

  3. Браузер перевіряє сертифікат через базу кореневих сертифікатів, вбудовану в систему або браузер.

Після цього дві сторони за допомогою відкритого ключа (з боку клієнта) та закритого ключа (з боку сервера) спільно генерують таємний ключ, за допомогою якого будуть здійснювати шифрування.

Це доволі спрощена схема, щоб скласти узагальнене розуміння процесу. Для генерації секретного ключа використовується складна та багатоетапна технологія, інакше б її міг зламати будь-хто.

Як перевірити SSL-сертифікат на сайті

Наявність або відсутність сертифіката побачити дуже просто. Якщо сертифікат є, в адресному рядку поруч із доменним ім'ям буде видно закритий замочок та напис https. Якщо сертифікат відсутній, літери https будуть перекреслені червоним, а поруч із доменом ви побачите знак оклику в трикутнику або перекреслений замок. Залежно від браузера піктограми можуть відрізнятися. Клікнувши на іконку ліворуч від домену, ви точно зрозумієте, чи є на сайті сертифікат, чи ні.

Але як дізнатися, наскільки надійним є сертифікат і чи можна довіряти сайту, який його використовує?

Для цього можна користуватися онлайн-сервісами:

Сервіси англомовні, але їх можна перекладати за допомогою вбудованого перекладача Google Chrome. Вони роблять глибокий аналіз сертифікату, перевіряють рівень безпеки, термін дії та інші параметри.

Ми скористалися сервісом SSL Shopper для перевірки двох доменів – сайту Cityhost та ресурсу, який працює на протоколі http. Як бачимо, у другому випадку сервіс «свариться», що сертифікат вже давно прострочений.

Види SSL-сертифікатів

Сертифікати можуть відрізнятися за рядом критеріїв.

За типом перевірки:

  1. З перевіркою домену (DV). Найпростіший і найпоширеніший вид сертифікату, але при цьому має найменший захист. Для отримання не потрібно проходити серйозні процедури перевірки, достатньо підтвердити право на домен. Встановлюється дуже швидко. Рекомендований для встановлення на невеликі сайти без введення даних з боку користувача або з наявністю форми зворотного зв'язку, але без проведення через сайт серйозних фінансових операцій.

  2. Із перевіркою компанії (OV). У цьому випадку перевірятиметься не лише домен, а й реєстрація власника, що підтверджує право займатися підприємницькою діяльністю. Потрібно буде надати документи, що підтверджують реєстрацію ФОП з напрямком діяльності, що відповідає тематиці сайту. Для отримання такого SSL-сертифіката може знадобитися до трьох днів, але він має більшу надійність і дозволяє здійснювати онлайн-покупки та зберігати в облікових записах користувачів захищені дані.

  3. З розширеною перевіркою (EV). Такий сертифікат може отримати лише юридична особа – підприємство чи компанія. Потрібно буде надати всі реєстраційні документи та почекати до двох тижнів. Використовується для великих проектів із фінансовою складовою – сайтів банків, маркетплейсів, транспортних компаній.

За типом поширення:

  1. Однодоменний поширюється лише на один домен або піддомен.

  2. Мультидоменний сертифікат SAN/UCC діє відразу для кількох доменів однієї компанії.

  3. Wildcard (WC) захищає домен та його піддомени як існуючі, так і ті, які будуть створені в майбутньому.

Додаткові критерії:

  1. Code Signing SSL (сертифікат розробника) — для компаній, які розробляють та продають програмне забезпечення.

  2. SGC-сертифікат із примусово високим рівнем шифрування.

  3. IDN-сертифікати з підтримкою кириличних доменів.

Усі різновиди легко комбінуються між собою — наприклад, це може бути мультидоменний сертифікат із перевіркою організації та високим рівнем шифрування даних.

Як купити SSL-сертифікат

Сертифікати довіри видаються багатьма центрами сертифікації. Серед них можна виділити Sectigo Limited, DigiCert Inc, Symantec, GeoTrust, RapidSSL, Thawte та інші. Але не обов'язково звертатись до них безпосередньо. Більшість провайдерів пропонують до хостингових тарифів цілий набір сертифікатів на вибір. Такий варіант навіть кращий, тому що провайдер має достатньо досвіду, щоб знайти надійний центр сертифікації та запропонувати найкраще рішення.

Чинники, які формують вартість сертифікату:

  1. Сума компенсації, яку центр сертифікації гарантує виплатити при витоку даних

  2. Метод підтвердження (DV, OV, EV)

  3. Поширення (на один домен/піддомен або кілька)

  4. Рівень надійності (шифрування)

Залежно від цього, ціна SSL-сертифіката може коливатися від 350 грн за рік до 12 000 грн і більше. Чим вища вартість — тим надійніший сертифікат і вищий рівень відповідальності центру сертифікації за збереження даних. Найдешевші — із перевіркою домену. Після них за вартістю йдуть сертифікати з перевіркою компанії та найдорожчі — з розширеною перевіркою.

Cityhost також надає можливість придбати SSL-сертифікати різних рівнів захисту. Їх можна встановити як для домену, придбаного у нас, так і використовувати для доменів, зареєстрованих у сторонньої компанії.

Безкоштовний сертифікат – чи варто брати?

Будь-який власник сайту може отримати SSL-сертифікат безкоштовно. Найпопулярніший центр видачі таких сертифікатів – Let's Encrypt. Це некомерційна організація, мета якої зробити інтернет більш безпечним. Існує за рахунок меценатів, переважно виробників ПЗ та інших цифрових продуктів.

Безкоштовні сертифікати мають суттєві плюси: за них не потрібно платити і вони швидко встановлюються автоматично без участі центру сертифікації. Але вони мають обмежені можливості.

Мінуси безкоштовних сертифікатів:

  1. Не гарантують захист фінансових даних, немає виплати компенсації за їхній витік.

  2. Мінімальний рівень захисту. Це найпростіший сертифікат із базовою функцією перевірки домену.

  3. Потрібно часто оновлювати (зазвичай термін дії становить 3 місяці). Щоправда, провайдери надають функцію автооновлення, що спрощує процес.

  4. Немає технічної підтримки.

Але незважаючи на всі ці недоліки, безкоштовні сертифікати встановлені на мільйонах сайтів. Чому? Тому що це оптимальний варіант для невеликих візиток, блогів та інших ресурсів, на яких не відбуваються фінансові операції або введення конфіденційних даних. Але якщо у вас інтернет-магазин або сайт, на якому відвідувачі мають акаунти або заповнюють реєстраційні форми, обов'язково обзаведіться платним сертифікатом.

У панелі керування хостингом Cityhost також є можливість встановити безкоштовний SSL-сертифікат Let's Encrypt в один клік. Для цього потрібно натиснути вкладку Хостинг 2.0 на панелі керування, а потім перейти в розділ «Керування» (кнопка навпроти імені домену). У вікні потрібно натиснути вкладку SSL, де спочатку включити Free SSL, а потім «Переадресацію на https». Навіщо робиться переадресація – розповімо нижче.

Як встановити SSL-сертифікат та зробити переадресацію на https

Якщо ви купували або замовляли безкоштовний сертифікат у свого провайдера, він приєднається до домену автоматично. Але якщо він придбаний в центрі сертифікації або на спеціальному сервісі, його потрібно встановити. Це робиться у розділі SSL, шлях до якого описано вище. Тільки тепер потрібно буде натиснути кнопку «Встановити» навпроти графи «Довільний сертифікат SSL».

Потрібно окремо ввести текст сертифіката та його приватний ключ, який також виглядає як код.

Після встановлення сертифіката версія http не зникає, вона продовжує працювати паралельно з https. Тому необхідно зробити перенаправлення, щоб клієнт завжди потрапляв на захищений канал. Ось навіщо ми включаємо опцію «Переадресація на https». Її потрібно активовувати завжди, незалежно від того, де отримано сертифікат і скільки він коштує.

Є й інші варіанти здійснення переадресації: за допомогою створення редиректу в .htaccess або спеціальних плагінів, якщо ви використовуєте CMS.

Не забувайте про пошукові системи. Перевірте, щоб у сервісах аналітики та просування Google адреса сайту була вказана з https, інакше вона погано ранжуватиметься.

Який сертифікат вибрати, купувати чи замовляти безкоштовний — все залежить від специфіки проекту. Головне, щоб SSL-сертифікат обов'язково був на сайті та вчасно оновлювався.


Сподобалася стаття? Розкажіть про неї друзям: