SSL сертификат что это и зачем?

Безопасность
Оглавление

SSL-сертификат – это специальная подпись сайта, оформленная в цифровом коде и необходимая для безопасного соединения пользователя в сети Интернет. Вся информация, которой обмениваются в рамках соединения с определенным сайтом шифруется таким образом, что она становится недоступной для так называемых «третьих лиц» — это кибермошенники, провайдеры (поставщики услуг по подключению и модерированию), а также системные администраторы.
Чтобы проверить наличие сертификата, достаточно обратить внимание на URL-адрес сайта – начало ссылки должно начинаться с «https» (при отсутствии сертификата – «http»). В некоторых браузерах (в частности, «Яндекс Браузере»), перед названием сайта есть отдельная иконка в виде замочка – это также означает подтверждение безопасности.

Понять отличие между HTTP и HTTPS поможет расшифровка:

  • HTTP –HyperText Transfer Protocol (в переводе «протокол передачи гипертекста»);
  • HTTPS –HyperText Transfer Protocol Secure (в переводе «защищенный протокол передачи гипертекста»)

SSL-сертификат необходим для передачи логинов, паролей, данных банковских карт, электронных расчетных систем и прочих персональных данных пользователя без нарушения требований безопасности использования конфиденциальной информации. Кроме того, он позволяет пользователю проверить, кто является владельцем сайта. Это значит, что пользователь может удостовериться, что он зашел на сайт нужной ему организации, а не на сайт ее двойника.

Стоит отметить, что требования поисковых систем для специалистов по продвижению (SEO) заключаются в обязательном наличии https-соединения – это означает, что в большинстве случаев при использовании коммерческих запросов (таких, как «купить», «заказать», «установить» и т.д.) вы получите сайты с защищенным соединением с использованием данного криптографического алгоритма. Особенно по поводу безопасности беспокоится Google и считает наличие HTTPS-соединения важной частью ранжирования. Так что данный формат использования сайта идет на пользу всем сторонам взаимодействия в сети Интернет.
Виды ssl: платные и бесплатные

В целом, SSL-сертификаты подразделяются на следующие группы:

  • DV – «Domain Validation» — для домена любого сайта;
  • OV – «Organization Validation» — для небольшой организации и домена;
  • EV – «Extended Validation» — для расширенного подтверждения URL-адреса.

Эти группы протоколов обеспечивают полноценное шифрование трафика между сайтом и браузером.
Сегодняшний выбор решений предусматривает широкий круг задач, для которых может потребоваться HTTPS-соединение. Обычно для сайта используется домен типа «DV», остальные могут пригодиться для более сложной системы шифрования (например, при совершении банковских операций).

Существует несколько организаций, которые занимаются оформлением электронных подписей для сайта, в числе которых и SSL. Признанными официально принято считать компании: «Comodo», «GeoTrust», «Thawte», «RapidSSL», «DigiCert», «GlobalSign» и «Symantec».

Бесплатный ssl сертификат

Как и большинство интернет-услуг, наличие сертификата защищенности требует вливания финансов, но существуют и бесплатные варианты использования, которые имеют свои преимущества и недостатки.
Плюсы бесплатного SSL:

  • Доступность – их могут использовать небольшие компании, стартапы, которые потратят некоторое время на интернет-маркетинг (SEO-продвижение, контекстная реклама), их сайт не выйдет сразу в топ выдачи. Также его выгодно использовать информационным порталам;
  • Поддержка IDN, то есть можно ставить сертификат на сайт с доменом на кириллице (например, мойсайт.рф);
    • нет проблем с установкой на поддомены основного сайта (с «Let’s Encrypt» таких проблем точно не наблюдалось)
  • Легкость установки – в зависимости от выбранного хостинга его можно поставить прямо в административной панели сайта, без дополнительного использования программного кода и вмешательства разработчиков.

Минусы бесплатного SSL:

  • Малый срок действия в зависимости от выбранного решения, например, сертификат «Let’s Encrypt» нужно заново выпускать каждые три месяца, в то время, как платные можно приобретать и обновлять защиту каждый год;
  • Не во всех случаях поддерживаются некоторые операционные системы, нет нормальной совместимости со старыми браузерами;
  • Компания, отвечающая за разработку алгоритма защиты, не несет никакой ответственности за добросовестность сайта, где он будет установлен; в отличие от платных аналогов, здесь нет возможности получить компенсацию от центра сертификации веб-ресурсов в случае возможной утечки персональных данных.

Платный ssl сертификат

платный ev сертификат
Платный EV SSL сертификат

Такой вид защиты считается обязательным для крупных интернет-проектов и бизнес-сайтов, которые ценят своих клиентов и заботятся о своей репутации.
Плюсы платного SSL:

  • Выдается на 1-2 года, следовательно, меньше забот на продление, иногда его можно настроить в автоматическом режиме;
  • Гарантия на выплату компенсаций из-за сбоев или взлома системы, которая могла привести и проблемам у посетителя сайта. Центр сертификации в теории может выплатить компенсацию – все зависит от договора обслуживания;
  • Постоянная круглосуточная поддержка.

Минусы платного SSL:

  • Долгая «модерация», бесплатный сертификат выпускается буквально при вас в течение несколько минут, платный сертификат будет проходить дополнительную сверку на соответствие требованиям.

Можно ли взломать сайт с SSL-сертификатом?

SSL-сертификаты направлены на безопасную передачу данных, но они никак не влияют на защиту самого сайта от взлома. Т.е. информация, которая поступает от пользователя на сайт и обратно, будет защищена, но над защищенностью самого сайта нужно работать отдельно.

Установка ssl сертификата

Рассмотри подключение SSL-сертификата на домен сайта. Если вы используете хостинг, то необходимо в личном кабинете пользователя кликнуть по строке нужного объекта и убедиться, что статус сертификата действует в режиме «Активно».
Любая другая активация происходит в соответствующей сертификату инструкции.

Рассмотрим установку сертификата на выделенный или виртуальный сервер. В качестве примера возьмем бесплатный «Let’s Encrypt». Итак, чтобы создать SSL-сертификат, заходим на соответствующую страницу вашей панели управления доменом. Выбираем из списка адрес веб-ресурса, для которого сертификат планируется выпустить, и нажимаем «ОК».
Далее выбираем раздел меню, связанный с доменами и нажимаем окно настройки или изменений. Ставим галочку в необходимом месте.

Далее необходимо поработать с настройками «движка» сайта, чтобы обеспечить корректную работы по HTTPS-протоколу. В процессе работы нам предстоит не только прописать грамотно код, но и отразить изменения в файле «robots.txt», задав правильный хост, а также сделать перенаправления (301-редирект).
В файл конфигурации веб-сервера «Nginx» на хостинге добавится следующий код:


if ($ssl_protocol = "") {
rewrite ^ https://$server_name$request_uri? permanent;
}

Если ваш сайт работает в веб-сервере Apache, действуйте по следующей инструкции:

  1. Скопируйте все файлы вашего сертификата защиты на сервер.
  2. Найдите файлы конфигурации в следующей директории «/etc/httpd». В большинстве случаев основной файл конфигурации называется «httpd.conf».
  3. Проверьте наличие блоков «<VirtualHost>» с настройками сервера.
  4. Установите сертификат именно туда и перезагрузите сервер.

 

После всех процедур по настройке соединения важно проверить корректность установки. Для этого можно использовать онлайн-сервисы, например, https://www.sslshopper.com/ssl-checker.html . Просто введите в форму адрес вашего сайта и нажмите кнопку «Check SSL». Если вы все сделали правильно, то в ответ вы получите цепочку из «галочек» зеленого цвета. В противном случае, при наличии предупреждения о неправильной установке, обратитесь к специалистам для решения проблем с установкой.

После активации и начала работы у вас будет как минимум 2 дублирующихся адреса сайта – c HTTP и HTTPS-соединением. Ошибку нужно исправлять сразу, чтобы избежать санкций со стороны поисковых алгоритмов.
Вам нужно настроить редирект — перенаправление, чтобы все посетители сайта, даже набрав в браузере http попадали на вариант сайта с началом на https. Не забывайте, что по этому протоколу должны проходить не только статические и динамические страниц, но и все изображения, видеоматериалы, Java-Script события и каскадные таблицы, задающие стиль всему сайту.

Рассмотрим пример с настройкой сайта на самой популярной CMS – «WordPress». Входим в панель управления, заходим в «Настройки» – «Общие» и исправляем статус «http» на «https» в двух строках, адресе WordPress и самого сайта. Внизу страницы нажмите «Сохранить изменения».
Далее добавляем код в строку файла конфигурации («wp-config.php»):

define(‘FORCE_SSL_ADMIN’, true);

Теперь можно входить в админпанель, используя защищенное соединение. Лучше всего работать в отдельном редакторе кода, либо в том, что предоставляет хостинг для вас.
Можно перезаписать обновленный файл обратно на сервер, перезаписав старый.

Описывать подробно перенаправление для каждого хостинга не имеет смысла, так как для каждого он индивидуален. Важно, что вам необходимо найти файл «.htaccess» и прописать следующие директивы:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP:X-SSL} !^yes$
RewriteRule (.*) https://вашсайт/$1 [R=301,L]
</IfModule>

Рекомендуется использовать текстовый редактор с поддержкой конкретного языка программирования. Если файла нет, его нужно создать и положить в корневую папку сайта. В файле «robots.txt» нужно изменить адрес вашего сайта с http на https, чтобы правильно выделенный хост был заметен. Многие SEO-специалисты любят говорить, что правильный адрес можно не прописывать, но лишней строка точно не будет и на продвижение не повлияет.

Дальше вам необходимо отразить поисковым системам ваш новый адрес. Вы должны зайти в панель вебмастера Яндекса и Google. В боковом меню найдите раздел «Индексирование», затем – «Переезд сайта». Отметьте галочкой пункт «Добавить HTTPS» и сохраните все изменения. Дальше за вас все сделает система – после нескольких индексаций в качестве релевантного URL-а будет показываться пользователем тот, что с защитой.

Заключение

Как полагаю, достаточно будет пройтись по структуре кратко и уточнить, что в статье было рассмотрено.
Правильный выбор сертификата защиты сайта во многом определяет обеспечение безопасности конфиденциальных данных и оправдание их доверия. В особенности, при операциях с картами и банковскими счетами, поэтому важно установить качественный SSL-сертификат сразу после публикации сайта в открытом доступе, чтобы потом не испытывать проблем с взаимодействием пользователей.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *