Блог

SSL-сертификат для сайта: зачем нужен, какой выбрать, где взять

SSL-сертификат для сайта: зачем нужен, какой выбрать, где взять
Настя Кузнецова
Редактор

Сайты без SSL-сертификата ругают браузеры — «небезопасен», понижают в выдаче поисковые системы. Почему так строго? Потому что SSL-сертификат — это гарантия безопасности для интернет-пользователей, без него злоумышленники могут похитить конфиденциальные данные.

Зачем защищать данные

В сети, как и в обычной жизни, есть злоумышленники, которые могут украсть важную информацию — любые данные, которые вы оставляете на сайтах. И данные о заказах, и личные сообщения или записи, и суперконфеденциальные данные, потерять которые не просто неприятно.

Например, скан паспорта — получив его, злоумышленник сможет использовать в преступных схемах: от оформления микрозайма до фирмы-однодневки или договора купли-продажи на подставное лицо. Или CVC-код от банковской карты: вместе с ним злоумышленник получит неограниченный доступ к счёту.

Есть как минимум два способа похитить данные:

Подобрать логин, пароль и проникнуть в базу данных сайта.
Защититься от этого просто: можно придумать максимально сложный пароль, использовать двухфакторную авторизацию, отслеживать сессии. Обычно достаточно усложнить пароль.

Перехватить данные, которые вводит и отправляет посетитель сайта.
Для этого злоумышленнику достаточно получить доступ к тому потоку информации, который проходит между браузером пользователя и сайтом. Единственный способ защитить данные от перехвата — зашифровать их. Даже если злоумышленник получит доступ к информации, он не сможет ей воспользоваться. Данные шифруют с помощью HTTPS-протокола и SSL-сертификата.

HTTPS и SSL-сертификат — это...

HTTPS — это расширение для протокола передачи данных, HTTP. Обычно используют просто протокол HTTP, он работает по технологии «клиент-сервер» (браузер-сайт):

HTTP. Браузер: вот мой пароль, Сервер: вот твоя страница

Со страницей просто пример, любые действия в сети происходят точно так же — по правилам, которые задаёт протокол HTTP. Проблема в том, что он задаёт не очень-то жёсткие правила. Просто отправляет запросы и ответы туда-сюда, в открытом виде. Перехватить их просто, и об уязвимости такого подключения задумались с начала 90-х.

HTTP, хакер перхватил пароль

В 1994 году компания Netscape Communications разработала расширение HTTPS или HyperText Transfer Protocol Secure — безопасный протокол передачи данных. Поначалу его поддерживал только браузер Netscape Navigator. Сегодня это стандарт для всех браузеров.

Расширение работает так же, как обычный HTTP, но с блек-джеком шифрованием. Оно возможно благодаря SSL-сертификату.

SSL-сертификат — это своеобразное «удостоверение» сайта, оно содержит:

  • Информацию о сайте (домен) и его владельце (местонахождение, если владелец организация — юридические данные).
  • Срок действия сертификата и данные удостоверяющего центра, который его выдал. Такие центры — авторитетные международные организации, их список есть в каждом браузере.
  • Ключ для шифрования данных.

Благодаря информации из SSL-сертификата браузер может опознать, что перед ним реальный нужный ему сайт и зашифровать данные ключом из сертификата.

HTTPS. Браузер сначала проверяет SSL сайта на подлинность, потом шифрует отправляемые данные ключом из сертификата

Зашифрованную информацию всё ещё можно перехватить, но уже нельзя использовать. Для расшифровки требуется ключ, который есть только у владельца сайта. Подобрать этот ключ практически невозможно. Да что уж там, просто невозможно.

Вот так выглядит сайт без SSL-сертификата:
Сайт без SSL-сертификата, в адресной строке предупреждение — подключение не защищено

А вот сайт с SSL-сертификатом, перед адресом замочек. Если кликнуть по нему, а потом на «Сертификат», можно почитать подробную информацию про SSL: кому выдан , кем выдан, срок действия.

Сайт с SSL-сертификатом, безопасное подключение

Что даёт SSL-сертификат для сайта?

Может показаться, что защита данных необходима только крупным банкам и организациям, которые хранят втайне государственные секреты и внеземные технологии. Это не так. Получить SSL-сертификат выгодно для любого сайта, что он даёт:

Полноценная защита данных — ваших, ваших клиентов или посетителей. Если вы держите интернет-магазин и принимаете к оплате карты, если вы продаёте или предлагаете бесплатную рассылку, если позволяете пользователям заводить аккаунты, публиковать информацию, переписываться на своем сайте, используйте SSL-сертификат.

Доверие пользователей. Протокол HTTPS давно ассоциируется с повышенной защитой данных. К вам будут охотнее заходить, у вас будут покупать товары и оплачивать услуги, будут пользоваться вашим сервисом, хранить данные и контент. На SSL обращают внимание продвинутые пользователи — наиболее активные покупатели и посетители.

Возможности SEO-продвижения. Ещё в 2014 году Google заявил, что сайты с защищённым соединением будут выше подниматься в поисковой выдаче. И разные исследования подтверждают, что это так. Например, в 2016 основатель популярного сайта о SEO-продвижении Backlinko проанализировал 1 миллион результатов поиска Google. И пришёл к выводу, что на первых трёх страницах больше всего доменов с SSL-сертификатами: 25-28%. Вот так. В Яндексе с 2019-ого SSL тоже влияет на ранжирование сайта.

Соблюдение закона. В России действует закон «О защите персональных данных». Если ваш сайт собирает и хранит личные и платёжные данные клиента, он становится оператором персональных данных. Установка SSL-сертификата — это одно из обязательных мероприятий, которые вы должны провести, чтобы не нарушить закон.

SSL-сертификат и протокол HTTPS становятся стандартом. Неважно, какой сайт вы создаёте: сертификат всё равно потребуется.

Как выбрать SSL-сертификат для сайта

Сначала разберёмся, какой сертификат вам точно не нужен.

Недоверенные SSL-сертификаты — это...

Сертификат от недоверенных центров сертификации. Например, центр Symantec считается недоверенным с марта 2018 года. Он сначала выпустил сертификаты без запроса владельцев. А потом Google заметил, что под именем Symantec сертификаты выдавали ещё 4 сторонних компании.

Сертификат, у которого истёк срок действия. Совсем недавно можно было приобрести сертификат, действующий три, четыре, пять и даже десять лет — сейчас только два. Это требование CA/B Forum — регулирующего органа в SSL-индустрии. Сделано это для безопасности пользователей — с перевыпуском сертификат получает обновления безопасности. А значит, чем чаще перевыпуск, тем надёжнее сертификат.

Самоподписанный сертификат — который владелец выдал себе сам. Это возможно и несложно. Такой SSL тоже создаёт защищённое соединение, то есть шифрует информацию, но не подтверждает домен. Поэтому браузеры не признают самоподписанные сертификаты: они не знают, кто выпустил ключ, и стоит ли ему доверять. Это может быть владелец сайта, а может и злоумышленник, маскирующий свой сайт под безопасный.

Иногда самоподписанные сертификаты имеют право на существование: в локальных сетях, на корпоративных порталах и других сайтах, которыми пользуется ограниченный круг лиц.

Если на сайте недоверенный сертификат — это видно сразу.

Сайт с просроченным сертификатом в Google Chrome и Яндекс.БраузереСайт с просроченным сертификатом в Google Chrome и Яндекс.Браузере

Посетитель увидит такое и, скорее всего, покинет страницу. Но если он доверяет сайту, может добавить сертификат в доверенные в своем браузере. И тогда предупреждения об опасности у него не будет.

Доверенные SSL-сертификаты — это...

Это ваша цель. Доверенные сертификаты выдают доверенные центры сертификации или удостоверяющие центры. Это авторитетные международные организации, их список можно посмотреть в любом браузере — в настройках, раздел «Доверенные корневые центры сертификации».

Чтобы получить доверенный SSL-сертификат для сайта, достаточно заполнить заявку, указать личные данные и немного подождать. Центр проверит информацию и отправит сертификат на вашу электронную почту. Сколько подождать, какие данные отправить и что вы потом получите — зависит от типа сертификата:

DV — это SSL-сертификат с проверкой домена
Самый простой сертификат. Обеспечивает безопасное соединение и показывает посетителям, что домен ваш. DV — это SSL-сертификат для сайта-визитки, авторского блога или форума — сайта, где не надо оставлять конфиденциальные данные и совершать покупки.

Есть бесплатные DV-сертификаты — Let’s Encrypt. Они ничем не хуже платных, только требуют регулярного обновления. Vepp обновляет Let’s Encrypt автоматически и выпускает тоже — если домен привязан к серверу.

OV — это SSL-сертификат с проверкой организации
Как DV, только для организаций. Даёт безопасное соединение, подтверждает право на домен, а кроме того — что ваша организация реально существует. Подойдет для сайтов, где пользователи оставляют конфиденциальные данные и совершают покупки. Но не для новых и крупных бизнесов.

EV — это SSL-сертификат проверкой деятельности компании
Получить для сайта SSL-сертификат EV-типа может только юридическое лицо. Вместе с ним лицо получит: безопасное соединение с сайтом, подтверждение права на домен, факта, что компания существует и её деятельность законна. То есть максимальное доверие пользователей.

Раньше EV-сертификат отличался внешне — рядом с замочком стояло название компании. В некоторых браузерах до сих пор так, но в основном название можно посмотреть при клике по замочку, в выпадающем меню.

В Google Chrome название компании из строки убрали в сентябре 2019, а в Mozilla Firefox планируют убрать в октябре 2019В Google Chrome название компании из строки убрали в сентябре 2019, а в Mozilla Firefox планируют убрать в октябре 2019

EV-сертификат пригодится крупному предприятию, интернет-магазину, банку, фонду, государственной организации. Новой, никому не известной компании EV даст максимальное доверие. А крупной, всем известной организации обходиться OV просто стыдно.

Мультидоменный сертификат
Если вы создаете крупную социальную сеть, почтовый сервер, виртуальный «гипермаркет» или сеть корпоративных ресурсов, обратите внимание на мультидоменный сертификат. Он позволит защитить сразу несколько сайтов или страниц на субдоменах.

Количество доступных доменных имён зависит от условий удостоверяющего центра и стоимости услуг. Базовый вариант — до 5 доменов (субдоменов). Мультидоменные сертификаты тоже бывают разных типов — DV, OV или EV.

Где получить SSL-сертификат?

Чтобы сайт нормально открывался в браузерах, нужно получить SSL-сертификат в доверенном удостоверяющем центре: Digicert, GeoTrust, Comodo, Thawte и т.д.

Чтобы проверить, входит ли центр в список доверенных, загляните в настройки браузера. Например, в Chrome список находится в Дополнительных настройках, пункт Настроить сертификаты — Доверенные корневые центры сертификации.

Купить такие сертификаты можно у самого центра, но у партнёров дешевле. Например у LeaderSSL, ISPsystem, Reg.RU, RU-Center или вашего хостинг-провайдера — многие хостеры продают SSL-сертификаты для сайта.

А точно нужен? Не убедили

79% всех сайтов уже перешли на HTTPS, и браузеры постоянно стимулируют тех, кто не перешёл. Они уже не так усиленно помечают сайты с SSL как безопасные: убрали зелёную строку с названием организации для EV-сертификатов, значок замочка теперь по умолчанию серый. Зато предупреждения о небезопасности планирую делать более заметными. Например, с октября 2019 в Firefox появится перечеркнуты замок в адресной строке.

Всё это подтверждает, что SSL-сертификат — это стандарт, и без него уже сложно завоевать доверие пользователей. Подключить SSL-сертификат для сайта можно с Vepp.

Vepp — это простая и удобная панель управления сайтом и сервером. Она автоматически выпускает бесплатный SSL-сертификат для сайта с привязанным доменом и автоматически обновляет этот SSL. Также с Vepp можно установить любой платный и самоподписанный сертификат.

Настя Кузнецова
Редактор