Главное об SSL-сертификатах безопасности для сайтов
С каждым днём всё большее количество людей подвергаются риску стать жертвами злоумышленников, «охотящихся» за персональными данными. Из-за действий мошенников в сети конфиденциальная информация может попасть не в те руки. Посетители сайта справедливо не могут быть уверены, что имеют дело с реально существующим лицом, которому можно доверять, пока не ознакомятся с подтверждением его подлинности и надёжности. В такой момент способны выручить SSL-сертификаты.
В двух словах об SSL
Прежде чем узнать, как можно обзавестись сертификатом, разберёмся, что это такое. SSL-сертификат — это своего рода паспорт, который может предоставить интернет-ресурс. Все данные, содержащиеся в нём, проверены особым органом, удостоверяющим центром, который обладает правом выдачи цифровых сертификатов.
Базируется SSL-сертификат на специальном протоколе шифрования SSL, который обеспечивает безопасное HTTPS-соединение между сайтом и браузером. Такое соединение, в отличие от HTTP-соединения (в аббревиатуре которого отсутствует заветная буква S — «secure», что значит «безопасный»), защищает данные пользователя при передаче данных по сети и гарантирует приватность. Таким образом, на странице входа, во время онлайн-покупки или заполнения формы на сайте, возможность MITM-атаки (когда третьи лица незаметно перехватывают ваши данные или подменяют сообщения) исключается. Закодированную информацию можно расшифровать только при наличии специального ключа, который известен лишь владельцу сертификата.
Значок замка демонстрирует безопасность и надежность сайта
Плюсы сертификата безопасности
Если отвлечься от технической составляющей, что даёт использование такого сертификата на практике?
- В адресной строке браузера отображается значок зелёного замка, а иногда и зелёная строка с названием компании, поэтому пользователи сразу видят, что сайт безопасен и надежен.
- Вы демонстрируете аудитории сайта ответственность и лояльность его владельца, который побеспокоился о ликвидации потенциальных угроз для посетителей.
- Некоторые браузеры показывают предупреждение о том, что сайт небезопасен, если пользователь заходит на страницы сайта, где есть формы. В случае использования зашифрованного соединения вы сможете избежать уведомления о том, что сайт не защищён, и сохранить свою репутацию.
- Поисковая система Google ранжирует HTTPS-сайты выше, то есть в списке результатов поиска предпочтение будет отдано именно таким сайтам, а это безусловный плюс с точки зрения поисковой оптимизации.
- Некоторые новые функции браузеров работают только при HTTPS-соединении, так как и со стороны разработчиков приложений уделяется всё больше внимания приведения к минимуму возможных уязвимостей.
Преимущества SSL-сертификата налицо и говорить о каких-то минусах смысла нет. Но если вы всё-таки желаете копнуть глубже, то возможно незначительное замедление соединения с сайтом, однако оно настолько минимально, что относиться к этому всерьёз не стоит.
Кто выдаёт сертификаты и какие они бывают?
Итак, прежде всего, ответим на вопрос, куда нужно обратиться за сертификатом. Мы уже знаем, что выдает SSL-сертификаты удостоверяющий центр. Какой лучше? Здесь нет однозначного ответа: организации, предоставляющие такие услуги — серьёзные и авторитетные, разница состоит лишь в варьирующихся ценах на сертификаты и в их «дружбе» с отдельными браузерами. Но в любом случае каждый сертификат совместим как минимум с 99 процентами существующих браузеров. Можно выделить такие популярные сертифицирующие центры, как Comodo, Symantec, Geotrust и Thawte. Кроме того, получить сертификат можно не только непосредственно в центрах, но и у их официальных партнёров.
Далее необходимо решить, какой вид сертификата вам нужен. Некоторые владельцы сайтов, стремясь избежать рутины, создают самоподписанные (Self-Signed) сертификаты самостоятельно и бесплатно на веб-сервере. Однако при переходе на такой сайт будет отображаться ошибка с предупреждением о том, что сертификат безопасности не является доверенным, поэтому такой способ подходит разве что для тестовой проверки.
Итак, сертификаты могут различаться по типу валидации, то есть проверки удостоверяющим центром. Самые простые DV-сертификаты (Domain Validation) выдаются в течение одного-двух дней, подтверждают только доменное имя, подходят как физическим, так и юридическим лицам, а выпускаются после проведения проверки и перехода по ссылке. Кроме домена, может быть подтверждена и организация — это OV-сертификаты (Organization Validation) и они уже требуют наличия юрлица в соответствующем реестре и в публичных каталогах, а также проверочного звонка в компанию. Выдача их производится в течение двух дней. Самыми престижными являются EV-сертификаты (Extended Validation): кроме требований, предъявляемых к получению OV-сертификатов, они включают тщательную расширенную проверку соответствия организации определённым критериям. Этот процесс может занять до двух недель. В целом подготовка документации может несколько отличаться в зависимости от выбранного вами органа по их предоставлению.
Исходя из предназначения, выделяют стандартные SSL-сертификаты для защиты одного доменного имени; Wildcard-сертификаты, которые используются для защиты не только основного домена, но и его поддоменов; мультидоменные SAN-сертификаты для обеспечения безопасности ряда разных доменов; те самые EV-сертификаты c расширенной проверкой — в этом случае адресная строка браузера подсвечивается зелёным цветом и отображает название компании (название этому — green bar).
Выдача сертификата
Теперь попробуем разобраться в процедуре получения SSL-сертификата, которую стоит рассмотреть отдельно. Конечно, компания, которая будет предоставлять вам сертификат, даст руководство по его получению, но мы хотим схематично обобщить этот процесс.
Механизм получения сертификата
Проведем такую аналогию: для того чтобы обезопасить ваш дом, который у всех на виду, от проникновения, вы должны иметь ключ. Это значит, что подготовка к получению публичного сертификата начнется с того, что вы создадите ключ (а точнее, пару ключей — приватный и публичный), шифрующий и расшифровывающий данные, которые передаются от посетителя сайта к веб-серверу и обратно. Затем генерируется запрос на выпуск сертификата — CSR (Certificate Signing Request). Здесь вы вводите ваши данные, указываете адрес электронной почты для осуществления подтверждения вашего запроса и при необходимости прилагаете документы. Далее этот файл CSR, подписанный вашим приватным ключом, передаётся в центр сертификации вместе с публичным ключом. Там производится проверка полученной информации, после чего удостоверяющий центр выпускает SSL-сертификат, гарантируя, что только вы имеете ключ к нему и что ваши права на сертификат и сайт теперь подтверждены. Для веб-сервера это означает, что вы готовы предоставлять защищённое соединение.
Необходимо понимать, что сертификат не приобретается навечно, его нужно продлевать (и это тоже стоит денег), иначе на вашем сайте появится ошибка, которая отпугнёт посетителей. Если срок действия сертификата истёк и вы его не продлили, но позже решили обратиться к этой услуге снова — необходимо будет заняться перевыпуском SSL-сертификата.
Бесплатные сертификаты
Как видите, процесс получения сертификата нельзя назвать простым, из-за чего многие от него отказываются. Однако с течением времени меняется многое, в том числе и подход к вопросу автоматизации приобретения SSL-сертификата и пересмотра ценовой политики. Благодаря Let’s Encrypt — некоммерческому проекту, который представляет центр сертификации от общественной корпорации ISRG — появился совершенно бесплатный и удобный способ обзавестись «защитным снаряжением» для своих проектов.
С декабря 2015 года Let’s Encrypt стал доступен для всех, кто хочет получить стандартный SSL-сертификат без лишних шагов. Причина, почему это происходит так просто, в том, что Let’s Encrypt использует несколько отличающиеся, но при этом заточенные на результат инструменты: специальный протокол аутентификации сайтов ACME в связке с протоколом шифрования TLS (преемником SSL). Мы не предлагаем вникать в дебри этого программного процесса — те, кто глубоко в этом заинтересован, могут ознакомиться с подробностями здесь. Let’s Encrypt предоставляет только DV-сертификаты и выдает их на 90 дней — именно при этих условиях обеспечивается их автоматическое получение. По прошествии 60 дней рекомендуется обновлять полученный сертификат.
Бесплатный SSL-сертификат от «Джино» с автопродлением
SSL-сертификаты от «Джино»
Любой клиент «Джино» может получить бесплатный SSL-сертификат от Let’s Encrypt. Такие сертификаты выдаются в течение нескольких секунд прямо через контрольную панель и продлеваются программно автоматически. Сделать это можно в разделе «Домены» вашего аккаунта: выберите нужный домен, на странице его настроек перейдите во вкладку «SSL-сертификат» и нажмите «Получить». Если вы уже имеете SSL-сертификат, просто подключите его к домену на аккаунте «Джино».
Не откладывайте получение SSL-сертификата в долгий ящик — это вклад в ваше доброе имя. Подкованные пользователи и потенциальные клиенты заметят знак защиты вашего сайта и убедятся в вашем компетентном отношении к вопросам безопасности, которая в современном мире требует повышенного внимания.
Выводы:
- Любому сайту в наше время нужен сертификат.
- Есть разные виды SSL-сертификатов для любого кошелька, но все они предоставляют самое основное — шифрование. Более продвинутые и дорогие дополняются лишь деталями.
- Раньше все сертификаты были платными, но благодаря Let’s Encrypt защитить сайты сейчас может каждый.
- На «Джино» получение бесплатного сертификата занимает буквально минуту.