При создании сайта и работе над ним одна из первоочередных задач — обеспечение безопасности ресурса. Понятие безопасности включает в себя две категории. Первая — безопасность самого сайта, базы данных и доступа к внутренней структуре сайта на сервере, которая реализуется на уровне кода и хостинг-провайдера. Вторая категория — безопасность пользователей сайта, которые оставляют на нем информацию и передают с его помощью данные. Самый простой способ обеспечить ее — использовать SSL-сертификат.
Вместе с компанией RU-CENTER мы разобрались в том, что это такое, как SSL защищает посетителей сайта и почему не стоит пренебрегать этой возможностью в наше время.
С чего все началось
Браузер пользователя (клиент) общается с сервером с помощью протокола HTTP. По сути это набор инструкций и стандартов, регламентирующий то, как и в каком виде передаются данные между устройствами. Так вот, по HTTP передаются любые данные, текст, картинки, музыка, системная информация о пользователе, технические данные — все что угодно.
Проблема в том, что все эти данные никак не защищены, то есть открыты и передаются как есть. Это является очень большой угрозой безопасности пользователей, так как такой трафик может проходить через множество посредников — провайдеров, промежуточные пункты обработки данных, прокси-серверы или товарища майора.
Злоумышленники могут перехватить данные и использовать в своих злодейских целях. И ладно, если бы под угрозой были только фотографии котиков и домашнее видео, но если речь о банковских данных, платежной и личной информации (паспортные данные, ф.и.о. и т. д.), это становится масштабной проблемой. Даже технические данные и информация о том, как пользователь ведет себя на сайте, может быть использована хакерами и недобросовестными специалистами в своих целях.
В 2014 году в Google заявили, что предпримут меры для исправления этой ситуации. В течение нескольких лет было анонсировано, что сайты и сервисы, работающие через протокол HTTP, будут понижаться в ранжировании поисковой системы, а затем и вовсе будут помечаться в браузере Chrome как небезопасные.
HTTPS и SSL
На текущий 2018 год эти меры актуальны и применяются. Другие браузеры, например Firefox, также поддержали инициативу Google. Теперь сайты, работающие на HTTP, имеют в адресной строке шильдик «Не защищено». Угроза получить такой статус для сайта (а браузер Chrome используется 60% пользователями в мире) и опуститься в выдаче поиска Google подтолкнула веб-мастеров к массовому переходу на протокол HTTPS с помощью SSL-сертификатов.
HTTPS — это тот же HTTP, но работающий через протоколы шифрования SSL и TLS. Это криптографические протоколы, обеспечивающие надежное шифрование данных, отправляемых браузером серверу. То есть никто, кроме сервера, их прочитать не сможет. Кроме того, SSL-сертификат обязателен для сайтов и сервисов, работающих с персональными данными на территории России (Федеральный закон № 152 «О персональных данных»).
Виды SSL-сертификатов
SSL-сертификаты бывают нескольких видов. Они отличаются по количеству доменов и субдоменов, для которых могут быть использованы, а также по способу проверки сайта.
DV (domain validation) SSL подтверждает домен, шифрует и защищает данные. Получить его можно весьма быстро как физическим лицам, так и организациям.
OV (organization validation) SSL подтверждает принадлежность домена организации. Юридическое лицо проверяется поставщиком сертификата, а пользователь сможет найти информацию об организации, кликнув по значку замка в адресной строке браузера.
EV (extended validation) SSL предполагает детальную проверку налоговой и коммерческой деятельности компании. При этом URL дополняется названием организации.
Как получить SSL-сертификат
Существует всего несколько организаций, занимающихся выдачей SSL-сертификатов. RU-CENTER является официальным партнером таких удостоверяющих центров, как Thawte, GeoTrust, Symantec, Comodo, GlobalSign. Также RU-CENTER выпускает SSL-сертификаты под собственным брендом. У каждого из них разная стоимость, которая складывается из нескольких параметров — количества доменов, уровня проверки, предназначения, степени (сложности) шифрования и срока действия.
Посмотреть SSL-сертификаты →
Какой SSL-сертификат выбрать
Если ты хочешь подтвердить, что сайт принадлежит тебе как физлицу, выбирай DV-сертификаты. Этого будет достаточно, чтобы защитить твоих пользователей.
Если тебе принадлежит интернет-магазин или сервис, работающий с платежными и банковскими данными, стоит выбрать OV-сертификат. OV-сертификат подтверждает, что сайт принадлежит реальной компании (при этом центр сертификации может проверить наличие сведений об организации в ЕГРЮЛ и публичных списках). Пользователи доверяют таким сайтам гораздо больше, а поисковики их выше котируют.
Если сайт принадлежит компании, занимающейся финансовой деятельностью, или крупному интернет-магазину, то подойдет EV-сертификат, который обеспечивает максимальную защиту, проверку сайта и отображает информацию об организации и удостоверяющем центре в зеленом шильдике в строке URL.
Выбрать SSL-сертификат →