Суть всемирной паутины – обмен данными. Когда пользователь открывает любой сайт, первым делом к серверу идет запрос, на который приходит ответ – всё Оk, сайт доступен, и затем запускается процесс передачи содержимого, т.е. загрузка сайта. При любых дальнейших действиях снова посылаются запросы, и на них приходят ответы. Всё просто. Но безопасно ли? Может ли кто-либо перехватить важную информацию – телефон, email, даже данные банковских карт? Да, это возможно. И поэтому были разработаны методы защиты.
Усилиями Google и других крупных компаний интернет переходит на HTTPS – защищенный протокол передачи данных. Чтобы подключить его, нужно установить SSL-сертификат. Я расскажу вам, что это такое, какая от него польза и как его раздобыть.
Что такое HTTPS и SSL
В адресной строке браузера перед адресом сайта есть префикс HTTP. Аббревиатура расшифровывается как HyperText Transfer Protocol – протокол передачи гипертекста. HTTP помогает браузеру видеть и показывать сложные сайты в полном виде – со всеми функциями и красотами-наворотами. Но многие ресурсы собирают информацию о пользователе: почту для регистрации или рассылок, физический адрес для доставки товара, телефон для обратной связи или платежный данные. А всё, что вы пишите в интернете, может быть использовано против вас, поэтому такие данные нужно защищать от мошенников.
HTTP для этого не предназначен – такое соединение не защищено от внедрения злоумышленников. Они могут собирать информацию о пользователе, воровать логины и пароли, подменять данные. На HTTP-страницу хакер может запустить вирус, поставить свою рекламу. Google в своем браузере Chrome помечает такие страницы как небезопасные, – показывает пользователю заглушку с надписью “Ваше подключение не защищено” и предлагает отступить “назад к безопасности”. В общем, не влезай – убьет.
Предупреждение об опасности – это хорошо, но это полумера. Поэтому протокол усовершенствовали – придумали HTTPS. Эта буква “S” в конце означает “secure”. S – значит надежность, безопасность, защита. По такому протоколу сведения проходят путь между браузером и сервером в зашифрованном виде – читать и понимать их не может никто, кроме сервера и браузера. Сайты с HTTPS Chrome тоже помечает: перед префиксом появляются надпись “Защищено” и замочек безопасного зеленого цвета.
Чтобы подключиться к HTTPS и получить такую модную надпись, нужно установить сертификат SSL – цифровую подпись сайта. Это что-то вроде паспорта или удостоверения личности – только для сайтов.
Что дает SSL
Безопасность. SSL – это файлы, которые устанавливают на веб-сервер для защищенной передачи информации. Сертификат означает, что данные надежно зашифрованы, и никто посторонний не узнает номер вашей карты или пароль. Недобросовестный провайдер или злой админ беспроводной сети не смогут использовать ваши персональные данные в своих целях.
Только не путайте защиту информации, которой сайт обменивается с пользователем, с защитой самого сайта. SSL-сертификат не помешает злоумышленникам взломать ресурс, если они этого захотят. Хакер все еще сможет перехватить информацию, которую предоставляет сайту пользователь, но не сможет расшифровать ее. Сертификат защищает людей, а не сайты.
Доверие. Еще сертификат подтверждает подлинность ресурса и рассказывает, какому человеку или компании он принадлежит. Пользователь знает, с кем имеет дело, и доверяет сайту. Человек не будет бояться сообщать вам номер своей кредитной карты или электронного кошелька. Проверяет подлинность ресурса третья сторона – специальные удостоверяющие центры.
Приоритет в выдаче. Google сделал HTTPS критерием ранжирования, чтобы пользователи поиска были в безопасности. Это значит, что сайты с сертификатом SSL будут выше в выдаче, чем без него. Администрация “Яндекса” в 2015 году тоже объявила, что службы, принимающие HTTP, должны перейти на HTTPS.
Законность. В России действует Федеральный закон № 152 “О персональных данных”. Оператором таких данных считаются сайты, которые собирают любые сведения о пользователях – даже если это просто e-mail. Закон велит операторам данные защищать, а за нарушения наказывает. Поставить сертификат – одна из мер защиты.
А еще HTTPS нужен для так называемых “прогрессивных веб-приложений”. Это такие сайты, которые на обычном компьютере или ноутбуке отображаются как обыкновенные страницы, а на смартфонах или планшетах – как мобильные приложения. Они надежны, загружаются быстро, работают офлайн и нуждаются в SSL.
А если не поставить SSL?
Тогда в самом лучшем случае ваш сайт будет помечен как “небезопасный”. И уже не важно, собираете вы информацию о пользователях или нет: с июля 2018 года Chrome клеймит все сайты на HTTP. А через “Хром” интернет бороздят 55% пользователей Рунета. Без сертификата ваш ресурс в глазах большей части юзеров предстанет как не заслуживающий доверия. Это как встретить пьяного человека без зубов и в костюме “Абибас”: ничего плохого про него вроде не знаешь, но предпочтешь обойти стороной.
За Google идут и остальные: Opera, Firefox, Safari, Edge, “Яндекс.Браузер” – все они показывают пользователям, сертифицирован сайт или нет. А Mozilla Firefox и вовсе продвигает идею блокировать страницы без паспорта и не показывать их. Так что при худших раскладах несертифицированные сайты вообще исчезнут из выдачи.
Получать сертификат рано или поздно придется. Пришло время выбирать.
Типы SSL-сертификатов
Есть три разновидности сертификатов по уровню проверки:
- DV (domain validation, проверка домена). Базовый, дешевый, а то и бесплатный вариант. Такой сертификат защищает информацию и подтверждает владение доменом. Если владелец сайта – физическое лицо, то на такой ресурс можно установить только DV. Но организации тоже могут им пользоваться. Подходит для информационных сайтов, где не собирают никакие данные. Выдают его моментально – и на сайте появляется зеленый замок безопасности.
- OV (organization validation, проверка организации). Не только защищает информацию, но и гарантирует, что сайт принадлежит конкретной организации, которая реально существует. Получить такой сертификат могут только юридические лица с подтвержденным номером телефона. Телефон проверяют – звонят в организацию. Подходит для маленьких интернет-магазинов, форумов. Выдают такой паспорт за три дня.
- EV (extended validation, расширенная проверка). Самый надежный и сложный сертификат. Организацию проверяют полностью: юридические и физические аспекты работы, коммерцию и налоги. В сертификате укажут название компании и вид деятельности, а название появится еще и возле зеленого замка в адресной строке. Такое удостоверение нужно сайтам, где собирают деньги и информацию о деньгах – например, платежным системам или банкам. Выпуск EV может занять несколько недель.
Еще сертификаты отличаются по числу доменов и поддоменов, которые они защищают. Некоторые распространяются только на один домен, другие – на один домен и любое число его поддоменов, третьи – на несколько доменов.
Где взять сертификат
Самый простой сертификат — DV от Let’s Encrypt, можно получить прямо у хостинг-компании через панель управления.
Если вам нужна более серьезная проверка – обращайтесь в специальные организации. Они называются удостоверяющими центрами (УЦ), есть таких несколько десятков, а у каждого из них есть партнеры и посредники, которые тоже имеют право выдавать сертификаты. К таким центрам относятся, например, Comodo, Symantec, GeoTrust – у них есть партнеры в России.
Процедура проверки и сертифицирования в общем случае выглядит так:
- Выбираете тип сертификата на сайте УЦ или его партнера. Предоставляете информацию о себе. Если получаете DV-сертификат, то будет достаточно указать домен, телефон и почту. Почтовый ящик должен обязательно принадлежать вашему сайту. Для OV и EV потребует доказать, что организация юридически существует и работает в соответствии с официально заявленной деятельностью. Для этого нужно будет предоставить УЦ выписку из ЕГРЮЛ, ИНН, сведения об упоминании компании в общедоступных справочниках – например, nalog.ru.
- Идете по ссылке в письме активации, которое придет на указанную вами почту.
- Дождаться результатов проверки. В зависимости от разновидности сертификата, проверка отнимает от считаных минут до нескольких недель. УЦ может попросить дополнительную документацию, если возникнут вопросы.
- Получаете файлы сертификата. Они придут на электронный ящик.
- Устанавливаете.
О последнем пункте расскажу подробнее.
Как установить SSL-сертификат
Если ваш хостинг дает возможность получить DV-сертификат в панели управления, то через ту же панель вы сможете и установить его. Уровень сложности установки – два клика.
Еще инструкции по установке вам может прислать УЦ. Следуя им, вы самостоятельно можете поставить SSL в файлах конфигурации веб-сервера. Когда все сделаете, нужно будет разобраться и с поисковыми системами. В “Яндексе” добавьте работающий по HTTPS сайт в свой список в “Яндекс.Вебмастере” и настройте зеркало ресурса – “Яндекс” расскажет, как это делается. Затем безопасный адрес нужно добавить в Google Search Console – Google тоже проинструктирует на этот счет. Потом в панели управления веб-сервером настройте перенаправление пользователей со старого, незащищенного адреса на новый.
Самостоятельно установить сертификат не так уж сложно, но если у вас нет времени или желания возиться с этим, помогут техподдержка или партнер удостоверяющего центра.
Сколько стоит
Нисколько, если вас устраивает DV-сертификат со сроком действия в 90 дней (обычно у хостеров настроено автопродление, поэтому не стоит волноваться о том, что через 3 месяца придется его вручную переустанавливать). Такие паспорта сайтам бесплатно выдает Let’s Encrypt – доверенный центр. Его создали, чтобы перевести большую часть сайтов на HTTPS, поэтому процесс полностью автоматизировали и упростили до предела. Не понадобится даже электронная почта: нужно будет выполнить две команды на веб-сервере – они и шифрование настроят, и сертификат получат и установят его. Занимает это все полминуты времени.
Но Let’s Encrypt не выдает и не собирается выдавать сертификаты типов OV и EV, поэтому их придется получать в УЦ, а там это платно. Цена зависит от вида SSL, количества доменов и самого удостоверяющего центра. Суммы начинаются от 1000 рублей в год за однодоменный DV-паспорт и доходят до 80 тысяч в год.
Если нужный вам тип сертификата в разных УЦ предлагают за разные деньги, смело выбирайте самый дешевый. Дешевле не значит хуже: все УЦ выпускают сертификаты по одному стандарту – они одинаковые. Разницу в цене делает только бренд самого УЦ и его маркетинговая политика. Одни центры стремятся продать побольше и снижают цены, другим интересны только рынки западных стран, третьи вылавливают корпоративных клиентов.
Вот такой он, этот SSL. Защищает информацию пользователя и тем самым создает сайту хорошую репутацию среди людей и поисковых машин. Он вам нужен.