Зачем нужен SSL-сертификат, как его получить и установить

Суть всемирной паутины – обмен данными. Когда пользователь открывает любой сайт, первым делом к серверу идет запрос, на который приходит ответ – всё Оk, сайт доступен, и затем запускается процесс передачи содержимого, т.е. загрузка сайта. При любых дальнейших действиях снова посылаются запросы, и на них приходят ответы. Всё просто. Но безопасно ли? Может ли кто-либо перехватить важную информацию – телефон, email, даже данные банковских карт? Да, это возможно. И поэтому были разработаны методы защиты.

Усилиями Google и других крупных компаний интернет переходит на HTTPS – защищенный протокол передачи данных. Чтобы подключить его, нужно установить SSL-сертификат. Я расскажу вам, что это такое, какая от него польза и как его раздобыть.

В адресной строке браузера перед адресом сайта есть префикс HTTP. Аббревиатура расшифровывается как HyperText Transfer Protocol – протокол передачи гипертекста. HTTP помогает браузеру видеть и показывать сложные сайты в полном виде – со всеми функциями и красотами-наворотами. Но многие ресурсы собирают информацию о пользователе: почту для регистрации или рассылок, физический адрес для доставки товара, телефон для обратной связи или платежный данные. А всё, что вы пишите в интернете, может быть использовано против вас, поэтому такие данные нужно защищать от мошенников.

HTTP для этого не предназначен – такое соединение не защищено от внедрения злоумышленников. Они могут собирать информацию о пользователе, воровать логины и пароли, подменять данные. На HTTP-страницу хакер может запустить вирус, поставить свою рекламу. Google в своем браузере Chrome помечает такие страницы как небезопасные, – показывает пользователю заглушку с надписью “Ваше подключение не защищено” и предлагает отступить “назад к безопасности”. В общем, не влезай – убьет.

Предупреждение об опасности – это хорошо, но это полумера. Поэтому протокол усовершенствовали – придумали HTTPS. Эта буква “S” в конце означает “secure”. S – значит надежность, безопасность, защита. По такому протоколу сведения проходят путь между браузером и сервером в зашифрованном виде – читать и понимать их не может никто, кроме сервера и браузера. Сайты с HTTPS Chrome тоже помечает: перед префиксом появляются надпись “Защищено” и замочек безопасного зеленого цвета.

Чтобы подключиться к HTTPS и получить такую модную надпись, нужно установить сертификат SSL – цифровую подпись сайта. Это что-то вроде паспорта или удостоверения личности – только для сайтов.

Безопасность. SSL – это файлы, которые устанавливают на веб-сервер для защищенной передачи информации. Сертификат означает, что данные надежно зашифрованы, и никто посторонний не узнает номер вашей карты или пароль. Недобросовестный провайдер или злой админ беспроводной сети не смогут использовать ваши персональные данные в своих целях.

Только не путайте защиту информации, которой сайт обменивается с пользователем, с защитой самого сайта. SSL-сертификат не помешает злоумышленникам взломать ресурс, если они этого захотят. Хакер все еще сможет перехватить информацию, которую предоставляет сайту пользователь, но не сможет расшифровать ее. Сертификат защищает людей, а не сайты.

Доверие. Еще сертификат подтверждает подлинность ресурса и рассказывает, какому человеку или компании он принадлежит. Пользователь знает, с кем имеет дело, и доверяет сайту. Человек не будет бояться сообщать вам номер своей кредитной карты или электронного кошелька. Проверяет подлинность ресурса третья сторона – специальные удостоверяющие центры.

Приоритет в выдаче. Google сделал HTTPS критерием ранжирования, чтобы пользователи поиска были в безопасности. Это значит, что сайты с сертификатом SSL будут выше в выдаче, чем без него. Администрация “Яндекса” в 2015 году тоже объявила, что службы, принимающие HTTP, должны перейти на HTTPS.

Законность. В России действует Федеральный закон № 152 “О персональных данных”. Оператором таких данных считаются сайты, которые собирают любые сведения о пользователях – даже если это просто e-mail. Закон велит операторам данные защищать, а за нарушения наказывает. Поставить сертификат – одна из мер защиты.

А еще HTTPS нужен для так называемых “прогрессивных веб-приложений”. Это такие сайты, которые на обычном компьютере или ноутбуке отображаются как обыкновенные страницы, а на смартфонах или планшетах – как мобильные приложения. Они надежны, загружаются быстро, работают офлайн и нуждаются в SSL.

Тогда в самом лучшем случае ваш сайт будет помечен как “небезопасный”. И уже не важно, собираете вы информацию о пользователях или нет: с июля 2018 года Chrome клеймит все сайты на HTTP. А через “Хром” интернет бороздят 55% пользователей Рунета. Без сертификата ваш ресурс в глазах большей части юзеров предстанет как не заслуживающий доверия. Это как встретить пьяного человека без зубов и в костюме “Абибас”: ничего плохого про него вроде не знаешь, но предпочтешь обойти стороной.

За Google идут и остальные: Opera, Firefox, Safari, Edge, “Яндекс.Браузер” – все они показывают пользователям, сертифицирован сайт или нет. А Mozilla Firefox и вовсе продвигает идею блокировать страницы без паспорта и не показывать их. Так что при худших раскладах несертифицированные сайты вообще исчезнут из выдачи.

Есть три разновидности сертификатов по уровню проверки:

• DV (domain validation, проверка домена). Базовый, дешевый, а то и бесплатный вариант. Такой сертификат защищает информацию и подтверждает владение доменом. Если владелец сайта – физическое лицо, то на такой ресурс можно установить только DV. Но организации тоже могут им пользоваться. Подходит для информационных сайтов, где не собирают никакие данные. Выдают его моментально – и на сайте появляется зеленый замок безопасности.
• OV (organization validation, проверка организации). Не только защищает информацию, но и гарантирует, что сайт принадлежит конкретной организации, которая реально существует. Получить такой сертификат могут только юридические лица с подтвержденным номером телефона. Телефон проверяют – звонят в организацию. Подходит для маленьких интернет-магазинов, форумов. Выдают такой паспорт за три дня.
• EV (extended validation, расширенная проверка). Самый надежный и сложный сертификат. Организацию проверяют полностью: юридические и физические аспекты работы, коммерцию и налоги. В сертификате укажут название компании и вид деятельности, а название появится еще и возле зеленого замка в адресной строке. Такое удостоверение нужно сайтам, где собирают деньги и информацию о деньгах – например, платежным системам или банкам. Выпуск EV может занять несколько недель.

Еще сертификаты отличаются по числу доменов и поддоменов, которые они защищают. Некоторые распространяются только на один домен, другие – на один домен и любое число его поддоменов, третьи – на несколько доменов.

Самый простой сертификат — DV от Let’s Encrypt, можно получить прямо у хостинг-компании через панель управления.

Если вам нужна более серьезная проверка – обращайтесь в специальные организации. Они называются удостоверяющими центрами (УЦ), есть таких несколько десятков, а у каждого из них есть партнеры и посредники, которые тоже имеют право выдавать сертификаты. К таким центрам относятся, например, Comodo, Symantec, GeoTrust – у них есть партнеры в России.

Процедура проверки и сертифицирования в общем случае выглядит так:

1. Выбираете тип сертификата на сайте УЦ или его партнера. Предоставляете информацию о себе. Если получаете DV-сертификат, то будет достаточно указать домен, телефон и почту. Почтовый ящик должен обязательно принадлежать вашему сайту. Для OV и EV потребует доказать, что организация юридически существует и  работает в соответствии с официально заявленной деятельностью. Для этого нужно будет предоставить УЦ выписку из ЕГРЮЛ, ИНН, сведения об упоминании компании в общедоступных справочниках – например, nalog.ru.
2. Идете по ссылке в письме активации, которое придет на указанную вами почту.
3. Дождаться результатов проверки. В зависимости от разновидности сертификата, проверка отнимает от считаных минут до нескольких недель. УЦ может попросить дополнительную документацию, если возникнут вопросы.
4. Получаете файлы сертификата. Они придут на электронный ящик.
5. Устанавливаете.

О последнем пункте расскажу подробнее.

Если ваш хостинг дает возможность получить DV-сертификат в панели управления, то через ту же панель вы сможете и установить его. Уровень сложности установки – два клика.

Еще инструкции по установке вам может прислать УЦ. Следуя им, вы самостоятельно можете поставить SSL в файлах конфигурации веб-сервера. Когда все сделаете, нужно будет разобраться и с поисковыми системами. В “Яндексе” добавьте работающий по HTTPS сайт в свой список в “Яндекс.Вебмастере” и настройте зеркало ресурса – “Яндекс” расскажет, как это делается. Затем безопасный адрес нужно добавить в Google Search Console – Google тоже проинструктирует на этот счет. Потом в панели управления веб-сервером настройте перенаправление пользователей со старого, незащищенного адреса на новый.

Самостоятельно установить сертификат не так уж сложно, но если у вас нет времени или желания возиться с этим, помогут техподдержка или партнер удостоверяющего центра.

Нисколько, если вас устраивает DV-сертификат со сроком действия в 90 дней (обычно у хостеров настроено автопродление, поэтому не стоит волноваться о том, что через 3 месяца придется его вручную переустанавливать). Такие паспорта сайтам бесплатно выдает Let’s Encrypt – доверенный центр. Его создали, чтобы перевести большую часть сайтов на HTTPS, поэтому процесс полностью автоматизировали и упростили до предела. Не понадобится даже электронная почта: нужно будет выполнить две команды на веб-сервере – они и шифрование настроят, и сертификат получат и установят его. Занимает это все полминуты времени.

Но Let’s Encrypt не выдает и не собирается выдавать сертификаты типов OV и EV, поэтому их придется получать в УЦ, а там это платно. Цена зависит от вида SSL, количества доменов и самого удостоверяющего центра. Суммы начинаются от 1000 рублей в год за однодоменный DV-паспорт и доходят до 80 тысяч в год.

Если нужный вам тип сертификата в разных УЦ предлагают за разные деньги, смело выбирайте самый дешевый. Дешевле не значит хуже: все УЦ выпускают сертификаты по одному стандарту – они одинаковые. Разницу в цене делает только бренд самого УЦ и его маркетинговая политика. Одни центры стремятся продать побольше и снижают цены, другим интересны только рынки западных стран, третьи вылавливают корпоративных клиентов.

Вот такой он, этот SSL. Защищает информацию пользователя и тем самым создает сайту хорошую репутацию среди людей и поисковых машин. Он вам нужен.