Что такое SSL-сертификат:почему он подключен у 9 из 10 сайтов

Сделать хороший сайт непросто, продающий — и того сложнее.

Нужно думать над позиционированием, писать статьи, подбирать иллюстрации.

Это крупные и важные задачи.

Но есть в работе над сайтом мелочи.

Они кажутся формальностью, и отвлекаться на них не хочется.

Забудет о них владелец сайта, а потом это выходит боком.

Одна из таких мелочей — SSL-сертификат.

Казалось бы, зачем он. Говорят, для защиты, но кому нужен мой сайт, брать-то там еще нечего. Так ведь?

Так, да не так. SSL-сертификат нужен для перевода сайта на защищенное соединение (HTTPS).

А оно действительно снижает риск самых разных видов мошенничества в сети.

Именно поэтому все больше сайтов переходят на него.

По данным Google, в среднем 96 из 100 сайтов работают по HTTPS.

При этом 90 из 100 сайтов используют HTTPS по умолчанию.

Google также отслеживает долю HTTPS-трафика, который проходит через браузер Google Chrome.

Эта цифра активно растет и приближается к 100%.

Если сайт работает по незащищенному соединению, браузеры помечают его как небезопасный.

Если он еще и собирает данные пользователей, то блокируют доступ к нему.

Поисковики понижают такие ресурсы в выдаче.

SSL-сертификат:

• обеспечивает защищенное соединение и позволяет избежать санкций от браузеров;
• добавляет сайту веса при поисковом ранжировании и влияет на рост трафика из поиска;
• вызывает доверие посетителей и уменьшает количество отказов.

Но SSL-сертификаты бывают разными.

В этой статье мы рассказали, как выбрать и получить SSL-сертификат, который поможет развитию и продвижению сайта.

Что такое SSL и зачем он нужен

SSL-сертификат позволяет зашифровать передаваемые данные и сделать их нечитаемыми для мошенников.

Поэтому сайтам с сертификатами пользователи доверяют больше.

А еще поисковики повышают их в выдаче.

Разница между HTTP и HTTPS

Возможно, Вы замечали, что адреса одних сайтов начинаются с HTTP, а других — с HTTPS.

HTTP и HTTPS — это протоколы передачи данных.

Они нужны, чтобы передавать информацию от одного компьютера к другому через интернет.

Буква «S» в названии протокола означает безопасность (от англ. secure).

Протокол HTTPS считается безопасным, потому что в нем используется шифрование.

Оно скрывает содержание сообщения для посторонних.

Признание в любви, переданное по HTTP, выглядит так: «Я тебя люблю».

Оно же, но по HTTPS, выглядит как абракадабра: «j5K82O;ws92/*%ks».

Чтобы зашифровать сообщение, нужны криптографические ключи.

Они содержатся в SSL-сертификатах.

Таким образом, чтобы сайт начал работать по протоколу HTTPS, на него нужно установить SSL-сертификат.

Что такое SSL-сертификат и как он работает

SSL-сертификат — это цифровой файл, содержащий ключи шифрования.

Что значит аббревиатура «SSL»?

SSL и TLS

Secure Sockets Layer (SSL) и Transport Layer Security (TLS) — это протоколы, которые предоставляют безопасное соединение поверх компьютерных сетей.

TLS основан на SSL и был разработан в ответ на уязвимости в SSLv3.

Термин SSL используется чаще, и сегодня обычно означает TLS.

SSL/TLS обеспечивает шифрование данных, целостность данных и аутентификацию.

Это значит, что когда используется SSL, Вы можете быть уверены в том, что:

• никто не прочитает Ваши сообщения;
• никто не изменит Ваши сообщения;
• Вы общаетесь с определенной персоной (сервером).

Ключи шифрования

Для шифрования используются ключи.

Ключ — простой номер, обычно 128 бит.

В шифровании используются два ключа: публичный и приватный.

Они разные, но математически связаны.

Если сообщение зашифровано публичным ключом, оно не может быть расшифровано им же.

Для расшифровки понадобится приватный ключ.

Ключи хранятся на том же сервере, что и сайт.

Публичный ключ доступен для всех. Браузер получает его, когда обращается к сайту.

Публичным ключом браузер шифрует всю информацию, которую отправляет сайту.

Сайт расшифровывает эту информацию приватным ключом.

Этим же приватным ключом сайт шифрует всю информацию, которую отправляет браузеру.

Браузер расшифровывает ее публичным ключом.

Если мошенник перехватит передаваемую информацию, он не сможет ее расшифровать, так как ключей у него нет.

Вопрос доверия

С ключами есть сложность. Мошенник может подсунуть браузеру свой ключ и узнать все передаваемые секреты.

Поэтому браузеры доверяют не всем ключам, а только особенным — подписанным специальными организациями.

Эта организация — удостоверяющий центр (УЦ). Ее можно сравнить с паспортным столом.

Паспортный стол проверяет связь между фотографией и человеком.

А удостоверяющий центр — между открытым ключом и сайтом.

Когда браузер получает проверенный УЦ сертификат, он спокоен: данные будут в сохранности.

Типичное соединение браузера и веб-сервера с использованием SSL:

1. Браузер соединяется с сервером по SSL (HTTPS).
2. Сервер содержит публичный ключ веб-сервера.
3. Браузер верифицирует сертификат, проверяя подпись. Чтобы это произошло, SSL должен быть получен в удостоверяющем центре или доверенном магазине.
4. Браузер использует публичный ключ, чтобы соединиться с сервером.
5. Веб-браузер и сервер шифруют данные поверх соединения, используя ключ сессии.

Для чего нужен SSL-сертификат

Мы уже выяснили, что сертификат нужен для безопасности.

Существуют десятки видов мошенничеств с перехватом данных.

Поэтому крупнейшие интернет-компании призывают всех владельцев сайтов переходить на HTTPS.

В первую очередь инициатором является Google.

Вот пост-манифест гиганта: Why HTTPS Matters.

В России кампанию поддерживает Яндекс: HTTPS как знак качества сайта.

В связи с этим возникает еще два основания для перехода на безопасное соединение.

SSL заслуживает доверия пользователей

Чтобы склонить веб-мастеров использовать безопасный протокол, Яндекс и Google встраивают особые уведомления в свои браузеры.

Если SSL не установлен, и при этом сайт собирает чувствительные данные, браузеры заблокируют доступ к нему.

Пользователи уходят, когда видят эти уведомления.

Так отсутствие SSL снижает посещаемость и заработок с сайта.

SSL-сертификат приносит преимущества SEO

Поисковики повышают сайты с SSL в поисковой выдаче.

Google считает HTTPS сигналом ранжирования с 2014 года, Яндекс объявил об этом в 2019 году.

Имейте в виду, это только один из многих факторов.

Чтобы узнать обо всех, читайте статью SEO-продвижение сайта в 2022.

Когда нужен SSL-сертификат

Поговорим о конкретных ситуациях, в которых необходимо безопасное соединение.

Итак, когда нужен SSL-сертификат.

Если сайт собирает данные кредитных карт

Нужно убедиться, что информация, которую Вы собираете от пользователей или покупателей, достаточно защищена, ведь она может быть использована для кражи личных данных или денег.

SSL предотвращает утечку информации.

К тому же люди заботятся о своей безопасности.

Они не станут платить на Вашем сайте или оставлять контакты, если браузер поставит рядом с адресом сайта пометку «Не защищено».

Если Ваш сайт использует формы для сбора логинов и паролей

Для доступа к Вашему сайту посетителям надо оставить логин и пароль?

Если так, Вам нужен SSL-сертификат, чтобы убедиться, что никто не украдет их пароли или не получит доступ к их профилю.

Вам нужно обеспечить эту безопасность, даже если Ваш сайт не содержит чувствительной информации.

Большинство людей используют одинаковые пароли (или вариации одного) для множества сайтов.

Так что если кто-то получит пароли Ваших пользователей, он может взломать их банковский аккаунт или другую платформу.

Если Вы хотите сохранить Ваших пользователей

Ярлык «Не защищено» отпугивает современных интернет-пользователей.

Таким образом, если Вы хотите, чтобы Ваши посетители оставались на Вашем сайте, Вам нужно получить SSL.

Google Ghrome помечает все HTTP-сайты как небезопасные.

Если Вы не хотите помогать мошенникам

Согласно отчету Cybersecurity Ventures, рынок киберпреступлений будет стоить $6 триллионов к 2021 году.

Невозможно убежать от растущей волны киберпреступности, если на Вашем сайте нет SSL-сертификата.

Вы хотите получать бесплатный трафик?

Вас интересует продвижение своего сайта?

Заполните форму ниже и я лично свяжусь с Вами и мы обсудим план по раскрутке вашего бизнеса!

Виды SSL: какой выбрать

Цифровые сертификаты бывают разными.

Все они обеспечивают безопасную передачу данных.

Разница — в уровне проверки владельца сертификата, а также в том, сколько доменов защищает сертификат.

Типы SSL по уровню проверки

Как мы уже знаем, сертификат выдает удостоверяющий центр.

Он и проверяет компанию. Есть три типа проверки.

Расширенная проверка (Extended Validation, EV). Этот сертификат предоставляет высочайший уровень гарантии от центра сертификации.

Он подтверждает, что компания действительно существует и занимается тем, чем заявляет. Доступна только юрлицам.

Например, EV-сертификат подтверждает, что сайт sberbank.ru действительно принадлежит «Сбербанку», а «Сбербанк» действительно является российским банком.

Браузеры помечают сайты с EV-сертификатами особым образом: добавляют перед адресом название организации.

Пример с сайтом «Сбербанк Онлайн».

Перед выдачей EV-сертификата удостоверяющий центр должен проверить:

1. Эксклюзивные права организации на использование доменного имени.
2. Легальность, физическое и оперативное существование организации.
3. Соответствие того, как себя определяет организация, с официальными документами.

Стандарты проверки утверждаются международной организацией CA/Browser Forum — EV SSL Certificate Guidelines.

Все УЦ должны действовать в соответствии с ними.

Расширенная проверка проводится вручную, поэтому такой SSL стоит дорого.

Цены начинаются от 11500 рублей в год (около 4500 грн).

Проверка организации (Organization Validation, OV).

OV-сертификаты предоставляют следующий уровень доверия.

Он подтверждает права организации на использование доменного имени и ее существование.

Браузеры помечают сайты с OV-сертификатом замком.

Нажав на него, можно увидеть расширенные данные об организации.

Как пример, информационный сайт Сбербанка:

УЦ обычно проверяют заявителей на определенном уровне.

Например, по телефону, обращаясь к третьим лицам или организациям.

OV-сертификат выпускается с частично ручной проверкой, поэтому они стоят дешевле, чем EV.

Цены начинаются от 4500 рублей (около 1700 грн) в год.

Проверка домена (Domain Validation, DV).

Предоставляет нижний уровень доверия.

DV-сертификаты только демонстрируют, что домен принадлежит тому, кто запросил сертификат.

Доступны юридическим и физическим лицам.

Конечные пользователи видят информацию только о шифровании, не об организации.

Вот обычный сайт по продаже штор.

Процесс проверки обычно полностью автоматизирован.

Let’s Encrypt выдает DV-сертификаты бесплатно.

Цены на SSL с проверкой по домену в других УЦ начинаются от 1000 рублей (около 400 грн) в год.

Типы SSL по ограничению на домены

Бывают обычные, Wildcard и SANs сертификаты.

Обычно сертификат используется для единственного доменного имени.

Так, если сертификат покупается для использования на www.mydomain.com, он не может быть использован на mail.mydomain.com или www.otherdomain.com.

Если нужно защитить несколько поддоменов, можно купить Wildcard-сертификат. Он покрывает все поддомены.

Например, Wildcard-сертификат для *.mydomain.com может быть использован для:

• mail.mydomain.com
• www.mydomain.com
• ftp.mydomain.com
• и др.

Он не может быть использован для защиты mydomain.com and myotherdomain.com.

Бесплатные Wildcard-сертификаты выдает Let’s Encrypt.

Чтобы защитить несколько разных доменных имен одним сертификатом, понадобится сертификат с SAN (Subject Alternative Name).

Он позволит защитить четыре дополнительных доменных имени.

Например, Вы можете использовать один сертификат для:

• www.mydomain.com
• www.mydomain.org
• www.mydomain.net
• www.mydomain.co
• www.mydomain.co.uk

Сертификаты с поддержкой разных имен стоят дорого.

Иногда выгоднее купить несколько SSL с поддержкой одного домена.

Какой сертификат выбрать

Если у Вас информационный сайт с поддоменами и Вы не собираете персональные данные — подойдет бесплатный Wildcard-сертификат от Let’s Encrypt.

Если у Вас сайт организации и Вам важно доверие (например, портал инвестиционной компании) — подойдет EV-сертификат.

Если у Вас банк или крупный интернет-магазин с миллионами пользователей — Вам нужен EV-сертификат.

Рекомендуем для чтения:

1. Что такое CPA-сети и арбитраж трафика
2. 10 причин, почему рерайты не работают

Как получить SSL-сертификат

Процедура несложная, но отнимет пару часов.

Придется разобраться с технической частью самому или обратиться за помощью к профессионалам.

Если решите  подключить SSL высокого уровня доверия, то его сначала надо будет купить.

Удостоверяющие центры

Обязательный участник процесса — удостоверяющий центр (или центр сертификации).

Как мы уже упоминали, это организация, которая выпускает и отзывает цифровые сертификаты.

УЦ подписывают SSL-сертификаты корневым сертификатом (CA certificate).

Корневые сертификаты устанавливаются во все популярные браузеры.

Именно поэтому браузеры могут распознать сайт с «хорошим SSL» и поставить рядом с его адресом замочек.

Корневые сертификаты выдают следующие центры сертификации: Comodo, Thawte, Symantec, GeoTrust, RapidSSL и другие.

Особой разницы, в каком из этих УЦ выпускать SSL, нет.

Исключение — Let’s Encrypt. Он выдает бесплатные SSL.

Купить цифровой сертификат

Купить SSL можно не только в центре сертификации.

SSL перепродают хостинг-провайдеры. Например,Ru-Center, Reg.ru, Макхост.

Узнайте, есть ли у Вашего провайдера такая услуга.

Она может стоить дороже, зато сотрудники поддержки помогут установить SSL и настроить HTTPS.

Есть и другие реселлеры и даже агрегаторы SSL. Например, LeaderSSL, FirstSSL, ISPsystem.

Здесь могут быть ниже цены — из-за скидок, которые агрегаторы получают за объем.

Кроме того, они помогают с выпуском SSL с высоким уровнем доверия: при расширенной проверке возникают проблемы, а у агрегаторов больше опыта в их разрешении.

Выберите продавца SSL, исходя из своих предпочтений.

Запросить цифровой сертификат

После оплаты услуги надо отправить запрос на выпуск SSL.

Форма этого запроса и количество вводимых данных будут зависеть от того, какой SSL-сертификат Вы запрашиваете.

Если нужен простой SSL с проверкой домена, то будет достаточно электронной почты на домене.

Если нужен сертификат с проверкой организации, то приготовьтесь указать ее юридическое название, реальные адрес и телефон.

После заполнения данных продавец сгенерирует CSR-запрос и приватный ключ.

Их надо будет сохранить на свой компьютер. Когда УЦ выпустит SSL, они пригодятся.

После этого останется только дождаться активации сертификата.

Для SSL уровня DV она проходит до двух дней. Сертификаты уровня EV и DV выдают дольше.

Проверка организации, как мы уже упоминали, сопровождается запросом документов и другими действиями.

Установить цифровой сертификат

Когда УЦ закончит проверку, на указанную почту придут данные для установки SSL-сертификата: сам сертификат, корневой сертификат, промежуточный сертификат и приватный ключ.

Теперь все это надо установить на хостинг или сервер, где размещается сайт.

Попросите помочь поддержку продавца или воспользуйтесь инструкциями контрольных панелей: cPanel, Plesk, ISPmanager.

Когда SSL установлен, сайт автоматически начнет работать по HTTPS.

При этом протокол HTTP тоже продолжит работать.

Чтобы перевести все запросы к сайту на безопасное соединение, нужно включить переадресацию.

Сделайте это, следуя инструкциям контрольных панелей.

Если Вам помогали сотрудники провайдера, то они наверняка уже позаботились об этом.

Обратите внимание! При переходе на HTTPS меняется адрес сайта. Поисковики Яндекс и Google рассматривают сайт с новым адресом как новый. Соответственно, они могут понизить сайт в результатах поиска.

Чтобы сохранить позиции, изучите рекомендации компаний.

Google — Перенос сайта с изменением URL, Яндекс — Инструкция по переходу на HTTPS.

Бесплатный сертификат от Let’s Encrypt

Let’s Encrypt — это бесплатный центр сертификации.

Бесплатный, потому что выдача SSL полностью автоматизирована.

Let’s Encrypt выдает SSL только уровня DV, то есть проверяет только домен.

Однако такой цифровой сертификат достаточен для большинства случаев.

Для получения бесплатного SSL от Let’s Encrypt нужен специальный софт.

Это могут быть уже упомянутые контрольные панели или Certbot.

Они автоматически запрашивают, устанавливают и обновляют SSL-сертификаты.

Чтобы установить бесплатный SSL, изучите инструкцию на сайте Let’s Encrypt или обратитесь за помощью к своему хостинг-провайдеру.

Запомните

1. SSL-сертификат необходим практически каждому сайту.
2. Он защищает посетителей, повышает доверие и дает дополнительные очки в SEO.
3. Кроме защиты данных, у SSL есть еще одна функция — обозначать уровень доверия к владельцу сайта. От уровня доверия зависит вид SSL-сертификата.
4. Если уровень доверия не важен, установите бесплатный SSL от Let’s Encrypt.