Как протокол HTTPS обезопасит ваш сайт и зачем нужен SSL-сертификат

В этой статье мы поговорим о SSL-сертификате для сайта: что это такое и для чего он нужен, как осуществляется его проверка и как его установить. Также мы разберем — что такое протокол HTTPS.

Если вы сталкивались с процессом разработки сайта, то, скорее всего, могли слышать непонятные и режущие слух термины: «HTTPS-протокол» и «SSL-сертификат». На самом деле, тут все намного проще чем кажется и после прочтения данного материала, вы сами в этом убедитесь.

Едва ли мы откроем вам секрет, если сообщим о том, что все операции, производящиеся в сети Интернет — это обмен информацией. То есть когда вы вводите запрос в поисковую строку, заходите на сайт, смотрите фото в Instagram или загружайте какой-либо контент на вашу страницу в социальных сетях — ваш браузер и сервер совершают обмен данными. Все, вводимые запросы в поисковой строке проходят путь от пользователя к серверу, а затем наоборот.

Простыми словами, данная операция происходит с помощью протокола HTTP, который был создан 9 марта 1991 года. Его создателем был британский профессор и работник ЦЕРН ТИМ Бренерс-Ли. Откровенно говоря, в тот период времени данное изобретение было одним из серьезнейших разработок в мире IT. Система была настолько проработана, что ей пользуются и по сей день. Но в ней присутствует один изъян — она не шифрует информацию. В следствии, передаваемые сведения (логин, пароль, номер банковской карты, CVC или паспортные данные) не защищены и их с легкостью могут «перехватить» злоумышленники.

На сегодняшний день безопасность личных данных является очень важным фактором в повседневной жизни любого пользователя. Именно поэтому и был внедрен протокол безопасного соединения HTTPS. Особенностью функционала HTTPS-протокола является предварительное предоставление специальных ключей шифрования. То есть, перед тем как дать ответ на запрос от браузера, серверу необходимо предоставить ключ, который называется: SSL-сертификат. Браузер, в свою очередь, проводит диагностику подлинности ключа в Центре сертификации. Если проверка успешна пройдена, то браузер и сервер могут разово обменяться сведениями. Такая операция осуществляется каждый раз, когда вышеперечисленные системы обмениваются информацией. Именно таким образом и происходит обеспечение безопасности и конфиденциальности передаваемых сведений.

Протокол HTTPS — что это

HTTP (HyperText Transfer Protocol) — «протокол передачи гипертекста». HTTP — это протокол, используемый для обмена информацией. Чаще всего сведения передаются в виде набора текстов, включающих в себя узлы перехода среди них, дающих возможность выбирать просматриваемую информацию и очередность ее чтения.

Гипертекст — это файл, созданный при помощи специального программного языка разметки, который включает в себя гиперссылки. Иными словами, ссылки на сторонний объект в файле или на иной элемент, находящийся на локальном диске или связанных компьютерах, объединенных через каналы обмена сведений для обеспечения передачи данных.

HTTPS (HyperText Transfer Protocol Secure) — «защищенный протокол передачи гипертекста». Протокол HTTPS — это усовершенствованная версия протокола HTTP, отличающаяся тем, что зашифровывает сведения, чтобы обеспечить защиту их передачи. Вся информация, находящаяся в безопасном протоколе HTTPS, отправляется при помощи специального подтверждения, через криптографические сертификаты SSL или TLS.

Простыми словами, HTTP и HTTPS — это протоколы, благодаря которым происходит обмен сведениями в сети Интернет. Следовательно, они являются неотъемлемым сегментом при разработке интернет-магазина, корпоративного сайта, landing page и других типов сайтов.

Разница между HTTP и HTTPS

Какие же ключевые различия между HTTP и HTTPS?

• HTTP — вы можете установить его бесплатно, однако передаваемая информация не будет защищена специальным языком шифрования. То есть мошенники смогут перехватить отправляемый материал и применять его в личных целях.
• HTTPS — зашифровывает сведения, которыми обмениваются сервер и браузер, используя SSL-сертификат. Если не рассматривать бесплатное подключение, то цены на установку SSL-сертификата варьируются от 1 300 до 30 000 рублей в год — все зависит от уровня безопасности, который вам нужен.

Для чего нужно переходить на HTTPS

Обеспечение безопасности своего ресурса через протокол HTTPS уже давно не просто показатель хороших манер в соблюдении безопасности, а необходимая мера. Невзирая на то, что многие сайты до сих используют протокол HTTP, в скором времени, HTTPS станет неотъемлемым атрибутом в создании и дальнейшем комплексном сопровождении сайта.

Также с 2018 года компания Google заявила, что, по их мнению, все сайты, не работающие через протокол HTTPS, считаются не безопасными. Вскоре, после этого, WordPress и прочие CMS системы объявили, что некоторые опции отныне доступны только для ресурсов, использующих HTTPS. Помимо всего прочего, браузеры Google и Яндекс информируют пользователей о том, что соединение не безопасное, в случае отсутствия SSL-сертификата.

С недавних пор, Google стал расценивать наличие данного протокола безопасности, как один из факторов ранжирования. Яндекс пока что не объявлял об этом официально, однако, исходя их личного опыта, можно сделать вывод, что асессорам этой поисковой системы, также превалируют ресурсы, которые используют новый протокол защиты. Что говорит о том, что сайты, «переехавшие» на HTTPS, имеют повышенный кредит доверия для поисковых систем и больше шансов на попадание в топ выдачи.

Где можно получить протокол HTTPS

Приобрести протокол безопасности HTTPS вы сможете через любого хостинг провайдера. Обычно процесс получения происходит таким образом:

1. Вы выбирайте SSL-сертификат.
2. Загружаете его на сайт.
3. Ваш ресурс начинает функционировать через протокол HTTPS.

Как подключить SSL-сертификат к сайту, мы расскажем чуть ниже.

Что это такое SSL-сертификат и зачем он нужен

SSL (Secure Socket Layer) — «защищенный слой сокетов». Можете не пугаться столь заумных терминов. Простыми словами SSL-сертификат — это digital-подпись ресурса, применяемая для обеспечения защищенного соединения между сервером и браузером.

Благодаря ему все данные передающиеся от посетителя к сайту и наоборот, шифруются так, что они становятся недоступными для чтения мошенников, системных администраторов и даже провайдеров.

Также немаловажным фактором является доказательство защищенности ресурса. То есть в сниппете сайта, отображенного в поисковой выдаче будет демонстрироваться иконка замочка рядом с его доменным именем, а сама ссылка будет начинаться с https. Для понимающих пользователей и поисковых систем — это очень значимый показатель, в плане доверия к ресурсу.

В чем же заключается функция SSL-сертификата? Сертификат безопасности SSL дает возможность применять HTTPS-протокол. Как вы уже могли догадаться, SSL нужны для сайтов, которые работают с персональными данными пользователей и всей приватной информацией, которую нельзя раскрывать. Один из часто встречающихся примеров применения SSL — шифрование сведений в период проведения онлайн-транзакции.

Как проверить SSL на истечение срока

SSL-сертификат является неотъемлемым элементом для большинства сайтов. Но, как и любой плодотворный продукт, он имеет свой срок потребления (от 3 месяцев до 2-х лет — все зависит от выбранного тарифа). После истечения срока, ваш протокол HTTPS становится не защищенным и перестает выполнять свою функцию защиты передаваемых данных.

Для того, что бы проверить срок действия SSL-сертификата на сайте вам нужно:

1. Открыть проверяемый сайт, через браузер Google Chrome.
2. Кликнуть на иконку «замочек» в адресной строке сайта.
   

   Шаг с 1-го по 2-й: инструкция как проверить срок дейтсвия SSL-сертификата

3. Затем в появившемся окне вы увидите словосочетание «сертификат (действительный)», что будет говорить о том, что срок действия сертификата еще не истек.
   

   Шаг 3: инструкция как проверить срок дейтсвия SSL-сертификата

4. Для того, чтобы посмотреть точную дату окончания действия сертификата, вам необходимо кликнуть на данное словосочетание.
   

   Шаг 4: инструкция как проверить срок дейтсвия SSL-сертификата

По большому счету, вы можете проверить дату истечения срока через любой браузер, но, визуальная составляющая страниц проверки непохожа на Chrome.

Разновидности SSL-сертификатов

SSL-сертификаты в основном делятся по двум категориям:

1. Центры сертификации, которые их производят.
2. Типы самих продуктов.

Центр сертификации — это компания, имеющая специальную лицензию на распространение цифровых сертификатов. Она занимается проверкой сведений, расположенных в CSR, перед передачей сертификата. В базовых сертификатах проводится проверка непосредственно самого домена. В более защищенных происходит детальная диагностика самого предприятия, которое подает запрос на получение SSL.

CSR (Certificate Signing Request) — заявка на установку сертификата.

Разбирая первую категорию хочется отметить, что существует около 10 известных центров сертификации, занимающихся разработкой данного продукта. Давайте заострим внимание на двух самых популярных среди них — Sectigo и Let’s Encrypt.

Let’s Encrypt известен тем, что у них есть возможность бесплатной установки сертификатов на 3 месяца. Однако, в отличие от многих других центров сертификации, они не несут материальной ответственности за взлом зашифрованной транзакции и потери переводимых денег. Да, действительно, вероятность того, что такая ситуация произойдет — один на миллион, но факт отсутствия страховки у них присутствует.

Sectigo производит несколько типов платных SSL. Давайте разберем какие типы сертификатов бывает на примере тех, которые выпускает Sectigo:

• Sectigo Positive SSL — базовый и дешевый тип сертификата. Именно поэтому он один из самых востребованных среди остальных. К тому же его не трудно зарегистрировать в плане документации — вам необходимо только подтвердить то, что вы являетесь владельцем вашего доменного имени. Процедура оформления длится не долго (от одного часа до четырех).
• Sectigo Postitive Wildcard SSL — отличительная черта данного сертификата в том, что помимо домена он распространяется на все поддомены указанного адреса (в случае необходимости). Это намного экономнее в случае, если у вас несколько поддоменов и вы собираетесь устанавливать персональный SSL на каждый из них.
• Sectigo EV SSL — сертификат с повышенным уровнем безопасности, поскольку у него происходит более усиленная проверка. Его характерная особенность заключается в том, что во время обмена информацией, и предоставления зашифрованного ключа, помимо самой проверки требуется личное подтверждение от владельца сайта или организации. Как правило на его выпуск уходит несколько дней. Именно такой тип SSL находится на ресурсах, где указанно наименование организации перед адресом сайта.

Как установить SSL-сертификат на сайт

Один из вариантов по подключению SSL — совершить данную процедуру через регистратора доменных имен REG.RU. Если вы совершаете покупку доменного имени или хостинга через него, то вам будет предоставлен SSL-сертификат бесплатно сроком на один год.

Итак, что же нужно сделать, чтобы получить SSL-сертификат? Вам необходимо создать запрос на подтверждение SSL (Certificate Signing Request). Во время формирования данного запроса, вы должны будете ответить на несколько вопросов, нацеленных на конкретизацию сведений о вашем доменном имени и организации. По итогам ваш web-сервер сгенерирует 2 вида криптографических ключей — персональный и общий.

• персональный ключ является засекреченным и все сведения в нем зашифрованы от третьих лиц;
• общий ключ не является приватным для третьих лиц и содержится в запросе CSR. Сведения, находящиеся в нем можно без труда посмотреть через специальные сервисы CSR Decoder.

После того как заявка на получение сертификата сформирована, вы можете приступать к оформлению запроса на выпуск сертификата. Во время данной процедуры центр сертификации проведет анализ полученной от вас информации. Если проверка успешно пройдена, то вы получите сертификат и сможете использовать HTTPS-протокол. Иными словами, ваш сервер автоматически проведет сравнительный анализ полученного сертификата и сформированного персонального ключа, чтобы убедиться в том, что вы сможете обеспечить защищенное соединение между вашим ресурсом и браузером пользователя.

Как мы уже сказали, если вы хотите получить сертификат без затраты финансов, то можете сделать это через центр сертификации Let’s Encrypt, который выдает их бесплатно за счет организаций, которые его спонсируют, таких как: Facebook, Mozilla, Chrome и Cisco.

Мы рассмотрели процедуру того — как подключить SSL-сертификат к сайту, давайте теперь разберем какие сведения содержит в себе SSL и на какие типы он делится.

Какие данные содержит в себе SSL-сертификат

В SSL расположены следующие сведения:

• уникальное имя владельца сертификата;
• зашифрованный ключ;
• дата получения SSL;
• дата истечения срока;
• наименование центра сертификации;
• электронная подпись изготовителя.

Виды сертификатов по типу валидации

• DV (Domain Validation) — сертификаты, удостоверяющие только домен;
• OV (Organization Validation) — подтверждающие доменное имя и компанию;
• EV (Extendet Validation) — отличаются своей расширенной проверкой.

Типы SSL-сертификатов по своим свойствам и ценам

Базовые SSL-сертификаты

Автономно производящиеся сертификаты, которые удостоверяют только доменное имя. По параметрам соответствуют для любого ресурса.

Средняя стоимость: от 1 300 рублей в год.

SGC-сертификаты

Отличительны повышенной протекцией в плане степени шифрования. Подходят для браузеров с поддержкой 40-ка или 56-и битного шифрования. Если воспользоваться данным сертификатом, то уровень шифрования автоматически вырастет до 128 бит.

Средняя стоимость: от 21 000 рублей в год.

Wildcard-сертификаты

Необходимы в случае, если помимо ключевого доменного имени требуется обезопасить его поддомены. Пример: prostudio.ru → forum.prodtudio.ru → market.prostudio.ru

Средняя стоимость: от 12 500 рублей в год.

SAN-сертификаты

Полезны для пользователей, которым необходим один сертификат для нескольких доменных имен, расположенных на одном сервере. Как правило для обслуживания доступно до пяти доменных имен.

Средняя стоимость: от 28 000 рублей в год.

EV-сертификаты

Сертификаты, рассчитанные на частные компании или государственные организации.

Средняя стоимость: от 17 500 рублей в год.

Сертификаты c поддержкой IDN

Такая функция встречается у центров сертификации не часто, поскольку далеко не все сертификаты поддерживают IDN домены.

Средняя стоимость: от 27 000 рублей в год.

Как выбрать самый дешевый сертификат

Одни из самых недорогих EV сертификатов, продаются в центре сертификации Geotrust. Один из самых дешевых вариантов wildcard вы можете приобрести через RapidSSL. SGC сертификаты вы можете купить только у Thawte или Verisign.

На заметку

Как вы могли понять прочитав данную статью, переход с HTTP на HTTPS является одним из факторов для SEO-оптимизации вашего ресурса, поскольку осведомленные пользователи и поисковые системы учитывают безопасность ресурсов в интернете.

Во время перехода с HTTP на HTTPS удостоверьтесь настроена ли у вас переадресация, которую можно отрегулировать в системе управления вашего сайта.

Помимо всех страниц, также потребуется сменить все пути к изображениям и ссылки на ваши товары и услуги в статьях, если таковые есть, с http:// на https://, иначе соединение не будет расцениваться как безопасное.

Подводя итоги всего вышеперечисленного, если вы заинтересованы в безопасности сведений ваших клиентов и вашего ресурса, также в повышении доверия со стороны поисковых систем и большинства пользователей, мы рекомендуем устанавливать SSL-сертификат и переходить на HTTPS.

Мы будем признательны если вы оставите свое мнение о прочитанном материале в комментариях.