Расскажем, что такое SSL-сертификат, как он связан с безопасностью данных и почему ваш сайт следует перевести на защищенный протокол HTTPS. Заодно покажем, как это сделать.
Что такое SSL и для чего он нужен?
SSL — протокол криптографического шифрования, который обеспечивает безопасность данных. Проще говоря, SSL-сертификат — это знак валидации, который гарантирует, что ваш сайт безопасен для посетителей. О том, что SSL установлен и ресурс защищён, свидетельствует «замок» в строке браузера:
Но почему сайт не может работать безопасно сразу? И что вообще значит «безопасно»? Давайте разбираться.
Когда вы регистрируете домен, привязываете его к хостингу и публикуете сайт, он по умолчанию работает по протоколу HTTP (HyperText Transfer Protocol):
HTTP — прикладной протокол передачи данных, который использовался на заре интернета. Он исправно функционирует до сих пор (с его помощью по-прежнему передают данные), но имеет большой недостаток.
Данные, которые передаются по этому протоколу, не защищены от третьих лиц. На практике это означает, что любой запрос, поступающий к сайту http://site.ru, могут перехватить злоумышленники. Например, в случаях, когда пользователь вводит номер банковской карты на сайте для оплаты.
Мошенники будут использовать украденную информацию в корыстных целях, но претензии и негатив поступят не к ним, а к сайту, на котором допустили утечку информации — не защитили клиентов.
То, что HTTP-протокол не рекомендуется использовать в современных реалиях, подтверждается и в интерфейсе браузеров. Такое предупреждение в Google Chrome* сопровождает сайты, использующие небезопасный протокол:
И это не прихоть корпорации Google*. Подобные сообщения присутствуют при открытии незащищенных сайтов во всех популярных браузерах (Яндекс.Браузер, Opera, Firefox, Edge и других).
Помимо уязвимости, сайт без SSL-сертификата подвержен ещё одной проблеме. С 2014 года крупнейшие поисковики Яндекс и Google* пессимизируют (опускают в выдаче) сайты, которые работают по HTTP. Поэтому в высококонкурентном кластере сайты с HTTP в адресной строке могут «проиграть» защищённым ресурсам.
SSL-сертификаты нужны, чтобы избежать вышеперечисленного. Подключив SSL-сертификат к сайту, вы сможете приступить к замене небезопасного HTTP на безопасный протокол HTTPS (HyperText Transfer Protocol Secure). Так что владельцам бизнеса, которые хотят, чтобы сайты их компаний не обходили стороной клиенты и поисковики, не обойтись без SSL.
Перевод сайта на HTTPS состоит из двух этапов:
- Покупка подходящего SSL-сертификата.
- Подключение SSL на сайт и настройка.
Оба этапа требуют технической компетентности. Мы рекомендуем обратиться за помощью к специалистам компании, в которой покупается SSL, или разработчикам вашего сайта.
О покупке SSL-сертификата
SSL-сертификат для домена выпускается и оплачивается на один или два года. После окончания действия его нужно продлевать.
Сначала выберите сертификат, который подойдет для ваших бизнес-целей. SSL-сертификаты бывают нескольких типов: Domain Validation SSL (DV SSL), Organization Validation SSL (OV SSL) и Extended Validation SSL (EV SSL).
- DV SSL — базовые сертификаты, которые подтверждают только право владения доменом. Как правило, используются для информационных проектов (блогов, информационных сайтов и сайтов-портфолио). Выпускаются в течение 1-3 дней.
- OV SSL — стандартные сертификаты, доступные только юридическим лицам. Они подтверждают право владения доменом и существование организации. Используются для бизнес-сайтов и интернет-магазинов. Выпускаются в течение 3-10 дней.
- EV SSL — расширенные сертификаты, которые также доступны только юридическим лицам. Отличаются от OV SSL большей надежностью: при выпуске сертификата тщательно проверяется деятельность компании. Кроме того, EV SSL визуально подтверждает высокую надежность сайта, выделяя его зеленым цветом в адресной строке в большинстве браузеров. Сертификаты этого типа рекомендуется использовать банкам и платформам электронной коммерции. Выпускаются в течение 10-14 дней.
Также SSL-сертификаты различаются в зависимости от Центра сертификации, который их выпускает: GeoTrust, GlobalSign, Thawte, DigiCert, Comodo. Подробнее о том, как выбрать SSL-сертификат, мы писали в справочной статье RU-CENTER.
Закажите сертификат, который подойдет вашему проекту по уровню безопасности. Выпуск SSL-сертификата — первый шаг на пути к надёжному сайту. Дальнейшие действия требуют специальных знаний в IT-сфере. Если вы не чувствуете себя компетентным в вопросах управления хостингом и настройки в административной панели CMS, обратитесь к разработчикам сайта.
Рассмотрим общий план действий, которые приведут к заветному HTTPS в строке браузера. Он подойдет клиентам RU-CENTER.
Как перевести сайт на HTTPS
Перевод сайта на HTTPS состоит из 2 стадий:
- Установка SSL-сертификата на сайт.
- Перенаправление запросов с HTTP на HTTPS и устранение смешанного контента.
Установка SSL
После выпуска SSL-сертификата нужно установить на сайт. DV SSL устанавливаются автоматически. Сертификаты других типов вы можете установить вручную, воспользовавшись подходящей инструкцией из раздела Получение и установка SSL-сертификата.
Перенаправление сайта с HTTP на HTTPS и устранение смешанного контента
После установки ваш сайт будет доступен по адресу https://site.ru. Но это еще не всё. Нужно, чтобы запросы всех файлов сайта также перенаправлялись по HTTPS. Если вы используете виртуальный хостинг, воспользуйтесь инструкцией Настройка сайта для работы по HTTPS. Если вы используете другой тип хостинга или хостинг другого поставщика, обратитесь к справочным статьям или помощи разработчиков.
Выполнив описанные действия, вы получите полностью безопасный сайт.
Еще раз о важности SSL
Подключение SSL и настройка HTTPS-соединения — процедура, требующая ресурсов. Может показаться, что заботы о безопасности в первую очередь касаются владельцев коммерческих сайтов (крупных интернет-магазинов, банков и т. п.), которые подвержены репутационным и финансовым рискам. Но защита требуется и некоммерческим проектам.
Даже если пользователи ничего не покупают на незащищённом сайте, они могут стать жертвами злоумышленников. Например, когда мошенники подменят оригинальный контент сайта и добавят вместо него стороннюю рекламу. Или украдут cookie-файлы посетителей и используют эту информацию для насаждения таргетированной рекламы.
Подавляющее большинство сайтов, которые индексируются Google*, уже работают по HTTPS (93% на декабрь 2019 года). Кибербезопасность — это тренд, который не стоит обходить стороной владельцам бизнеса. Позаботившись о настройке SSL-сертификата, вы получите надёжный сайт и защитите клиентов, а также повысите лояльность к бренду.
Говорим об SSL-сертификатах с экспертом RU-CENTER Георгием Казаровым на нашем YouTube-канале.
*Информация в статье не является рекламой и представлена в ознакомительных целях.