Что такое ssl сертификат – объясняем, что это простыми словами, покажем все виды и польза для SEO

Сейчас уровень защищенности персональных данных всегда повышается, но хакеры и другие личности ,которые хотят получить информацию, придумывают новые способы обмана. В данной статье расскажем о защите данных, которые пользователь вводит на сайтах, например при регистрации, когда оставляет комментарий или вводит данные карты. Узнаем, что такое SSL сертификат, как он помогает защищать посетителей от утечки.

SSL-сертификат и HTTPS соединение — что это

Разница между HTTP и HTTPS простыми словами

HTTP (HyperText Transfer Protocol) и HTTPS (HyperText Transfer Protocol Secure) это не разные технологи, а второй это расширенная версия первого. Единственное отличие что в HTTP передача информации от клиента к серверу и обратно идет не в защищенном виде, может быть перехвачена. В HTTPS любая передача шифруется криптографической защитой и ключом доступа.

Какие данные шифруются при передаче

Теперь узнаем, что именно шифрует SSL, возможно он не нужен нам и это лишняя трата времени и денег? Нет, сейчас даже на информационные проекты их ставят. Для пользователей шифрованию подвергаются:

• Все данные которые сохранены в браузере или вводятся вручную для входа (логин, пароль)
• Банковские счета, номера, информация карт, их переводов.
• Любая личная информация, например когда создаете профиль в соцсетях (адрес, пол, телефон)
• Документы, важные контракты в цифровом виде.
• Медицинские справки, постановления.
• Остальная информация, которая должна оставаться конфиденциальна, о ней знают только пользователь и руководство ресурса.

Для владельца сайта становятся доступны:

• Уверенность что данные пользователей зашифрованы, если будет утечка, то не по вине их ресурса.
• В некоторых случаях через SSL можно подтвердить его владельца (полезно при взломах и когда уводят домены).
• Некоторая защита от клонирования сайта.
• Доверие, как со стороны поиска, так и посетителей.
• Для оптимизации и SEO имеет плюс в ранжировании (не большой, но есть).

Как происходит шифрование

Главная задача SSL сертификата это защита данных именно на этапе их передачи, чтобы хакерские скрипты не смогли перехватить и главное распознать данные пользователя.

1. Браузер пытается выполнить подключение к сайту, у которого есть защищенное соединение с помощью SSL.
2. Браузер запрашивает информацию сертификата, то есть идентифицирует его.
3. Веб сервер отправляет браузеру копию своего ССЛ.
4. Скрипты, система браузера проверяют является ли сертификат доверенным и официальным. Если все хорошо то на сервер ресурса отправляется подтверждение.
5. После отправляется цифровая подпись с сервера, начинается сам сеанс использования страницы.
6. Все данные в равной мере обрабатываются браузером с сервером сайта.
7. Адреса страниц приобретают на конце протокола букву S (secure защита), а в адресной строке появляется значок замка.

Как посмотреть сведения об SSL сертификате безопасности

Посмотрим на примере браузера гугл хром, нажимаем на значок замка, выбираем «Действительный сертификат».

Появится новое окно с тремя вкладками, можете посмотреть всю информацию и убедиться что ошибок в работе нет. Можно найти информацию про: имя домена, цифровую подпись, организация выдавшая сертификат, на какие поддомены распространяется SSL, дата выдачи, дата окончания действия, открытый или закрытый ключ авторизации.

Типы SSL сертификатов

Есть две категории SSL по типу подписи, именно они регулируют доверие со стороны браузеров и онлайн-сервисов:

Самоподписанные, выданные не доверенным центром или потерявшим доверие

Самоподписанные подписываются самим сервером, его создают люди самостоятельно для своих сайтов.

Выданные не доверительным центром – есть организации, которые выдают сертификаты, но не имеют доверия у браузеров и онлайн-сервисов.

Потерявшие доверие – центры имевшие ранее репутацию и доверие, но потерявшие его, в основном из-за плохой проверки на стадии выдачи.

Подписанные электронные SSL

Подписанные доверенным центром сертификации (валидные) – тип сертификата, подписанный удостоверяющим центром (УЦ), таковых довольно много, к ним относятся: Symantec, Comodo, GlobalSign, Thawte, GeoTrust, DigiCert.

Всего есть 6 видов подписанных SSL-сертификатов с разными уровнями проверки, соответственно цена разниться, необходимо сразу выбрать вид сертификата по типу вашего сайта:

1. Сертификаты с расширенной проверкой (EV) – самый приоритетный вид, который дает расширенную проверку, большую защиту пользователям и руководству ресурса. Его используют большие организации, собирающие много информации, принимающие платежи. Для его получения нужно пройти проверку на подлинность с ручным одобрением. При получении выдается зленая строка с именем фирмы и страной обслуживания.
2. Сертификаты, подтверждающие организацию (OV) – почти то же самое что в первом пункте, но имеют более узкое применение для защиты транзакций.
3. Сертификаты, подтверждающие домен (DV) – используются на сайтах без платежей, популярны для блогов, информационных ресурсов. Минимальная информация для подтверждения в видео кода с почты или телефона.
4. Wildcard-сертификаты – применяется для сертификации одного домена и его поддоменов, так выходит намного выгоднее, чем приобретать на каждый отдельный SSL сертификат.
5. Мультидоменные сертификаты (MDC) – можно вешать на один ССЛ несколько не связанных с собой доменов и поддоменов по TLD.
6. Сертификаты унифицированных коммуникаций (UCC) – был создан для защиты сервисов Microsoft, но впоследствии стал использоваться на мультидоменный, требует подтверждения на уровне организации.

Каким сайтам нужен SSL-сертификат

Цифровой сертификат нужен всем сайтам без исключения, но в особенности тем кто связан с финансами: интернет-магазины, соцсети, сервисы услуг с онлайн оплатой, банкам, платежные системы с переводами, службы доставки и другие организации, совершающие финансовые операции.

Для информационных, новостных и трафиковых ресурсов требование не обязательно, но лучше применить технологию электронного шифрования от злоумышленников. Есть несколько вариантов бесплатных решений, например Let’s encrypt или совсем дешевых от 500 рублей в год.

Как получить и оформить сертификат SSL 

Сейчас с этой задачей справляется хостинг-провайдер. Необходимо подать заявку на покупку и выпуск сертификата, а все остальные операции по его оформлению с установкой берут на себя специалисты хостинга. Если никаких услуг не предоставляется, то общая схема такая:

1. Перед отправкой данных в центр сертификации нужно сверить их с текущими: для высших SSL это множество параметров (адреса, лица или организации, документы о регистрации бизнеса, право собственности на домен), для простых как минимум доказать, что домен ваш, например по почте на домене.
2. Формирование запроса CSR, с этим обязаны помочь сотрудники хостинга.
3. Отправка CSR заявки и запроса в организацию по рассмотрению выдачи SSL.
4. При положительном решении, присылается пакет файлов для установки выпущенного скрипта на хостинг с инструкциями.

К сожалению инструкцию как установить ССЛ не можем дать, процесс индивидуальный, поэтому доверяйте этот процесс поддержке хостинга. Если они такие услуги не предоставляют, то прибегайте к помощи на фрилансе, либо меняйте хостинг-провайдера.

Как узнать что сайт на HTTPS и работающим SSL сертификатом

В течение прочтения статьи, думаю знаете как определить, но подведем итог:

• Значок замка в адресной строке браузера, а у продвинутых сертификатов еще название организации и код страны.
• HTTPS вместо HTTP.
• При переходе на HTTP ресурс современные браузеры предупредят: для сайтов без оплаты и сбора данных в адресной строке пометка «небезопасно», для коммерческих выдаст специальную страницу, на которой написано что домен не использует шифрование.

Что будет, если не продлить оплату SSL

Если не оплачивать продление, то центр сертификации его отзовет, при проверке и входе на сайт, браузер выдаст ошибку, что шифрование более не происходит. Центр сертификации должен оповещать хозяина, что защита скоро перестанет работать и нужно продлить его обслуживание.

Можно ли один сертификат использовать на разных серверах

Да, возможно, но с мультидоменными сертификатами (второе название SAN), позволяющими устанавливать SSL на несколько доменов. Скрипт привязывается к доменным именам и действует только на них, на каких серверах расположены сами сайты не имеет значения. Единственное следите за ошибками и проверяйте все проекты.

Мешает ли SSL сертификат взлому

Выше в статье мы определили, что технология помогает шифровать только передаваемые данные и защищать только их. С самим сайтом, файлами, базой данных SSL ничего общего не имеет, поэтому никакой роли на безопасность и на вероятность уменьшения попыток взлома не имеет.

Советы по безопасности серфинга в интернете

1. Ниже дадим советы как себя вести в интернете, чтобы не попасть к мошенникам, протокол SSL не панацея, не даст 100% защиты сохранности ваших данных, если ресурс на котором вы находитесь уже у мошенников.

   1. Вводить личные данные, номера карт, остальную ценную личную информацию только на сайтах с подтвержденным сертификатом организации.
   
   
2. Просматривайте всю информацию: контакты, юридическая информация, политики сбора информации, регистрации знаков и другие вещи, подтверждающие честность с достоверность компании.
3. Фишинговые ресурсы, популярный вид обмана – регистрируется максимально похожий домен, клонируется оригинальный сайт с помощью хакерских скриптов и программ.
4. Всегда проверяйте адрес URL, правильно ли он написан.
5. Установите расширение в браузер, которое будет оповещать о не проверенных источниках.
6. Если видите что-то подозрительное, то не рискуйте, не вводите свои данный, сначала проверьте.

В статье разобрали что такое SSL сертификат, его виды, помогает ли он в SEO. Настраивайте защищенное HTTPS соединение на всех своих и клиентских проектах.

Для читателей у нас есть отличное предложение на систематическую оптимизацию портала в интернете.