Потрібен SSL-сертифікат і як його отримати

408

Статтю підготувала Вікторія Федосеенко, редактор ISPsystem.

З 2014 року Google переконує власників сайтів підключати захищене з’єднання, встановлюючи SSL/TLS-сертифікат. Але не всі з цим згодні. Розберемо всі «за» і «проти» і розповімо, як його отримати.

Google наполягає на HTTPS

HTTPS був внесений в стандарти інтернету в 2000 році. Але пік інтересу до теми припав на кінець 2013 – початок 2014 років. Тоді з’явилися новини про намір Google враховувати HTTPS в пошуковій видачі. У серпні 2014-го компанія підтвердила чутки, опублікувавши статтю в блозі вебмайстрів. У неї був чіткий посил: HTTPS – фактор ранжування, тому що забезпечує безпеку передачі даних.

Для спільноти вебмайстрів та власників сайтів новину від Google повинна була стати сигналом: хочеш бути в топі видачі – підключай захищене з’єднання. Але були застереження: поки фактор враховується в менш ніж 1 % усіх запитів і навіть там має меншу вагу, ніж, наприклад, унікальність контенту. Хоча і було сказано, що з часом фактору можуть надати більше значення, масового переходу на HTTPS не сталося.

Пізніше компанія стала діяти через Google Chrome.

  • З січня 2017 року браузер почав позначати HTTP-сторінки, які збирають паролі і дані кредитних карт, як небезпечні.
  • У жовтні 2017 року вийшов Chrome 62, який вважає небезпечними HTTP-сторінки, що збирають будь-які дані – адреси пошти, логіни та ін. А в режимі «Інкогніто» – взагалі всі сайти без SSL.

До цього позначали тільки HTTPS-сайти: на них вішали зелений замочок. Але дослідження показали, що люди не помічають, що знаку немає, і з часом «сліпнуть» до частих попереджень. Тому в Google вирішили позначати всі HTTP-сторінки червоним трикутником і написом «Небезпечно». Тепер при переході на всі сайти без HTTPS користувачі бачать заглушку «Ваше підключення незахищені». Коли це станеться – невідомо. Поки є час, щоб підключити HTTPS.

В цілому рух за перехід на HTTPS виходить від CA/Browser Forum, куди входять центри сертифікації, виробники браузерів і інших додатків, що працюють з SSL/TLS.

Увага, перевантаження! Як захистити сайт від DDoS-атак

Формальність чи необхідність

Google Chrome використовують 55 % користувачів рунету, тому веб-майстрам доводиться рахуватися з думкою Google. При цьому багато хто з них не згодні з IT-гігантом.

Основні аргументи «проти»:

  • не всі сторінки в інтернеті містять або збирають чутливі дані, перехоплення яких може бути хворобливий для відвідувачів;
  • вплив HTTPS на ранжирування сторінок у пошуку, судячи з усього, несуттєво;
  • підключення HTTPS вимагає покупки SSL/TLS-сертифіката, що деяких людей наводить на думки про чергове вимаганні грошей.
  • Тому багато веб-майстри просто ігнорують рекомендації компанії.

    Аргументи від Google

    Вважати HTTPS необхідним тільки для сайтів, які обробляють конфіденційні дані – оману. Так думають в Google. Ось головні аргументи.

    Безпека

    Небезпечний перехоплення будь-яких даних. Кожен незахищений HTTP-запит може розкривати інформацію про інтересах і поведінці користувачів. Агрегуючи дії на різних сайтах, зловмисники роблять висновки про їх поведінку і наміри, а також розкривають особистості.

    Ще один момент. Упровадившись в з’єднання між сайтом і користувачем, зловмисник може не тільки вкрасти, але і підмінити інформацію. Це як якщо б листоноша відкривав листи і переписував їх. Хакери додають на HTTP-сторінки віруси, рекламу порно-сайтів або нелегальних товарів. Користувач думає, що це і є ваш сайт. HTTPS захищає від подібних історій.

    Проходження трендам

    Протокол потрібен для «прогресивних веб-додатків» – сайтів, які на десктопі працюють як стандартні веб-сторінки, а на мобільному або планшеті – як додатки. Вони надійні, швидко завантажуються, працюють офлайн.

    Тому у Google упевнені, що HTTPS – майбутнє інтернету. З 2015 року його можна забезпечити безкоштовно за допомогою let’s Encrypt – центру сертифікації, спонсорованого Google та іншими компаніями.

    Висновки

    SSL потрібен, якщо ви:

    • збираєте конфіденційні дані користувачів (паролі, дані банківських карт);
    • хочете зняти частину заперечень покупців перед купівлею;
    • не хочете, щоб незахищеністю вашого сайту скористалися шахраї;
    • працюєте над SEO і для вас важливі всі, навіть мінімальні чинники підвищення у видачі.

    При підключенні SSL-сертифіката можуть виникнути труднощі:

    • Тимчасове зниження в пошуковій видачі. Індексуючі робот сприймає ресурс, який передає дані по двом різним протоколам, як два різних сайту. Тому при переході на HTTPS можливе зниження відвідуваності сайту з пошуку. Якщо слідувати рекомендаціям «Яндекса» і Google, позиції у видачі відновлюються.
    • Збільшення обсягу переданого трафіку. При шифруванні збільшується обсяг переданої інформації. Однак більшість провайдерів надає хостинг без обмежень щодо обсягу переданого трафіку, тому перехід на більш дорогий тариф швидше за все не знадобиться.

    Як вибрати SSL-сертифікат

    Існує кілька видів SSL-сертифікатів. Детальніше про них вже писали, тому пройдемося тезисно. Вибір залежить від того, володіє сайтом фіз — або юрособа, а також від кількості сайтів та піддоменів.

    Власник сайту

    Від власника залежить рівень перевірки, який необхідно пройти сайту для отримання сертифіката SSL.

    Незалежно від виду, SSL-сертифікат виконує головну функцію: шифрує дані передаються і позбавляє від повідомлення про небезпечний з’єднанні.

    Фізична особа

    Якщо ресурсом володіє фізична особа, то на нього можна встановити тільки сертифікат виду Domain Validation (DV). Цей сертифікат підтверджує право володіння доменом і більше нічого. Для перевірки потрібна пошта на домені сайту. Безкоштовні DV-сертифікати видає довірений центр let’s Encrypt.

    Організація

    Якщо сайтом володіє компанія, може бути кілька варіантів:

    • Сайт-візитка компанії або організації. На сайті не збирають ніякі платіжні дані. Існує лише для інформування. В такому випадку підійде сертифікат з рівнем перевірки Domain Validation. Він шифрує дані, позбавляє від заглушки з написом «небезпечно» в браузері, і – все.
    • Сайти банків, платіжних систем, мережевих гіпермаркетів або ЗМІ. На сайті збирають гроші або дані, які дають доступ до грошей. Щоб отримати доступ до грошей, шахраї можуть його скопіювати. Тому потрібен сертифікат з перевіркою організації – Extended Validation (EV). Його може отримати тільки реальна організація-власник сайту, її назва і вид діяльності буде вказаний у сертифікаті. В рядку браузера з’явиться зелена смужка з назвою компанії.
    • Невеликий інтернет-магазин, сайт благодійного фонду, форум. Сайт нецікавий шахраям, але клієнти можуть побажати упевнитися в існуванні організації. Тут потрібен сертифікат з перевіркою організації – Organization Validation (OV). Назва організації буде відображено в сертифікаті, в рядку браузера з’явиться зелений замочок.

    Наявність сертифікатів SSL показує не тільки Google Chrome. Його відображають також «Яндекс.Браузер Microsoft Edge, Firefox, Safari, Opera.

    Число сайтів і піддоменів

    • Один сайт і кілька піддоменів (Wildcard, WC) – *bestsite.ru, *forum. bestsite.ru, *blog.bestsite.ru та ін.
    • Кілька сайтів (Multi-Domain, MD) – *bestsite.ru, *bestsite.com, *perfectsite.ru. Якщо сайтів два або три, буває вигідніше купити кілька SSL з підтримкою одного домену: складніше встановлювати і продовжувати, зате в кілька разів дешевше.

    Ціна SSL залежить від його типу. Найдешевші сертифікати (від 1 тис. рублів) – DV з підтримкою одного домену. Найдорожчі (від 22 тис. рублів) – мультідоменні з розширеною перевіркою організації.

    Як вибрати засвідчує центр

    Ви пройшлися по пунктах вище і вийшло, що вам потрібен мультидоменный SSL-сертифікат з рівнем перевірки OV. Залишилося вибрати, де його придбати. SSL видають засвідчувальні центри (УЦ). Вони підтверджують достовірність ключів шифрування з допомогою сертифікатів електронного підпису.

    Список довірених центрів, що засвідчують, опублікований на сайті CA/Browser Forum. Топ-10 центрів видачі SSL можна подивитися на сайті w3tech.com. З точки зору користувача істотна відмінність між засвідчувальними центрами тільки одне – ціна на SSL-сертифікати. Виходячи зі свого досвіду можемо зробити кілька зауважень, але вони не підтверджені жодними дослідженнями. Попереджаємо, це тільки наші думки.

    Ціна не показник

    З SSL-сертифікатами не так, як з хлібом або машиною: дорожче не означає якісніше. Всі довірені засвідчувальні центри випускають SSL-сертифікати за встановленим стандартам, тому сенсу доплачувати за бренд немає. Велика різниця в ціні пояснюється швидше маркетинговою політикою засвідчують центрів: хтось націлений на корпоративних клієнтів, комусь цікаві тільки західні ринки, а хтось хоче продавати як можна більше і тому знижує ціну до мінімуму. Тому вибирати за ціною – розумно. Також розумно використовувати для порівняння цін сайти посередників (на кшталт «ЛидерТелекома», FirstSSL або ISPsystem): нерідко SSL-сертифікати там дешевше, ніж у прямих продавців.

    Бренд не гарантує надійність

    Засвідчує центр може втратити довіру або просто розвалитися. Так вже траплялося. При цьому імените назва нічого не гарантує. Нещодавно втратило довіру підрозділ Symantec, що займається видачею сертифікатів SSL. При цьому компанія Symantec – один з лідерів в області виробництва ПО – продовжила існувати. Покупці сертифікатів від Symantec не втратили гроші: з грудня 2017 року SSL групи Symantec випускає DigiCert. Їх можна купувати і встановлювати.

    Зауваження про Comodo

    Ще одне зауваження з нашого досвіду. Сьогодні Comodo є самим популярним центром у світі. Цей УЦ видає сертифікати швидко, тут одні з найдешевших сертифікатів і швидка видача. При цьому сертифікати з перевіркою організації або розширеною перевіркою видаються тільки після покупки DUNS-номери. З-за цього сертифікат обходиться в кілька разів дорожче. В інших УЦ подібної вимоги немає.

    Можливо є й інші особливості, які нам невідомі. Якщо є що сказати про відмінності засвідчують центрів – пишіть в коментарях, обговоримо.

    Як отримати SSL-сертифікат

    Процес отримання залежить від місця покупки. Універсальна історія виглядає приблизно так:

  • Вибрати SSL на сайті посередника або в УЦ.
  • Ввести необхідні дані. Обов’язково: домен та адресу електронної пошти, телефон контактної особи. Для отримання DV-сертифікатів цього достатньо. Для OV або EV знадобляться відомості та документи, що підтверджують юридичне існування організації і відповідність заявленої діяльності (ІПН, виписка з ЕГРЮЛ, згадка в загальнодоступних довідниках зразок nalog.ru або yellowpages.com та інші).
  • Отримати на пошту лист активації, пройти по посиланню.
  • Пройти перевірку (від 20 хвилин до декількох діб чи навіть тижнів, в залежності від типу SSL). В цей час УЦ може запросити додаткові документи.
  • Отримати на пошту файли сертифіката. Встановити.
  • Як встановити SSL

    SSL-сертифікат встановлюється у файлах конфігурації веб-сервер (Apache або Nginx). Інструкції по установці висилає центр сертифікації. Процес спрощується, якщо ви використовуєте панель управління веб-сервером – ISPmanager, CPanel, Plesk та інші. Інструкції по установці знайдете в документації розробників панелей.

    Після налаштування SSL-сертифікату необхідно розібратися з пошукачами. Спочатку додайте доступний за новим протоколом сайт в список своїх сайтів в «Яндекс.Вебмастере» і налаштуйте дзеркало сайту, слідуючи рекомендаціям «Яндекса». Після додайте новий адресу Google Search Console, згідно з рекомендаціями Google. Налаштуйте редирект з HTTP HTTPS для домену в панелі управління веб-сервером.