В данной статье хотелось бы поднять вопрос о такой вещи как SSL сертификат сайта. Объяснить простыми словами, что это такое и зачем он вообще нужен.
Иногда при попытке зайти на сайт можно увидеть в браузере предупреждение о том, что сайт небезопасный. Формулировки могут быть разными, но говорят об одном – возникли проблемы с сертификатом сайта. Разберемся, что это такое, почему возникают такие ситуации и что с этим делать.
Нерекомендуемые методы
В Интернете можно найти и другие способы решения проблемы с сертификатом сайта – добавление ресурса в список трастовых (доверенных) сайтов, отключение самой проверки, установка пакета собранных автором поста сертификатов и т.д. Используя такие подходы, вы должны понимать, что это высокорисковые решения, и ответственность за сохранность ваших данных полностью ложится на вас.
Кому не обойтись без SSL-сертификата
Предоставляя данные о своих банковских картах, контактную и личную информацию, пользователь должен быть уверен, что они не попадут в руки третьего лица. Поэтому получение SSL-сертификата — важный пункт для интернет-магазинов, а также банков, платежных систем и площадок, где требуется создание аккаунта.
Для SEO-специалистов, которые учитывают малейшие аспекты продвижения, также рекомендуется подключение подписи. Хотя на данный момент этот фактор слабо влияет на ранжирование страниц.
А вот чисто информационным ресурсам — блогам, визиткам и личным страницам можно обойтись и без сертификации.
Что такое SSL
SSL – это защищённый протокол Secure Sockets Layer сокращенно SLL. Данный протокол обеспечивает шифрование информации между браузером и сервером. Таким образом защищает вас от злоумышленников, и потери своих данных.
Что такое HTTPS
Перейдем к понятию SSL/TLS. SSL — это сертификат, который подтверждает подлинность веб-сайта. Аббревиатура переводится как Secure Sockets Layer.
SSL-сертификат подтверждает ваш домен или организации и позволяет установить безопасное соединение. Он содержит индивидуальный ключ вашего домена, с помощью которого информация между сервером и клиентом (вами) зашифровывается.
Протокол SSL был выпущен более 25 лет назад компанией NetScape в нескольких версиях, но ни одна из них не могла полностью обеспечить безопасность данных пользователей. Поэтому в 1999 году компания IEFT создала новую версию сертификата — TLS (Transport Layer Security), которая смогла решить проблемы предшественника. Первые версии протокола сейчас не актуальны, но TLS-соединение 2008 и 2018 года все еще используются в наши дни.
Интересно, что компания IEFT не могла использовать в названии аббревиатуру SSL по юридическим причинам (права на имя принадлежали NetScape), но в обиходе мы до сих пор чаще используем именно название первого протокола.
Правильная настройка работы на вашем сайте SSL-сертификата — это гарантия, что данные между пользователем и веб-сайтом или двумя системами зашифрованы. К таким данным относятся имена, адреса, номера телефонов, номера банковских карт и другая информация. SSL не позволяет сторонним пользователям, в том числе и злоумышленники, воспользоваться ими.
15 марта 2019
Время чтения ≈ 9 минут
Безопасность информации в Сети — один из основных вопросов, на который должны обращать пристальное внимание владельцы сайтов. В мире стремительно развивающихся кибер-угроз им нужно чётко понимать, как предотвратить утечку данных или защитить свой ресурс от доступа к нему третьим лицам.
Современным стандартом безопасности сайтов стала установка SSL-сертификатов. Однако подобный механизм защиты относительно нов и сложен для массового пользователя. Давайте разберемся, что из себя представляет данная технология и как она обеспечивает безопасность информации на веб-ресурсах.
Кстати. Сегодня на смену протоколу SSL пришла его более модифицированная версия — TLS (Transport Layer Security, «безопасность транспортного уровня»). Однако из-за того, что аббревиатура «SSL» стала устойчиво ассоциироваться с данной технологией, старое и новое наименование протокола используют в качестве синонимов или пишут вместе, через слэш — TLS/SSL. К тому же, принципиальной разницы между протоколами SSL и TLS нет.
Как работает SSL-протокол
Как известно, основой всех методов кодирования является ключ, который помогает зашифровать или прочитать информацию. SSL-протокол использует ассиметричный шифр с двумя видами ключей:
- Публичный. Это собственно и есть SSL-сертификат. Он зашифровывает данные и используется при передаче пользовательской информации серверу. Например, посетитель вводит на сайте номер своей банковской карточки и нажимает на кнопку «Оплатить».
- Приватный. Необходим для раскодирования сообщения на сервере. Он не передается вместе с информацией, как в случае с публичным ключом, и всегда остается на сервере.
Чтобы сайт обрабатывал такие соединения, его владельцу нужен SSL-сертификат. Это своеобразная цифровая подпись, которая индивидуальна для каждой платформы.
Что внутри SSL-сертификата
SSL-сертификат может содержать следующую важную информацию:
- домен площадки, на которую устанавливается сертификат;
- название компании-владельца;
- страну, город прописки компании;
- срок действия SSL-сертификата;
- информация о удостоверяющем центре.
Доверенные и недоверенные сертификаты
Главным источником SSL-сертификатов служат доверенные центры сертификации или удостоверяющие центры (Certification authority, CA). Это организации, имеющие неоспоримый авторитет на рынке IT-услуг и пользующиеся известным открытым криптографическим ключём. В браузерах их список обычно можно посмотреть в разделе «Доверенные корневые центры сертификации».
Цифровая подпись, заверенная сертификатом такого центра, является доказательством подлинности компании, которой принадлежит доменное имя, и обуславливает право владельца законно использовать секретный ключ. Она называется доверенной.
SSL-сертификат от крупного центра — не всегда гарантия отсутствия проблем для сайта.
К недоверенным подписям относятся:
- Самоподписанный сертификат, который владелец сайта выдает себе сам. Он также обеспечивает безопасность соединения, но при этом не является гарантией подлинности компании. В этом случае браузер будет предупреждать посетителя, что SSL не надежен.
- Сертификат, который подписан недоверенным центром. В этом случае ресурс будет считаться проверенным, однако «проверяющий» остается под сомнением. Обычно такие центры продают сертификаты абсолютно всем, не проверяя подлинность фирмы.
- Цифровая подпись, выданная центром, который потерял доверие. К этому разряду относятся, например, SSL-сертификаты от удостоверяющего центра Symantec, которую Google обвинил в выдаче большого числа неликвидных сертификатов. В браузере Google Chrome 70 была прекращена поддержка сертификатов, выпущенных этой компаний и аффилированными с ней центрами GeoTrust и Thawte до 1 декабря 2017 года.
SSL сертификаты Eternalhost — выгодный способ получить электронную цифровую подпись от 100% надёжного Удостоверяющего Центра.
Российские сервисы — Госуслуги, сайты банков и пр. — переходят на отечественные TLS-сертификаты безопасности от Минцифры. Сограждане беспокоятся — а не очередная ли это рука помощи «товарищу майору» для организации слежек и преследований политических активистов? Разбираемся вместе со специалистами по кибербезопасности.
Министерство цифрового развития, связи и массовых коммуникаций РФ советует россиянам установить отечественные TLS-сертификаты на свои устройства для доступа к госуслугам и банкам. После отзыва зарубежными компаниями своих сертификатов системы выдают предупреждение о небезопасности дальнейшего использования российских ресурсов. Некоторые компании в России уже опубликовали инструкции для пользователей по установке отечественных продуктов защиты от цифровых угроз.
«Переход на российские TLS-сертификаты обеспечит безопасный доступ ко всем ресурсам в любом браузере пользователям всех операционных систем, а также независимость от зарубежных удостоверяющих центров», — объяснили в Минцифры идею новых сертификатов.
Что такое SSL-сертификат? SSL-сертификат отображается в левом углу адресной строки браузера в виде закрытого замка. Так пользователь может определить, является ли сайт надежным или фишинговым. Во втором случае персональные и платежные данные, оставленные на таком сайты, могут попасть в руки злоумышленникам, как и сам платеж. SSL-сертификаты выпускают удостоверяющие центры — специальные организации, которые также поддерживают их работу. Существуют три основные цели использования таких сертификатов: шифрование данных между пользователем и сайтом; сертификат выступает в качестве своеобразного «удостоверения личности» для организации и защищает пользователя от фишинговых сайтов; улучшает ранжирование в поиске — сайты, у которых сертификат отсутствует, опускаются ниже в выдаче.
Напомним, с марта 2022 года из-за санкций зарубежные удостоверяющие центры начали отзывать у попавших под санкции российских банков SSL-сертификаты, обеспечивающие безопасность сайта и сохранность персональных данных. У ЦБ, ВТБ, Совкомбанка, Промсвязьбанка на некоторое время мог снижаться уровень защиты, хотя банки и утверждали обратное.
В сентябре также возник вопрос продления действующих сертификатов для организаций, которые не попадали под санкции, однако у российской стороны возникли сомнения в том, что зарубежные партнеры в дальнейшем будут готовы пролонгировать договоры обслуживания.
Сбер объявил на прошлой неделе, что начал устанавливать на все свои сайты, рабочие ресурсы и системы сертификаты, выпущенные Национальным удостоверяющим центром Минцифры.
Немногим раньше на портале «Госуслуг» были опубликованы инструкции для граждан по установке российских сертификатов безопасности на личные устройства.
Организации, подотчетные государственным ведомствам, также стали призывать россиян устанавливать российский продукт.
Проблема в том, что российская разработка будет совместима только с Яндексом и (или) Атомом (от VK), для других браузеров ее придется импортировать в корневой сертификат. Это дает возможность реализовать атаку MITM на трафик, которую будет непросто заметить со стороны пользователя. Способ обезопасить себя — завести отдельный телефон с Яндекс-браузером и на российские сайты ходить только с этого отдельного устройства, отмечают эксперты.
Еще один «побочный эффект» — рунет с отечественными сертификатами безопасности становится недоступным для пользователей за рубежом. Уехавшим с началом спецоперации и мобилизации россиянам, ровно как и согражданам, временно находящимся заграницей по учебе или работе, придется сильно попотеть, чтобы из Грузии, Турции, Азии или Европы зайти в свой личный кабинет на Сбере или заплатить за московскую квартиру, например.
Антон Меркуров, вице-президент ассоциации интернет-издателей «Интернет-эксперт»:
— Во-первых, переход на отечественный сертификат безопасности — это небезопасно. Когда вы заходите на какой-либо сайт, пользуетесь любым сервисом, соединение шифруется. Это шифрованное соединение обеспечивается сертификатом, выданным третьей стороной, медиатор подтверждает и гарантирует вам качество этого шифрования. Новые сертификаты будут выдаваться теперь не независимыми посредниками, а органами российской власти. Всё, к чему прикасается российское государство, особенно в сфере высоких IT-технологий, скомпрометировано очень надолго. Пользователи, которые сами себе это поставят, открывают дверь в свою спальню сотрудникам ФСБ.
Другие же эксперты не видят в использовании TLS-сертификатов отечественной разработки ничего сверхстрашного и считают, что таковые ради автономности работы российского госсектора необходимо было внедрять еще лет 10-15 назад.
Никита Шевляков, разработчик, основатель интернет-агентства Future:
— Наличие сертификата на сайте служит для пользователей web-ресурса гарантией защиты данных от попадания к третьим лицам во время обмена с сервером. Визуально свидетельство такой защиты — зеленый замочек и подпись «защищено» в углу сайта. А вот содержимое сайта с самоподписанным сертификатом может быть фишингом, поэтому стоит проверять корректность доменного имени.
Однако чтобы это работало в России и обеспечивало должный уровень безопасности внутригосударственных сервисов (особенно это касается банковских и других связанных с финансами сайтов), необходимо создавать именно российские центры сертификации, которые будут доверенными в популярных браузерах.
Идея Минцифры выдавать собственные TLS-сертификаты является обоснованной и правильной, потому что сейчас сохраняется угроза быть одномоментно отключенными от европейских удостоверяющих центров, что приведет к перебоям в работе госуправления и финансового сектора.
Александр Вураско, руководитель группы развития диджитал сервисов Центра мониторинга и реагирования на кибератаки «Ростелеком-Солар»:
— Подобные сертификаты необходимы и используются для обеспечения безопасности передачи данных между пользователем и сервером, к которому он обращается, помогает защитить данные от перехвата по пути.
Отечественные сертификаты не то, чтобы сегодня будут изобретаться, они уже существуют и они не хуже зарубежных в этой своей главной функции.
Опасения россиян, которые я наблюдаю последние дни — товарищу майору жизнь облегчаем, вот он теперь завладеет всей информацией, которая передается при использовании этих новых сертификатов. Спешу вас успокоить: данная информация у товарища майора уже давно есть в полном объеме. Мы говорим об использовании этих сертификатов при обеспечении деятельности органов власти, государственных учреждений, банковского сектора и т. д. Глупо думать, что все свои данные, которые вы до этого сами вводили на Госуслугах или оставляли в банках, всё еще неизвестны государству. О новой информации, которую могли бы перехватить при помощи этих сертификатов, речи не идет. Да и придуманы они не для того, чтоб спецслужбы перехватывали трафик, а для того, чтобы обеспечить защиту данных на уровне пользователей. Иными словами, для наших пользователей я угроз и поводов для паники не вижу, всё это уже итак известно нашим спецслужбам, однако угроза перехвата этих данных спецслужбами других стран реально существенно снижается. И нет, это не очередной распил средств в отечественном IT-секторе, по одной простой причине: на этом много не заработаешь.
А вот собственные сертификаты безопасности для органов госвласти, отечественных финансовых учреждений, соединения с которыми по умолчанию должны быть защищены, я считаю, верная и важная инициатива, это залог безопасности для функционирования систем государства, да и просто цифровая гигиена. Мне, например, сложно представить, как какая-нибудь американская компания сидит на сертификатах российского удостоверяющего центра. Я придерживаюсь идей цифрового либерализма, но в данном случае суверенитет оправдан. По-хорошему, свои сертификаты безопасности уже пора было внедрить лет 10-15 назад, а сейчас, в условиях санкций, сам бог велел.
Давайте проверим прямо сейчас. На сайте Сбербанка, например, уже предлагается отечественный сертификат, есть подробная инструкция, как его установить, даже самый далекий от компьютерных технологий человек сможет это сделать.
Нашли опечатку в тексте? Выделите её и нажмите ctrl+enter
SSL — это протокол для безопасной связи между браузером и сайтом. Он позволяет передавать данные в зашифрованном виде. Для его реализации и корректной работы нужен SSL-сертификат — цифровой документ, который подтверждает, что ресурс надежен.
Аббревиатура SSL расшифровывается как Secure Sockets Layer, или уровень защищенных сокетов. Вообще-то так назывались только первые версии протокола. Современный вариант имеет официальное название TLS, или Transport Layer Security — защита транспортного уровня. Но по привычке его продолжают называть SSL.
SSL подключен к большинству современных сайтов: есть специальные центры, которые генерируют сертификаты и позволяют реализовать протокол. Обычно это платно, но есть и бесплатные варианты.
Благодаря SSL данные, которые передаются по сети, не может увидеть или прочитать посторонний. Без этого протокола информация передается в открытом виде и доступна любому, кто «слушает» трафик сети.
Благодаря SSL данные между браузером пользователя и сервером сайта шифруются при передаче, и их не может перехватить злоумышленник. Даже если он каким-то образом получит доступ к информации, он не сможет ее прочесть. Поэтому SSL важен для всех сайтов, которые так или иначе работают с персональными данными пользователей, особенно с платежными.
Данные шифруются с помощью пары уникальных цифровых ключей: публичного и приватного. Первый видят все, второй — только сам владелец сайта. А то, что ключ принадлежит конкретному сайту, подтверждает SSL-сертификат.
SSL-сертификат — это своеобразная цифровая подпись. Его наличие подтверждает, что пользователь действительно подключается к нужному сайту, владельцу ключа, а не к мошеннику, который подменил адреса и перенаправляет запросы на какой-то другой сервер.
Сертификат выдается автоматически при генерации пары ключей и неразрывно связан с реализацией протокола. Без него SSL не будет работать.
Процесс можно представить как последовательность действий.
1. Пользователь или система обращаются к веб-серверу сайта. Это может быть любое действие: практически все, что вы делаете на сайте, — обмен информацией, для которого нужен запрос к серверу.
2. Браузер пользователя требует у веб-сервера идентификацию.
3. В ответ веб-сервер отправляет браузеру копию SSL-сертификата, и тот проверяет, можно ли этому сертификату доверять: не истек ли его срок, кто его выдал и так далее. Ближайшая аналогия — проверка пропуска при входе в бизнес-центр.
4. Если все хорошо и сертификат доверенный, браузер сообщает веб-серверу, что удостоверился в его надежности.
5. Веб-сервер подтверждает это, возвращает цифровую подпись и начинает соединение по протоколу SSL. Теперь браузер и сервер могут обмениваться информацией безопасно.
На месте пользователя и браузера может быть какой-нибудь сервис и его сервера: передача информации между сайтом и другим ресурсом происходит практически по тому же принципу.
Сертификат служит своеобразным удостоверением или пропуском: сервер показывает, что это действительно он, и браузер расценивает его как надежный. После этого он разрешает соединение по защищенному протоколу SSL.
Такая проверка нужна, чтобы не допустить гипотетической ситуации, когда конечный адрес сервера подменяется каким-то другим и браузер соглашается на защищенную передачу данных с неизвестным адресатом. Подобная вероятность нарушает безопасность и конфиденциальность данных, а сертификат позволяет избежать ее.
Если SSL-сертификат и секретную часть ключа украдут злоумышленники, они смогут перехватывать, расшифровывать и читать весь трафик вашего сайта. Поэтому задача владельцев ресурса — обеспечивать серверу безопасность и не допускать его взлома или утечки конфиденциальных данных.
Если с сертификатом все хорошо, в адресной строке браузера слева появится символ замочка. Если что-то не так, замочек будет перечеркнут, а браузер выдаст предупреждение, вплоть до ограничения доступа к сайту.
Выше мы сказали, что браузер или другой сервер проверяет копию SSL-сертификата и решает, доверенный ли он. Доверенность определяется несколькими факторами, один из которых — вид сертификата и то, кто его выдал.
Проверить тип сертификата на сайте можно с помощью браузера: нажать на замочек в адресной строке и выбрать вариант «Защищенное соединение» или «Безопасное подключение» в зависимости от браузера.
Вот какими бывают SSL-сертификаты.
Самоподписанные. Такой сертификат может сгенерировать любой человек на своем сервере. Но пользы от него нет: его считает доверенным только тот сервер, на котором он создан. Все остальные не знают, что за организация выдала сертификат, поэтому браузеры будут выводить пользователям предупреждения или ограничивать доступ к ресурсу. Не стоит пользоваться такими сертификатами.
С валидацией домена. Все остальные типы, которые тут перечислены, выдаются специальными организациями — центрами сертификации. Сертификационные центры, или СЦ, генерируют для сайта уникальную пару ключей и выдают сертификат. Такие сертификаты будут корректно отображаться, им доверяют браузеры, а их данные удостоверены СЦ. Но чтобы центр выдал сертификат, сначала он должен проверить того, кто к нему обратился, — так он сможет убедиться, что ресурс не мошеннический.
Разница между типами в том, что именно проверяет центр, перед тем как выдать сертификат. Самый простой вариант — проверка домена, она же Domain Validation, или DV. СЦ верифицирует, что доменное имя сайта настоящее и ресурс существует, но не связывает его с какой-либо компанией. Это бюджетный вид сертификата, более дешевый, чем другие, и он подходит для физлиц или небольших компаний.
С валидацией организации. Второй вариант — Organization Validation, или OV. В этом случае сертификационный центр проверяет не только домен, но и компанию, которой он принадлежит. По результатам проверки он удостоверяет, что компания существует. Это вариант для коммерческих сайтов, и купить такой сертификат могут только организации.
Для банков и интернет-магазинов, которые работают с платежами пользователей, рекомендуется сертификат уровня не ниже OV. Он считается более доверенным, так как проверяет в том числе существование компании.
С расширенной валидацией. Наиболее сложный, дорогой и доверенный вид: EV, или Extended Validation. Чтобы получить такой сертификат, понадобится пройти расширенную проверку в центре сертификации, ответить на вопросы и предоставить часть документов о компании. Зато браузер будет отдельно помечать сайты с такой валидацией: знак замка будет зеленым, с подписанным названием компании и страной ее регистрации.
Этим видом пользуются корпорации, крупные сервисы, которые имеют дело с платежными данными, некоторые банки.
Особые виды. Для сайтов со специфическими потребностями есть отдельные виды SSL-сертификатов. Это опции, которые можно добавить к сертификату любого из трех типов выше. Например, Wildcard — он используется для сайтов, у которых есть поддомены. В имени домена в таком сертификате есть звездочка, вместо которой подставляется имя поддомена.
Еще есть MDC — мультидоменный сертификат, нужный для ресурсов с несколькими доменами и поддоменами. Например, у компании несколько сайтов с разными именами: она может купить отдельный сертификат для каждого или один MDC для всех трех. Существуют разные подвиды мультидоменных сертификатов, основные из них — SAN и UCC.
Подготовка. Владелец сайта должен настроить сервер, проверить, что все данные на нем верны, и сформировать на сервере запрос на SSL-сертификат. Если он пользуется хостингом, можно обратиться к нему: тот поможет в нужных настройках и запросах.
Обращение в центр. Затем понадобится обратиться в один из сертификационных центров по выбору и подать заявку на выдачу сертификата нужного типа. Услуги большинства центров платные, поэтому сначала нужно внести оплату за них. Она может составлять от нескольких десятков до сотен долларов в зависимости от выбранного типа.
Сертификационный центр потратит какое-то время на проверку домена или организации. Поэтому выдача сертификата может занимать от пары минут до недели — зависит опять же от того, какой уровень проверки выбрал владелец сайта.
Установка. После проверки и активации СЦ выдаст пару ключей: публичный отправляется по e-mail, приватный следует сохранить на компьютер, так как по почте его не присылают. Ключи понадобится установить на сервере сайта. Это можно сделать с помощью управляющей панели хостинга или CMS, если сайт ими пользуется. Также нужно будет обновить доменное имя и адреса DNS-серверов.
Поддержка. Сертификат имеет ограниченный срок действия. Когда он истечет, сертификат нужно будет перевыпустить, иначе браузеры начнут расценивать сайт как небезопасный и выдавать пользователям предупреждение. Некоторые браузеры могут и вовсе блокировать доступ к нему, так как не смогут обеспечить безопасность.
Возможный срок действия сертификата — до 2 лет и 3 месяцев. В будущем максимальный допустимый срок может еще сократиться. Причина такого ограничения — данные о компании и сайте постоянно меняются, и, чтобы поддерживать сертификат актуальным, эти сведения надо обновлять и в нем.
Сайт будет работать и без SSL: протокол нужен только для шифрования соединения. Для работоспособности веб-ресурса SSL необязателен — но очень желателен, и вот почему.
- Поисковые системы тоже обращают внимание на наличие защищенного протокола. Без SSL сайту меньше доверяют, поэтому не будут выставлять ему высокий рейтинг и показывать на первых страницах выдачи. Из-за этого уменьшится поток пользователей — многие из них находят сайты как раз в поиске.
- Но самое главное: незащищенное соединение — это риск утечки информации о пользователях, в том числе их персональных данных. За утечку можно понести ответственность, к тому же это некорректно по отношению к пользователям.
В большинстве случаев — нет, не обязательно. Существуют сервисы, которые помогают получить валидный сертификат бесплатно. Самый известный из них — Let’s Encrypt. Это некоммерческий центр сертификации, который выдает SSL с валидацией на уровне домена. Он считается не таким доверенным, но для некоммерческих и информационных ресурсов подходит.
Но для некоторых сайтов сертификаты нужны платные. Это коммерческие ресурсы, которые работают с платежными данными пользователей или дают возможность оплатить что-то онлайн, то есть банки или интернет-магазины. Им нужна более широкая валидация, чем по доменному имени. Также платные сертификаты желательны для сайтов брендов и ресурсов с большой посещаемостью.
Получение и установка SSL-сертификата
Чтобы получить цифровую подпись, необходимо зайти на сайт центра сертификации и предоставить необходимую информацию для данного типа цифровой подписи. Например, для получения DV SSL достаточно предоставить доменное имя, email и номер телефона. Для других разновидностей могут понадобится документы, которые подтверждают наличие юридического лица: ИНН, сведения из ЕГРЮЛ и прочее.
После активации, ссылка на которую придет на указанную почту, следует дождаться окончания проверки. Этот процесс может занять от десятка минут до нескольких суток, после чего на e-mail придет архив с сертификатом, который требуется установить на сайт.
Приватный ключ SSL-сертификата выглядит именно так.
Для содания самоподписанных сертификатов в Центр сертификации обращаться не нужно. Для этого необходимо создать корневой сертификат с информацией о стране, городе, названии компании и домене, а к нему уже выпускать самоизданные, используя файлы конфигурации.
Установить сертификаты вручную
Важно! Используйте этот метод, только если вы полностью доверяете сайту.
Типы SSL-сертификатов
SSL-сертификаты делятся не несколько видов в зависимости от количества доменных и субдоменных имен, на которые они будут устанавливаться, а также от способа проверки платформы. По методу проверки существует три основных варианта:
- OV (Organization Validation) — помимо защиты данных он является гарантией подлинности компании, которой принадлежит. Выдается организациям, подтверждающим свой контактный номер, в течение трех дней.
- EV (Extended Validation) похож на предыдущий вариант, однако проверке подлежат не только коммерческая деятельность фирмы, но и налоговая. Наличие сертификата с расширенной проверкой подтверждает «зелёная» адресная строка — выделение адреса дополнительной зелёной рамкой (Green Bar). Такой сертификат можно получить за 5 дней.
Зелёный замочек в адресной строке — сайту можно доверять.
Помимо этого, существуют дополнительные типы SSL:
- Wildcard SSL — понадобится для того, чтобы защитить большое количество субдоменных имен в корне одного домена.
- UC (Unified Communications) или SAN (Subject Alternative Name) — способен взять под свою защиту не только множество субдоменов, но и доменов как внешних, так и внутренних.
- SGC (Server-Gated Cryptography) — поддерживает 40-битные расширения, что пригодится для операционных систем и браузеров старого образца.
- CS (CodeSigning) — сертификаты для программных продуктов, которые позволяет пользователю безопасно скачивать ПО с сайтов разработчиков.
Сертифицированные центры (CA)
Итак, если вы решили выпустить SSL-сертификат на ваш сайт, то вы можете обратиться к доверенным сертифицированным центрам (CA, Certification authority). Вот неполный список проверенных центров:
При выборе сертифицированного центра важно обращать внимание на его достоверность. Популярные браузеры регулярно проверяют качество сертификатов от разных сервисов. В случае нарушения правил безопасности, сертификаты от некоторых компаний становятся несовместимыми с браузером.
Выпуск SSL-сертификата через хостинг
Другой способ выпустить сертификат – обратиться к своему хостинг-провайдеру. Обычно хостинг-провайдеры становятся партнерами с сертифицированными центрами.
Выпуск сертификата у вашего провайдера значительно упрощает процесс, ведь вы можете заказать, установить и настроить его в одном окне.
В этой части мы покажем, как заказать SSL у хостинга, на примере Панели Управления Beget.
Кликнув на иконку щита, вы перейдете на страницу для выпуска или установки сертификата.
Важно, что SSL-сертификат выпускается со стороны сервера, на котором он находится. Поэтому для выпуска SSL вам нужно обращаться к хостингу, на котором расположены файлы вашего сайта.
Вот и все!
Несколько простых шагов и на вашем сайте установлен SSL-сертификат.
Платный SSL-сертификат
Если вы создаете интернет-магазин, представляете юридическое лицо или планируете собирать данные пользователей, то вы можете установить платный SSL.
Платные сертификаты бывают трех видов (DV, OV, EV).
Их основное преимущество — более высокий уровень защиты данных пользователей и гарантия сертифицированного центра. В случае, если сессионный ключ сертификата будет взломан, то центры обязуются выплатить гарантийную сумму пользователю. При возникновении проблем с сертификатом вы всегда сможете обратиться в техническую поддержку центров, чтобы решить проблему.
Настроить переадресацию с http на htpps
Для этого понадобится внести создать или внести изменения в существующий файл .htaccess.
Бесплатный SSL-сертификат от Let’s Encrypt
Еще совсем недавно SSL-сертификат можно было либо купить, либо установить самоподписной. Это вызывало ряд проблем: либо его устанавливали на сервера крупный бизнес и сайты с большим потоком посетителей, либо сертификаты не считались браузерами валидными. Это привело к тому, что к большей части сайтов в интернете можно было подключиться только по незащищенному соединению.
Со временем ситуация изменилась. Появилась некоммерческая организация Let’s Encrypt, которая выпускает бесплатные SSL-сертификаты на сайты. Они подходят для небольших информационных сайтов, которые не собирают данные пользователей.
Бесплатный сертификат относится к типу DV (Domain Validation).
Сертификаты Let’s Encrypt отвечают современным стандартам качества: используется 256-битное шифрование симметричным ключом, центр Let’s Encrypt никогда не хранит закрытые ключи на своих серверах, а информация о сертификатах находится в публичном доступе.
Основной минус сертификата от Let’s Encrypt — его действие рассчитано на срок не более 90 дней. Затем его нужно перевыпускать. Сделать это можно как вручную, так и автоматически через планировщик задач Cron. Например у нас можно настроить автоматический перевыпуск сразу в панели. Если вам интересно, вы можете почитать об этом в нашей статье на сайте Beget.
Виды сертификатов
DV — Domain Validation — для подтверждения домена. Это значит, что сертификат подтверждает именно домен сайта, а не его владельца. Он показывает, что подключение защищено, и клиент обменивается зашифрованной информацией с сервером.
OV — Organization Validation — для подтверждения организации и домена. Он позволяет проверить не только домен, но и его владельца. Этот сертификат могут получить как физические, так и юридические лица. OV отлично подойдет для социальных сетей, форумов, интернет-магазинов или других ресурсов с приемом платежей.
EV — Extended Validation — для расширенного подтверждения организации и домена. Сертификат с самым высоким уровнем защиты. Рассмотрение его получения на ресурс самый длительный — сертификационная организация проверяет не только владельца, но и регистрационные данные владельца. Предназначен только для юридических лиц. Его могут заказать финансовые организации, страховые компании, корпоративные сайты и другой крупный бизнес.
Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером.
Убрать смешанный контент
В случае с популярными CMS это решается плагинами, для сайта без CMS или на CMS собственной разработки будет необходим специальный скрипт.
Проверить работу антивируса
Антивирусные программы оценивают безопасность соединения по многим критериям, и иногда могут блокировать доступ к вполне трастовым ресурсам. Попробуйте отключить защиту и зайти на сайт. Но вводить там свои данные можно, только если вы полностью доверяете ресурсу. И, возможно, стоит задуматься о смене антивирусного ПО.
Зачем сайту нужен сертификат безопасности
Кратко механику протоколов можно объяснить так:
И когда браузер сообщает о проблемах с сертификатом безопасности, речь идет именно о SSL-сертификате.
Понять, что соединение не защищено, можно и по специальным значкам в адресной строке. Если на них кликнуть, появляется окошко с дополнительной информацией.
Браузеры блокируют доступ не ко всем сайтам с незащищенным соединением. По сути, если пользование веб-ресурсом не предполагает ввод конфиденциальной информации, особых рисков при просмотре его страниц нет. Но если вы переходите по ссылкам, надо быть внимательным – вредоносный код может изменить адрес ссылки, и вы попадете на похожий, но фейковый сайт.
Если же на сайте принимаются платежи, нужна регистрация с вводом данных – наличие SSL-сертификата обязательно. Также поисковые системы лучше ранжируют безопасные для пользователей ресурсы.
Важно! Не всегда предупреждение браузера действительно говорит о том, что соединение небезопасно. Проблема может быть на стороне пользователя или сервера, но рисков это не несет. Рассказываем, почему так получается и что нужно делать.
Зачем вашему сайту SSL сертификат?
Кроме информации выше, хотелось бы добавить несколько важных пунктов почему он вам нужен.
• Доверие посетителей;
• Большие плюсы от поисковых систем в ранжировании вашего сайта;
• Защищенное соединение;
• Ваш сайт становится более защищённым от взлома;
Обновить корневые сертификаты
Проверка проходит в несколько уровней, и если отсутствуют «главные» корневые сертификаты, то сертификаты сайтов система не распознает. Если у вас отключено автоматическое обновление ПО, то и новые сертификаты вы могли не получить. Обновить их можно, скачав с официальных сайтов производителя вашей операционной системы (скачивание со сторонних ресурсов – небезопасно!).
Выбор цифровой подписи
Какой SSL-сертификат выбрать, в первую очередь, зависит от владельца ресурса. Для физических лиц подойдет тип DV, который является подтверждением права на владение доменным именем.
Для компаний дело обстоит несколько сложнее:
- Если это сайт-визитка, цель которого — проинформировать о деятельности организации, то можно установить DV SSL. Он предотвратит появление всплывающего в браузере окна с информацией о небезопасности площадки и надежно закодирует данные. Обычно предоставляется бесплатно.
- Ресурсы, которые связаны с транзакциями и другими видами доступа к деньгам, должны подключить EV подпись. Она подтвердит подлинность компании, а в браузерной строке появится полоска зеленого цвета с названием фирмы. Это касается банков, СМИ, платежных систем.
- Интернет-магазины, форумы и благотворительные платформы должны позаботиться об установке OV SSL. Такие сайты практически не находятся в поле зрения злоумышленников. Однако пользователи захотят удостовериться в подлинности компании, где они планируют сделать заказ или куда собираются вложить свои деньги. SSL-сертификаты с проверкой организации предоставляются только платно.
Какие существуют SSL сертификаты?
На самом деле сертификатов существует множество, для физических и юридических лиц. Дорогие и дешевые. Имеющие разный алгоритм шифрования. Данная статья рассчитана на обычных пользователей. Чтобы не нагружать различными терминами, и лишней информацией остановимся на этом. Ведь мы ценим ваше время.
SSL-сертификат позволяет установить TLS-соединение с сервером, которое работает по следующей схеме:
Схема работы SSL-сертификата
Все шаги для подключения по безопасному соединению занимают миллисекунды.
Сценарий подключения по TLS-соединению возможен, если сервер воспринимает ваш сертификат как действительный. Если же ваш сертификат невалиден, то вы не сможете подключиться к сайту по безопасному соединению. Невалидным может считаться сертификат, срок действия которого истек. Ошибку также может вызвать самоподписной сертификат. Браузеры принимают только сертификаты, которые были выпущены у сертифицированных центров.
Чтобы проверить валидность сертификата вы можете воспользоваться онлайн-ресурсами. Например, с помощью инструмента «Проверка SSL» от 2IP.
Установить SSL-сертификат
Для начала определитесь, какой именно сертификат нужен вашему сайту:
Есть еще самоподписанные сертификаты – это «техническое» решение, которое используют для тестирования или во внутренней сети (с установкой на все машины). Для сайтов в Интернете они не пользуются.
Важно! Большинство сертификатов выдаются на один конкретный домен (поддомен также считается отдельным доменом). Поэтому, если поддоменов много, есть смысл получить сертификат из категории Wildcard (распространяется на домен и все поддомены одного уровня) или SAN (обеспечивает защиту до сотни доменов, причем они могут быть размещены на разных серверах).
Для получения OV и EV сертификата нужно предоставить удостоверяющему центру пакет документов, выпуск займет от 3-5 дней.
Процесс установки сертификата может отличаться в зависимости от хостинга и ПО сайта, но обычно подробную информацию можно найти в разделах помощи. Самый простой вариант – заказать услугу установки сертификата. Например, такая возможность есть на сайте RU-CENTER.
Как получить и установить SSL сертификат?
Выдачей сертификатов занимается центр сертификации. А так же хостинг-провайдеры, имеющие на это соответственное разрешение. Их достаточно много и найти их не составит труда. Главное не наткнуться на мошенников. Установить же SSL сертификат вы можете самостоятельно, или обратиться к кому-либо за помощью.
Проверить дату и время на своем гаджете
Если время на ПК сбилось и не соответствует времени на сервере, сертификат не может пройти проверку. После установки правильного времени компьютер нужно перезагрузить. Если проблема повторяется, возможно, стоит заменить батарейку на материнской плате.
Настройка редиректа на HTTPS
Если же ваш сайт работает через популярные CMS, такие как WordPress, Joomla или Bitrix, то настройка редиректа займет немного больше времени. Вам на помощь придут плагины и дополнительные инструкции.
2. Также вы можете воспользоваться этой инструкцией;
Такие инструкции существуют для всех популярных CMS. Найти вы их сможете в Google или Яндекс по запросу «mixed content» или «смешанное содержимое» с добавлением названия вашей CMS.
Мы считаем, что обеспечить безопасность данных пользователей — важная задача для тех, у кого есть собственные онлайн-ресурсы. Надеемся, эта статья помогла вам разобраться в том, что такое SSL-сертификат, и интернет станет безопаснее
Следить за сроком действия сертификата
SSL-сертификаты выдаются сроком на 1 год. Когда это время истечет, сертификат будет считаться недействительным – его нужно перевыпустить.
Если все установлено правильно, но проблема наблюдается – обратитесь в службу поддержки хостинга. Иначе посетители вашего сайта будут получать столь неприятное сообщение о небезопасности вашего ресурса.
Заключение
Использование SSL-сертификата повышает доверие пользователей к вашему сайту. Это стоит учитывать владельцам интернет-магазинов, банковских и платежных систем, а также площадок, где посетителям требуется предоставить свои персональные данные для создания аккаунта. Однако важно понимать, что цифровая подпись не является стопроцентной гарантией защиты от хакерских или DDoS-атак.