На «Госуслугах» опубликованы инструкции по установке отечественных сертификатов безопасности на устройства пользователей — для использования в «Яндекс.Браузере» и браузере «Атом» от VK, но эксперты предупреждают об опасности слежки за всей вашей онлайн-деятельностью, а также о повышенных рисках утечек.
Минцифры объявило о том, что на сайте госуслуг опубликованы инструкции по установке российских сертификатов безопасности на устройства пользователей.
«Такие сертификаты обеспечат доступность сайтов в любом браузере пользователям всех операционных систем», – уверяют в министерстве.
Сертификаты доступны также юридическим лицам – владельцам сайтов, также уточняется в сообщении, а использование российского TLS-сертификата обеспечивает доступность ресурса в «Яндекс.Браузере» и браузере «Атом». Необходимость получения таких сертификатов власти объясняют следующим образом:
«В марте зарубежные компании начали отзывать сертификаты безопасности у российских сайтов. При попытке зайти на сайт пользователи видели предупреждение о небезопасности ресурса. Переход на российские TLS-сертификаты обеспечит независимость от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам».
Однако опрошенные нами эксперты предупредили о серьёзных рисках для пользователей, которые решат установить данные сертификаты на браузерах своих устройств.
По словам блогера и IT-специалиста Ильи Вайцмана, госресурсы сейчас просто переведут на отечественные сертификаты «приказом/распоряжением Правительства — вот и всё».
«Проблема в том, что минцифровский удостоверяющий центр (УЦ) не признается ни одним современным браузером, – поясняет он, – так что для работы со всякими госуслугами-сберами-мосру придется либо ставить «Яндекс-браузер» или «Атом», которые минцифровский УЦ признают, либо импортировать в систему корневой сертификат. Ну а дальше — вопрос доверия к Минцифре и всем нижележащим уровням».
Но при этом пользователи, которые решатся на такую установку, подвергают себя существенным рискам:
«Теоретически, имея доступ к сертификатам, можно реализовать атаку MITM на трафик, которую будет непросто заметить со стороны пользователя. Нечто подобное (принудительную установку сертификата от госконторы) пытались внедрить несколько лет назад в Казахстане для чтения всего трафика. Тогда, насколько я помню, Google и Mozilla просто заблокировали казахский сертификат в своих браузерах».
«Дополнительный «бонус» — Рунет с этими сертификатами станет недоступен для иностранных пользователей, кроме особенно замороченных этим вопросом», – предупреждает Вайцман.
Когда мы спросили у исполнительного директора «Общество защиты интернета» (ОЗИ) Михаила Климарёва, с какой стати пользователей зазывают устанавливать себе госсертификаты, он сказал, что главный вопрос здесь — «почему?».
«Потому что все удостоверяющие центры отказались работать с российскими правительственными организациями, которые находятся под санкциями, включая Сбербанк, – объясняет он. – Всё завязано на крупной международной инфраструктуре, и этих УЦ, которые выдают сертификаты, их немного. По-моему, десяток, а может чуть поменьше. Все они отказались работать с нашими госструктурами. А отправлять незашифрованной банковскую или другую важную информацию очень опасно, потому что её могут перехватывать, и было принято такое вот решение — создавать свои какие-то подписанные сертификаты».
Поскольку УЦ отказались работать с РФ, а власти так и не создали своего удостоверяющего центра, хотя несколько лет пытались это сделать, Минцифры придумало свой механизм. Но все известные браузеры не знают этого удостоверяющего центра, поясняет Климарёв, властям приходится насильным образом этот сертификат устанавливать. Эксперт напомнил, что единственные браузеры, которые разработаны в России, это «Яндекс.Браузер» и «Атом», и они «уже умеют это делать».
Михаил Климарёв заявил, что ОЗИ настоятельно не рекомендует устанавливать госсертификат на какие-то другие браузеры:
«Поскольку вырисовывается ситуация, которую в своё время пытались сделать в Казахстане. То есть если у вас есть такой сертификат, который как бы корневой, вы потенциально можете проводить MITM-атаку. Так что мы рекомендуем не устанавливать данный сертификат в ваши рабочие браузеры».
«Если уж так хочется, а многим — просто необходимо, использовать Сбербанк и «Госуслуги», то лучше пользоваться чистым «Яндекс.Браузером». Но, естественно, его нельзя будет использовать для каких-то других нужд. То есть его в принципе нельзя использовать. Он небезопасный», – отметил исполнительный директор ОЗИ.
«Кстати, если там вкрутят ещё и «криптографию по ГОСТу», то с браузерами будет то еще развлечение, – добавляет Илья Вайцман. – Но пока вроде бы нет. На всяких тендерных площадках уже такую используют, приходится ставить или «Яндекс», или мутанта Chromium-ГОСТ (что чуть-чуть безопаснее, по-моему)».
На вопрос, какие риски теперь могут нести приложения государственных органов и «Сбера», не грозит ли это новыми утечками, Вайцман ответил:
«А чему из них утекать-то? Они только со своим банком работают, а из банков и так течет потоком. Впрочем, если сумеют перехватывать сессии, то может быть неприятно — вся надежда только на подтверждение транзакций через код в SMS. Но оно тоже не всегда используется.
Вообще же вот пишут, что приложение «Сбера» (как минимум) использует классический SSL/TLS. Если так, то неочевидно, что приложение будет работать без «вкрячивания» в телефон минцифровского корневого сертификата. Это может сделать телефон вообще небезопасным. По идее, тогда отдельный телефон для мобильного банкинга заводить надо, с которого ничего хотя бы теоретически чувствительного не делать, даже в мессенджерах не переписываться».
«Ну, то есть может быть у него там внутри прописано всё, и только обновить надо будет, но это неточно. 29 сентября понятно будет», – предполагает он.
Как вариант он предположил, что можно использовать VPN с настраиваемой фильтрацией. «Типа Psiphon (после обновления до v.359 работает). Пускать банковские приложения напрямую, а все остальное заворачивать в VPN. И пускай ловят конский топот», – подытоживавет Илья Вайцман.
Зачем нужен SSL-сертификат для сайта
Чтобы сайт стал работать по протоколу безопасного соединения HТТPS, нужен SSL-сертификат. Это виртуальный документ, который содержит данные об организации, её владельце и подтверждает их существование. Позволяет узнать сервер и подтвердить безопасность сайта.
Использование сертификата безопасности для сайта гарантирует:
- Подлинность ресурса, к которому обращается пользователь. Это повышает у посетителей уровень доверия.
- Целостность передаваемой информации. При транспортировке от сервера к браузеру данные не изменятся и не потеряются.
- Конфиденциальность. 256-разрядное шифрование исключает доступ злоумышленников к информации.
Что дает SSL-сертификат для сайта кроме защиты данных? SSL-сертификат помогает в SEO-продвижении проекта — позволяет занять более высокую позицию в поисковой выдаче. Поисковые системы (Google, Яндекс и пр.) дорожат доверием аудитории и выше ранжируют сайты, которые работают через безопасное соединение.
Обеспечьте защиту передаваемых данных
Разновидности SSL-сертификатов
По уровню проверки выделяют три типа SSL-сертификатов:
Сертификаты начального уровня с проверкой домена Domain Validation (DV)
При выпуске этого типа SSL проверяется только право собственности на домен. Физическим лицам доступен только этот тип. Юридические лица также могут его выпустить. После подключения защищенного соединения к сайту в адресной строке браузера появится характерный «замочек», что означает безопасную передачу данных.
Сертификаты бизнес-класса с проверкой организации Organization Validation (OV) или Company Validation (CV)
При выпуске такого SSL кроме проверки права собственности на домен проводится проверка организации: её юридическое и физическое существование. Этот вид доступен только юридическим лицам. При нажатии на замочек в адресной строке будет отображаться информация о компании.
Сертификаты с расширенной проверкой Extended Validation (EV)
Этот протокол SSL также доступен только юридическим лицам. Чтобы его выпустить, нужно предоставить документы в центр сертификации. Проводится проверка не только существования организации, но и её правовой деятельности. Помимо замочка в адресной строке будет отображаться печать доверия сертификационного центра и информация о компании.
Подробнее о видах читайте в статье Типы SSL-сертификатов.
HTTP или HTTPS? Вот в чём вопрос!
Нет защищенного соединения. Как это повлияет на бизнес?
- Предупреждение может отпугнуть пользователей от сайта.
- Злоумышленники могут украсть данные с веб-сайта.
У меня до сих пор HTTP, что делать
- Закажите SSL-сертификат при регистрации домена или при заказе услуги хостинга. Подробнее об этом в разделе: 1 этап: Заказ SSL.
- Активируйте сертификат. В разделе 2 этап: Активация SSL описано, как это сделать.
- Теперь установите SSL-сертификат на хостинг. Для этого выберите подходящую инструкцию: 3 этап: Установка SSL.
- Проверьте, что сертификат установлен правильно.
Что такое SSL-сертификат
SSL (Secure Sockets Layer — уровень защищённых сокетов) — это протокол шифрования, который позволяет кодировать данные для более безопасного обмена.
Благодаря SSL информация, которая передаётся, защищена от посторонних: администратора Wi-Fi сети, провайдера, оператора и других лиц — значит она не может быть перехвачена и использована в мошеннических целях. Кроме того, SSL-сертификат выступает в качестве подтверждения надёжности ресурса и даёт возможность проверить, кто является его настоящим владельцем.
Можно сказать, что SSL-сертификат — это своего рода уникальная цифровая подпись сайта.
Проверить наличие SSL несложно. Для этого достаточно посмотреть на адресную строку в браузере. Слева от адреса сайта вы увидите значок с изображением закрытого замка.
А если на сайт установлен OV или EV сертификат, то при клике на замочек, появятся данные об организации, которой принадлежит сайт.
В таких типах сертификатов во вкладке «Подробнее» вы найдёте следующую информацию:
- доменное имя, на которое оформлен SSL-сертификат;
- юридическое лицо, которое владеет сертификатом;
- физическое местонахождение его владельца (город, страна);
- срок действия сертификата;
- реквизиты компании-поставщика SSL-сертификата.
Разница между HTTP и HTTPS
SSL/TLS-сертификат ― это цифровая подпись сайта. С её помощью подтверждается его подлинность.
Каким сайтам нужен SSL?
SSL-сертификат необходимо подключать к сайтам, которые работают с финансами и персональными данными пользователей. Это интернет-магазины, банки, платёжные системы, социальные сети, почтовые сервисы и любые другие проекты.
SSL-сертификат лучше ставить с самого начала, чтобы иметь более высокие позиции в поисковых системах. Если всё же изначально не использовался сертификат, то переехать можно быстро, а вот поисковики могут увидеть это только спустя пару месяцев. Тем более сегодня поставить SSL можно и бесплатно.
Какие виды SSL-сертификатов есть и кто их выдаёт?
Есть специальные центры сертификации или как ещё называют — удостоверяющие центры (УЦ). Вы могли встречать названия таких УЦ: Symantec, Comodo, GlobalSign, Thawte, GeoTrust, DigiCert. Они подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи.
Печать доверия — это особый знак, позволяющий посетителям видеть, что соединение с вашим сайтом и все передаваемые данные надёжно защищены.
Итак, существует несколько типов SSL-сертификатов по источнику подписи и типу проверки данных.
Так вот, разница между самоподписанными сертифкатами и, выданными УЦ, как раз и заключается в том, что браузер знаком с УЦ и доверяет ему, и при использовании такого сертификата ваш посетитель никогда не увидит огромное уведомление о небезопасности ресурса. Купить такой SSL-сертификат можно как напрямую в УЦ, так и через хостинг-провайдеров.
Подписанные доверенным центром сертификаты, в свою очередь, тоже подразделяются по типу проверки данных:
- DV (Domain Validation) — базовый уровень сертификата, который обеспечивает только шифрование данных, но не подтверждает существование организации. Такие бюджетные сертификаты подойдут физическим и юридическим лицам.
- OV (Organization Validation) — обеспечивает не только шифрование данных, но и подтверждает существование организации. Такие сертификаты доступны только для юридических лиц.
- EV (Extended Validation) — это эффективное решение с самым высоким классом защиты, которое активно применяется в онлайн-бизнесе. Для оформления требуется пройти процедуру расширенной проверки, подтвердить законность организации и право собственности на домен.
Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции:
- WildCard — защищает соединение с доменом и всеми его поддоменами.
- SAN — защищает домены по списку, указанному при получении SSL-сертификата.
Какой SSL-сертификат выбрать?
Итак, мы определились с тем, что SSL-сертификаты различаются между собой не только брендом и ценой. Сегодняшний ассортимент предложений предусматривает широкий круг задач, для которых может потребоваться SSL.
Например, если вы просто хотите уберечь пользователей вашего веб-сайта от навязчивых предупреждений браузера о посещении непроверенного сайта, будет достаточно за несколько минут получить простой DV (Domain Validation) сертификат. Если же вы используете свою интернет-площадку для операций, требующих повышенного уровня безопасности данных компании и клиентов — стоит задуматься об EV (Extended Validation) сертификате. А если вы используете не один, а несколько веб-адресов для сайта или сайтов компании — для вас на рынке представлены сертификаты Wildcard и SAN.
Для выбора оптимального сертификата для определённого сайта нужно изучить, что предлагают центры сертификации, обращая внимание на следующие аспекты:
- насколько SSL совместим с основными браузерами;
- на каком уровне происходит защита данных пользователей;
- насколько масштабная проверка организации проводится;
- есть ли печать доверия.
4 причины установить SSL-сертификат
Конечно же, стоит начать с этого пункта, ведь в этом заключается основная цель использования SSL-сертификатов. Если вы работаете с персональными данными пользователей, вам просто необходимо их шифровать при передаче к серверу. Само по себе использование сертификата не лекарство от всех бед, злоумышленники могут перехватить данные ещё до момента передачи их на сервер на заражённом компьютере или устройстве посетителя сайта. Однако использование протокола шифрования — значительный вклад в снижение уязвимости сайта.
Доверие к сайту
Пользователи привыкают, что все крупные проекты используют SSL-сертификаты. Надпись «Защищено» и замочек дают посетителю сайта представление о том, что он и его данные находятся в безопасности.
Поддержка сторонних сервисов
SSL-сертификат от авторитетного УЦ говорит о надёжной защите пользовательских данных — это не только хороший способ заслужить доверие пользователей и поисковых систем, но и большой вклад в стабильное продвижение и развитие сайта.
И не забывайте, что часто SSL бывают включены в пакеты с доменом и хостингом, что позволит ещё и сэкономить. Например, в REG.RU вы можете получить SSL-сертификат и хостинг в подарок к домену или любому из тарифов конструктора REG.Site. Также до 25 апреля 2021 года действуют скидки до 42% на SSL-сертификаты. Успейте купить SSL и больше не рискуйте ни своими клиентами, ни прибылью.
Возможно, создавая сайты и работая с ними, вы слышали что-то про SSL-сертификаты, но до сих пор не решались детально разобраться в этом вопросе. Но поверьте, всё не так сложно, как кажется. Специально для вас редакция блога подготовила этот пост «вопрос-ответ», в котором мы разберём все популярные вопросы о SSL-сертификатах.
Что это за сертификат такой?
SSL-сертификат — это цифровая подпись сайта, которая нужна для работы протокола защищённой передачи данных в интернете. Аббревиатура SSL означает Secure Sockets Layer – протокол безопасности, создающий зашифрованное соединение между веб-сервером и веб-браузером.
Проще говоря, такой сертификат обеспечивает зашифрованное соединение между пользователями и сайтом. Благодаря этому вся информация, которой они обмениваются, защищена от посторонних, например, от провайдера, оператора WI-FI сети и злоумышленников.
А как понять защищен сайт или нет?
Давайте представим ситуации — вы оплачиваете заказ в интернете и вас просят ввести номер банковской карты. Браузер передаёт эту информацию на сервер, где специальная программа проверяет подлинность карты и отсылает квитанцию о покупке. Потом банк снимает с карты деньги. Казалось бы, что в этом такого? Но! Обычно браузер передаёт всю информацию в открытом виде. То есть на пути этой передачи могут оказаться мошенники, перехватить данные вашей карты и использовать её в своих корыстных целях. Отследить такой вид мошенничества крайне трудно. Обычно все становится ясно постфактум, когда деньги исчезли с карты или пароль от вашего аккаунта украден.
Поэтому прежде всего защищаться нужно интернет-магазинам, банкам, платёжным системам, соцсетям, форумам — всем сайтам, которые обрабатывают персональные данные и проводят финансовые транзакции.
То есть такие защищённые сайты не могут взломать хакеры?
SSL защищают сайт от перехвата информации, которой пользователь обменивается с сайтом. А ещё некоторые SSL-сертификаты подтверждают (OV и ЕV), что посетитель веб-ресурса имеет дело с авторизованным сайтом, который принадлежит определённому владельцу. Это особенно актуально к концу года, когда большинство интернет-магазинов анонсируют крупные распродажи к Новому году или Рождеству. Злоумышленники пользуются этим и создают так называемые сайты-клоны и фишинговые страницы.
Но, нажав на замочек, вы сможете убедиться в подлинности организации. Нажав на вкладку «Подробнее», вы найдёте следующую информацию:
- доменное имя, на которое оформлен SSL-сертификат;
- юридическое лицо, которое владеет сертификатом.
Вы хотите сказать, что когда я ввожу свои логин и пароль на сайте, где нет сертификата, их могут украсть?
Да, риск перехвата данных просто зашкаливает. Незашифрованную информацию может перехватить недобросовестный поставщик интернет-услуг, хостер сайта или же злоумышленник, который подключен вместе с вами к одной WI-FI-сети. Ещё один минус незащищённого сайта в том, что на них могут собирать информацию, которую потом продадут сторонним компаниям для таргетной рекламы.
А какие ещё есть плюсы от SSL для владельца сайта?
Например, большинство браузеров и поисковиков активно борются с незащищёнными сайтами. Например, компания Google понижает их в поисковой выдаче и отправляют специальные страницы-предупреждения на экран пользователя.
Кроме того, SSL-сертификат не позволяет перенаправлять пользователей на подменный ресурс, а самим сайтам помогает не нарушать федеральный закон № 152.
Что за закон такой?
Это закон «О персональных данных». Если сайт собирает хотя бы минимальную информацию о пользователях, например ФИО или email, то он становится оператором персональных данных. Согласно закону такие сайты должны соблюдать множество правил по защите данных своих клиентов, и установка SSL-сертификата — одна из них.
Ок, понятно, что сертификат нужен. Он один такой?
Нет, есть несколько видов SSL-сертификатов.
- Второй тип — это OV (Organization Validation) SSL. Главное его отличие в том, что помимо защиты информации на сайте он подтверждает владение доменом конкретной компании. Сертификат выдаётся только компаниям с подтвержденным номером телефона и юридическим адресом. На сайте с таким сертификатом пользователь может найти информацию об организации — владельце сайта, открыв данные сертификата. Выпускается этот тип SSL как правило в течение трёх дней.
- Сертификат EV (Extended Validation) — по сути то же самое, что и OV-сертификат. Главное отличие в том, что при клике на замочек появляется название компании. Дело в том, что в организации детально проверяется и налоговая, и коммерческая деятельность компании. Выпускается EV SSL как правило в течение 5 дней.
Во-вторых, они могут отличаться по количеству доменов и поддоменов, которые будут защищать. SSL-сертификаты отличаются по типу защиты. В этой категории три вида сертификатов:
- Для одного домена — сертификат защитит основной домен или любой субдомен. Такой SSL подойдёт, если клиенты вводят личные данные на какой-то одной странице сайта. Например, такой сертификат подойдёт для личного сайта, блога или промо-страницы.
- Для нескольких доменов одной компании. Сертификат подойдёт компаниям с сайтами-«зеркалами» в других доменных зонах. Или, например, для сайтов с конкурсами и акциями, которые размещаются на отдельном домене.
- Для субдоменов. Этот SSL Одновременно защитит основной домен и все субдомены, на который он выпущен, например выпустить домены* reg.ru или *.b2b.reg.ru. Этот тип подойдёт сайту, у которого есть разделы на субдоменах, например, сайты, на которых можно создавать личные аккаунты — интернет-магазины или банки.
Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции, которые мы упомянули выше:
Так, а где можно получить SSL-сертификат?
Здесь тоже всё просто — в специальных удостоверяющих центрах. Эти центры подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи. Возможно вы уже встречали такие названия таких УЦ, как: GlobalSign, Symantec, Comodo, Thawte, GeoTrust, DigiCert.
Также распространением сертификатов занимаются партнёры УЦ, в том числе и REG.RU.
А зачем мне платить, если есть бесплатные сертификаты, которые выдают просто так?
Также просим вас сохранять бдительность. Если вы видите, что перед вами «крупный» сайт с бесплатным сертификатом — задумайтесь, довольно часто их выбирают мошенники, чтобы вызвать доверие пользователей. Мошенники вряд ли будут связываться с авторитетным УЦ да ещё и платить за то, что можно получить бесплатно.
Что за печать доверия?
Существует два вида печатей:
- Статическая — изображение формата PNG, которое прилагается к сертификатам с проверкой домена. При клике по картинке пользователь попадает на страницу с информацией о сертификате.
- Динамическая — такое же изображение, но без ссылки. При наведении курсора открывается встроенное окно с подробной информацией о компании и сертификате, защищающем сайт.
Когда посетитель видит печать SSL на сайте, он ещё раз убеждается, что соединение с ним надёжно защищено. Можно совершать покупки, денежные переводы и не беспокоиться, что данные перехватят мошенники. И раз доверие пользователей к сайту растёт, значит и конверсия повышается.
Зачем тогда вообще нужны бесплатные SSL?
Эти сертификаты могут стать отличным решением в качестве тест-драйва с возможностью сэкономить на первый год. Например, на нашем сайте вы можете приобрести бесплатный SSL‑сертификат от GlobalSign вместе с доменом или хостингом на год — этого времени должно хватить для старта интернет-проекта, а по мере его роста можно перейти на платный тариф.
А как понять, какой сертификат мне нужен?
На самом деле всё зависит от ваших потребностей. Сначала определитесь какое количество поддоменов вам нужно защитить. Потом задумайтесь о предпочтительной степени проверки вашей компании. От этого и будет зависеть цена SSL. Выбрать нужный сертификат можно на нашем сайте, пройдя специальный квиз. Также обратите внимание, что мы выдаём и бесплатные DV-сертификаты GlobalSign.
Как установить SSL-сертификат? Наверное, сложно?
Не очень. Если вы покупаете сертификат в REG.RU, то вам не нужно ничего делать — этот процесс полностью автоматизирован. Но, если вдруг возникнут какие-то вопросы, вы всегда можете посмотреть интересующую вас инструкцию в разделе про SSL в нашей Базе знаний или обратиться в нашу техническую поддержку.
Надеемся, что наша статья оказалась полезной, и мы помогли вам разобраться в вопросах про SSL-сертификаты. Не забывайте, что ваши клиенты не просто регистрируются на сайте, а доверяют вам свои личные данные. Не подведите их, побеспокойтесь о безопасности сайта уже сейчас!
Что такое HTTPS
Перейдем к понятию SSL/TLS. SSL — это сертификат, который подтверждает подлинность веб-сайта. Аббревиатура переводится как Secure Sockets Layer.
SSL-сертификат подтверждает ваш домен или организации и позволяет установить безопасное соединение. Он содержит индивидуальный ключ вашего домена, с помощью которого информация между сервером и клиентом (вами) зашифровывается.
Протокол SSL был выпущен более 25 лет назад компанией NetScape в нескольких версиях, но ни одна из них не могла полностью обеспечить безопасность данных пользователей. Поэтому в 1999 году компания IEFT создала новую версию сертификата — TLS (Transport Layer Security), которая смогла решить проблемы предшественника. Первые версии протокола сейчас не актуальны, но TLS-соединение 2008 и 2018 года все еще используются в наши дни.
Интересно, что компания IEFT не могла использовать в названии аббревиатуру SSL по юридическим причинам (права на имя принадлежали NetScape), но в обиходе мы до сих пор чаще используем именно название первого протокола.
Правильная настройка работы на вашем сайте SSL-сертификата — это гарантия, что данные между пользователем и веб-сайтом или двумя системами зашифрованы. К таким данным относятся имена, адреса, номера телефонов, номера банковских карт и другая информация. SSL не позволяет сторонним пользователям, в том числе и злоумышленники, воспользоваться ими.
Как работает SSL
SSL-сертификат позволяет установить TLS-соединение с сервером, которое работает по следующей схеме:
Схема работы SSL-сертификата
Все шаги для подключения по безопасному соединению занимают миллисекунды.
Сценарий подключения по TLS-соединению возможен, если сервер воспринимает ваш сертификат как действительный. Если же ваш сертификат невалиден, то вы не сможете подключиться к сайту по безопасному соединению. Невалидным может считаться сертификат, срок действия которого истек. Ошибку также может вызвать самоподписной сертификат. Браузеры принимают только сертификаты, которые были выпущены у сертифицированных центров.
Чтобы проверить валидность сертификата вы можете воспользоваться онлайн-ресурсами. Например, с помощью инструмента «Проверка SSL» от 2IP.
Виды сертификатов
DV — Domain Validation — для подтверждения домена. Это значит, что сертификат подтверждает именно домен сайта, а не его владельца. Он показывает, что подключение защищено, и клиент обменивается зашифрованной информацией с сервером.
OV — Organization Validation — для подтверждения организации и домена. Он позволяет проверить не только домен, но и его владельца. Этот сертификат могут получить как физические, так и юридические лица. OV отлично подойдет для социальных сетей, форумов, интернет-магазинов или других ресурсов с приемом платежей.
EV — Extended Validation — для расширенного подтверждения организации и домена. Сертификат с самым высоким уровнем защиты. Рассмотрение его получения на ресурс самый длительный — сертификационная организация проверяет не только владельца, но и регистрационные данные владельца. Предназначен только для юридических лиц. Его могут заказать финансовые организации, страховые компании, корпоративные сайты и другой крупный бизнес.
Бесплатный SSL-сертификат от Let’s Encrypt
Еще совсем недавно SSL-сертификат можно было либо купить, либо установить самоподписной. Это вызывало ряд проблем: либо его устанавливали на сервера крупный бизнес и сайты с большим потоком посетителей, либо сертификаты не считались браузерами валидными. Это привело к тому, что к большей части сайтов в интернете можно было подключиться только по незащищенному соединению.
Со временем ситуация изменилась. Появилась некоммерческая организация Let’s Encrypt, которая выпускает бесплатные SSL-сертификаты на сайты. Они подходят для небольших информационных сайтов, которые не собирают данные пользователей.
Бесплатный сертификат относится к типу DV (Domain Validation).
Сертификаты Let’s Encrypt отвечают современным стандартам качества: используется 256-битное шифрование симметричным ключом, центр Let’s Encrypt никогда не хранит закрытые ключи на своих серверах, а информация о сертификатах находится в публичном доступе.
Основной минус сертификата от Let’s Encrypt — его действие рассчитано на срок не более 90 дней. Затем его нужно перевыпускать. Сделать это можно как вручную, так и автоматически через планировщик задач Cron. Например у нас можно настроить автоматический перевыпуск сразу в панели. Если вам интересно, вы можете почитать об этом в нашей статье на сайте Beget.
Если вы создаете интернет-магазин, представляете юридическое лицо или планируете собирать данные пользователей, то вы можете установить платный SSL.
Платные сертификаты бывают трех видов (DV, OV, EV).
Их основное преимущество — более высокий уровень защиты данных пользователей и гарантия сертифицированного центра. В случае, если сессионный ключ сертификата будет взломан, то центры обязуются выплатить гарантийную сумму пользователю. При возникновении проблем с сертификатом вы всегда сможете обратиться в техническую поддержку центров, чтобы решить проблему.
Сертифицированные центры (CA)
Итак, если вы решили выпустить SSL-сертификат на ваш сайт, то вы можете обратиться к доверенным сертифицированным центрам (CA, Certification authority). Вот неполный список проверенных центров:
- Let’s Encrypt. Проверенная и надежная организация, которая выдает бесплатные SSL. Проект поддерживают материально многие крупные IT-компании, чтобы интернет стал безопаснее.
- GlobalSign by GMO. Один из самых крупных сертифицированных центров. GlobalSign выпускают SSL-сертификаты с 1996 года. Центру доверяют такие компании, как Microsoft, Netflix, Airbnb.
- Sectigo (бывший Comodo). Также один из самых авторитетных центров для получения сертификата. К сожалению, в данный момент не работает на территории РФ.
- Symantec. Компания выпускает большое количество продуктов для IT-сферы, которые признают по всему миру, уже около 30 лет. Не выдают сертификаты пользователям из РФ.
При выборе сертифицированного центра важно обращать внимание на его достоверность. Популярные браузеры регулярно проверяют качество сертификатов от разных сервисов. В случае нарушения правил безопасности, сертификаты от некоторых компаний становятся несовместимыми с браузером.
Выпуск SSL-сертификата через хостинг
Другой способ выпустить сертификат – обратиться к своему хостинг-провайдеру. Обычно хостинг-провайдеры становятся партнерами с сертифицированными центрами.
Выпуск сертификата у вашего провайдера значительно упрощает процесс, ведь вы можете заказать, установить и настроить его в одном окне.
В этой части мы покажем, как заказать SSL у хостинга, на примере Панели Управления Beget.
Кликнув на иконку щита, вы перейдете на страницу для выпуска или установки сертификата.
Важно, что SSL-сертификат выпускается со стороны сервера, на котором он находится. Поэтому для выпуска SSL вам нужно обращаться к хостингу, на котором расположены файлы вашего сайта.
Вот и все!
Несколько простых шагов и на вашем сайте установлен SSL-сертификат.
Настройка редиректа на HTTPS
Если же ваш сайт работает через популярные CMS, такие как WordPress, Joomla или Bitrix, то настройка редиректа займет немного больше времени. Вам на помощь придут плагины и дополнительные инструкции.
2. Также вы можете воспользоваться этой инструкцией;
Такие инструкции существуют для всех популярных CMS. Найти вы их сможете в Google или Яндекс по запросу «mixed content» или «смешанное содержимое» с добавлением названия вашей CMS.
Мы считаем, что обеспечить безопасность данных пользователей — важная задача для тех, у кого есть собственные онлайн-ресурсы. Надеемся, эта статья помогла вам разобраться в том, что такое SSL-сертификат, и интернет станет безопаснее
Иногда при попытке зайти на сайт можно увидеть в браузере предупреждение о том, что сайт небезопасный. Формулировки могут быть разными, но говорят об одном – возникли проблемы с сертификатом сайта. Разберемся, что это такое, почему возникают такие ситуации и что с этим делать.
Зачем сайту нужен сертификат безопасности
Кратко механику протоколов можно объяснить так:
И когда браузер сообщает о проблемах с сертификатом безопасности, речь идет именно о SSL-сертификате.
Понять, что соединение не защищено, можно и по специальным значкам в адресной строке. Если на них кликнуть, появляется окошко с дополнительной информацией.
Браузеры блокируют доступ не ко всем сайтам с незащищенным соединением. По сути, если пользование веб-ресурсом не предполагает ввод конфиденциальной информации, особых рисков при просмотре его страниц нет. Но если вы переходите по ссылкам, надо быть внимательным – вредоносный код может изменить адрес ссылки, и вы попадете на похожий, но фейковый сайт.
Если же на сайте принимаются платежи, нужна регистрация с вводом данных – наличие SSL-сертификата обязательно. Также поисковые системы лучше ранжируют безопасные для пользователей ресурсы.
Важно! Не всегда предупреждение браузера действительно говорит о том, что соединение небезопасно. Проблема может быть на стороне пользователя или сервера, но рисков это не несет. Рассказываем, почему так получается и что нужно делать.
Проверить дату и время на своем гаджете
Если время на ПК сбилось и не соответствует времени на сервере, сертификат не может пройти проверку. После установки правильного времени компьютер нужно перезагрузить. Если проблема повторяется, возможно, стоит заменить батарейку на материнской плате.
Обновить корневые сертификаты
Проверка проходит в несколько уровней, и если отсутствуют «главные» корневые сертификаты, то сертификаты сайтов система не распознает. Если у вас отключено автоматическое обновление ПО, то и новые сертификаты вы могли не получить. Обновить их можно, скачав с официальных сайтов производителя вашей операционной системы (скачивание со сторонних ресурсов – небезопасно!).
Установить сертификаты вручную
Важно! Используйте этот метод, только если вы полностью доверяете сайту.
Проверить работу антивируса
Антивирусные программы оценивают безопасность соединения по многим критериям, и иногда могут блокировать доступ к вполне трастовым ресурсам. Попробуйте отключить защиту и зайти на сайт. Но вводить там свои данные можно, только если вы полностью доверяете ресурсу. И, возможно, стоит задуматься о смене антивирусного ПО.
Нерекомендуемые методы
В Интернете можно найти и другие способы решения проблемы с сертификатом сайта – добавление ресурса в список трастовых (доверенных) сайтов, отключение самой проверки, установка пакета собранных автором поста сертификатов и т.д. Используя такие подходы, вы должны понимать, что это высокорисковые решения, и ответственность за сохранность ваших данных полностью ложится на вас.
Для начала определитесь, какой именно сертификат нужен вашему сайту:
Есть еще самоподписанные сертификаты – это «техническое» решение, которое используют для тестирования или во внутренней сети (с установкой на все машины). Для сайтов в Интернете они не пользуются.
Важно! Большинство сертификатов выдаются на один конкретный домен (поддомен также считается отдельным доменом). Поэтому, если поддоменов много, есть смысл получить сертификат из категории Wildcard (распространяется на домен и все поддомены одного уровня) или SAN (обеспечивает защиту до сотни доменов, причем они могут быть размещены на разных серверах).
Для получения OV и EV сертификата нужно предоставить удостоверяющему центру пакет документов, выпуск займет от 3-5 дней.
Процесс установки сертификата может отличаться в зависимости от хостинга и ПО сайта, но обычно подробную информацию можно найти в разделах помощи. Самый простой вариант – заказать услугу установки сертификата. Например, такая возможность есть на сайте RU-CENTER.
Настроить переадресацию с http на htpps
Для этого понадобится внести создать или внести изменения в существующий файл .htaccess.
Убрать смешанный контент
В случае с популярными CMS это решается плагинами, для сайта без CMS или на CMS собственной разработки будет необходим специальный скрипт.
Следить за сроком действия сертификата
SSL-сертификаты выдаются сроком на 1 год. Когда это время истечет, сертификат будет считаться недействительным – его нужно перевыпустить.
Если все установлено правильно, но проблема наблюдается – обратитесь в службу поддержки хостинга. Иначе посетители вашего сайта будут получать столь неприятное сообщение о небезопасности вашего ресурса.