SSL-сертификат для сайта

SSL-сертификат – важная часть системы безопасности в Интернете. Представляет собой электронную подпись, выпущенную Центром сертификации, которая удостоверяет подлинность веб-сайта, проверяя владельца доменного имени или реальность компании. Позволяет приступить к процедуре согласования механизма шифрования на основе публичного ключа. Необходимость SSL-сертификата обусловлена полным отсутствием безопасности при передаче данных по устаревшему протоколу HTTPS, что открывает все возможности по краже персональной инфомации, банковских реквизитов, платежей, паролей. Это актуально для всех ресурсов, потому что интернет представляет собой глобальный механизм обмена данными, но особенно HTTP протокол опасен для интернет-магазинов.

Студия веб-дизайна включает в стоимость разработки сайтов заявку на выпуск и установку SSL-сертификата.

Wildcard.

Так же изначально стоит определиться – нужна ли защита поддоменов, то есть доменов третьего уровня, потому что в этом случае нужно заказывать - выпуск сертификата с поддержкой поддоменов. Такая опция называется Wildcard и доступна в качестве дополнительной услуги.

Разновидности SSL-сертификата.

Основное различие – по уровню проверки. То есть решается главная задача – точно установить подлинность или степень доверия сайта, который пользователь желает посетить, исключив таким образом мошеннические схемы, дорвеи, фишинговые ресурсы.

Domain Validation (DV).

Минимальный класс проверки, проверяется право собственности на домен. При регистрации доменного имени вводятся персональные данные, подлинность и наличие которых проверяется. Даже если ресурс мошеннический это позволит установить его владельца. DV сертификат доступен всем, выпуск его могут заказать физические и юридические лица.

Organization Validation (OV).

Отличный выбор для бизнеса по цене-надежности. OV сертификат только для юридических лиц, чтобы заказать его выпуск необходимо предоставить реквизиты компании, подтвердить реальность ее существования. Проводится проверка организации и подтверждается ее подлинность, что отражается на позициях в органической выдаче.

Extended Validation (EV).

Самый надежный вид SSL-сертификатов. Центр сертификации при заявке на выпуск потребует документы организации, ряд подтверждений, включая прохождении регистрации в надежных Справочниках и сервисах интернета. Доступен только юрлицам. Выдается именной сертификат.

HTTPS протокол.

HyperText Transfer Protocol ничем не защищен. Данные передаются в открытом виде, а потому доступны для перехвата, изменения, то есть фишинга и другого мошенничества. Это недопустимо, особенно при проведении онлайн-оплат, передачи персональных данных. HyperText Transfer Protocol Secure по сути аналог HTTP только с дополнением в виде системы защиты и шифрования данных, которая работает на основе SSL-сертификата, подтверждающего подлинность сайта. При этом в схеме задействуется Центр сертификации, который проводит проверку на легальность .

Ключи шифрования.

Вторым этапом создания безопасного соединения идет синхронизация способа шифрования и синхронизация публичного ключа. Используются ассиметричный и симметричный ключ. Ассиметричный, то есть частный, принадлежит серверу, с его помощью с браузером пользователя синхронизируется публичный ключ. Симметричное шифрование используется в качестве основного для обмена данными по безопасному соединению.

Схема работы протокола HTTPS.

Когда пользователь обращается с помощью браузера к веб-сайту создается пользовательская сессия. При этом автоматически срабатывают следующие механизмы безопасности.

• Браузер отправляет запрос на предоставление сервером своего SSL-сертификата. В данном случае сервером выступает арендованный для сайта хостинг.
• Веб-сайт предоставляет сертификат – заверенную Центром сертификации электронную подпись с определенным уровнем проверки.
• Браузер связывается с Центром сертификации, после проверки легитимности подписи получает отказ или подтверждение.
• С помощью ассиметричного шифрования сервер начинает создание безопасного соединения, отправляя браузеру пользователя свой публичный key.
• На его основе, используя симметричное шифрование, в установленной сессии пользователя начинается передача данных.

Преимущества HTTPS протокола.

• Безопасность. Если соединение работает по безопасному HTTPS протоколу значит все персональные данные надежно защищены, в том числе информация банковской карточки, логины и пароли.
• Улучшение ранжирования в органической выдаче. Защищенное соединение вызывает доверие поисковых систем, а значит SEO-оптимизация работает максимально эффективно.
• Доверие пользователей. Отсутствие предупреждающих знаков и сообщений, что положительно сказывается на поведенческих факторах.

Выбор SSL-сертификата.

Если Вы зарегистрированы как физическое лицо, то доступен только DV сертификат. Для юрлиц никаких ограничений нет. Domain Validation (DV) – начальный уровень, только шифрование, без подтверждения бизнес-статуса компании. Не рекомендованы для интернет-магазинов и биллинговых систем. ТDomainSSL и AlphaSSL наиболее популярны. Они часто выдаются бесплатно на хостингах или у регистраторов доменных имен, поддерживаются браузерами мобильных устройств.

• GlobalSign AlphaSSL (Wildcard).
• QuickSSL premium от GeoTrust.
• GlobalSign DomainSSL (Wildcard).
• Thawte, Comodo.

SSL-сертификаты бизнес-класса.

Рекомендуются для тарифов по разработке сайта «Лидер Поиска». Аттестационный центр проверяет и выдает подтверждение бизнес-статусу компании. OrganizationSSL с опцией Wildcard наиболее доступен и популярен на Российском рынке, с проверкой Malware и фишинга. Предоставляется логотип GlobalSign Trusted Site в качестве дополнительного уровня доверия, в виде кода.

EV SSL с расширенной проверкой.

Рекомендованы для тарифа «Сайт для бизнеса». Наивысший класс доверия и защиты. Гарантия блокировки фишинговых атак и взломов. Для получения организации необходимо пройти расширенную процедуру проверки. Выдается только юрлицам. ExtendedSSL дает массу дополнительных преимуществ – название компании в адресной строке браузера, шифрование в 256 бит, неограниченное бесплатное переиздание.

Выпуск и установка SSL-сертификата.

Определитесь с выбором – DV, OV или EV класс. Для этого придется пройти различные процедуры по выпуску и его установке. Для DV процедура максимально проста – у регистратора доменного имени или на хостинг заказываете выпуск сертификата, после чего он установится автоматически. Важной особенностью является активация опции редиректа на HTTPS протокол.

Для OrganizationSSL и ExtendedSSL процедура более сложная, требующая времени – до 10 дней, отправки по требованию документов компании. Рекомендуется для ускорения процедуры зарегистрироваться в Яндекс.Справочнике, 2GIS.

Установка на сервере.

Потребуются файлы с расширением .txt и .key, отправленные на e-mail заказчика. Так же потребуется изменить HTTP-ссылки на HTTPS, что усложняется при использовании проекта на CMS типа Wordpress, иначе поисковые системы не посчитают web-сайт безопасным. В этом поможет редирект 301, прописываемый в файле .htaccess. После установки желательно провести проверку корректности работы, введя в адресной строке браузера соответствующие запросы на главную страницу сайта и дочерние веб-страницы.

Переезд сайта в вебмастере.

Яндекс/Google необходимо сообщить о работе проекта на безопасном протоколе. Для этого придется подтвердить свои права и заказать сам переезд в настройках вебмастера. Переиндексация займет 2-4 недели. В Google работы выполняются в Google Search Console.