SSL сертификат и протокол: что это, виды, зачем нужен, влияние на SEO, как получить и установить

Александр Овсянников
Обновлено: 16.03.2020
Рубрика: Защита сайта
SSL сертификат и SSL протокол
4
(4)

SSL-протокол (Secure Sockets Layer) – это уровень защищенных сокетов, который применяют владельцы многих современных веб-сайтов с целью защиты информации в интернете. Благодаря данному протоколу обеспечивается безопасное соединение между браузером, через который пользователь посещает ресурс, а также сервером, где он находится. Суть протокола SSL заключается в том, что он шифрует передаваемые данные с помощью HTTPS, раскодировать которые возможно лишь посредством специально предназначенного для этого ключа. В HTTP такой защиты данных нету. Есть одно важное условие: чтобы SSL-протокол функционировал на сайте, его владельцу нужно обзавестись SSL-сертификатом.

SSL-сертификат – это своеобразная цифровая подпись ресурса, которая для каждого из них является уникальной. Установка данного сертификата обязательна для платежных систем, банковских и прочих учреждений, которые в своей работе не могут обойтись без получения персональных данных своих клиентов, необходимых для защиты денежных переводов и предотвращения получения доступа к информации сторонними лицами.

Содержание

Что такое SSL простыми словами

Наверняка вы все видели пару-тройку детективов на шпионскую тематику. В этих фильмах главные герои часто обмениваются со своими партнерами информацией, посылая ее в другие страны. Но так как информация очень важная, нужно предотвратить возможность ее перехвата. Для этого шпионы договариваются об использовании уникального шифра, о котором знают только они.

Допустим, у сообщников есть одинаковые книги. Один шпион отправляет письмо другому, начиная писать привычными нам словами, а последующие заменять на цифры. Так, цифра «285» означает, что нужное слово необходимо отыскать на второй странице книги, на восьмой строчке и пятым по счету. Разумеется, любой, кто перехватит подобное письмо, ничего не поймет и не сможет узнать, где искать расшифровку. А вот сообщник, имея в руках аналогичную книгу, по которой и зашифровывалось послание, с легкостью разузнает каково содержание текста.

По схожему принципу работает протокол SSL в интернете. Но вы с сообщником с каждой новой передачей данных меняете книгу. Еще важно отметить, что эти книги уникальны и их нет ни у кого другого, кроме вас с сообщником. Добавьте к этому еще и тот факт, что послания отправляются не обычной почтой, а быстрым и надежным механизмом, который можно сравнять с ястребом, летящим с неимоверной скоростью к месту назначения, и птица лучше умрет, чем позволит кому-то постороннему отобрать ваше послание.

Ваш сайт в данной ситуации – это вы. А сообщником является ваш хостер-провайдер. Передаваемые сообщения – это вся информация, которую пользователи оставляют на вашем веб-ресурсе: email-адреса, логины, пароли, номера электронных кошельков, банковских карт и прочее. Неуловимым ястребом выступает цифровой канал, соединяющий ваш сайт и сервер. Весь этот процесс присущий SSL-протоколу, для работы с которым необходимо предварительно приобрести соответствующий сертификат, являющийся для сайта таким же документом, что и паспорт для человека.

Для чего нужен?

Из всего вышесказанного понятно, что основным предназначением SSL-сертификата является безопасность информации, которая передается на просторах Всемирной сети, а также ее защита от взломов и использования в своих целях хакерами. Особенно важно функционирование сертификата в сфере финансов и на веб-ресурсах, где обрабатываются личные и конфиденциальные данные клиентов.

Можно ли взломать SSL протокол?

Система хоть и сложная, но несовершенна, поэтому в теории взломать ее можно. На многочисленных конференциях различные специалисты в своих докладах даже приводили примеры, как злоумышленники могут не только перехватить сообщения, защищенные SSL, но и расшифровать их.

Но все эти варианты не очень привлекательны для мошенников из-за того, что требуют либо сильных знаний, либо очень много времени на реализацию. Насколько много? Настолько, что для расшифровки одной «буквы» из данных можно потратить около трех часов. Такими методами взламывать персональные данные клиентов нет смысла. Поэтому считается, что SSL протокол пока невозможно взломать так, чтобы это принесло плоды злоумышленникам.

Но если задаться вопросом, действительно ли ваш ресурс и ваши личные данные в безопасности, ответ на него получится неоднозначным. SSL не может гарантировать стопроцентную защиту информации.

В чем главная опасность SSL сертификата?

Рассматривать проблему нужно глобально. Даже если у вас с сообщником есть две одинаковых и уникальных книги, вы не можете быть уверенны, что мошенник не спрячется на чердаке вашего дома и не рассекретит тайны вашего шифра. Он может подсмотреть, что вы пишите в послании, и у него даже пропадет необходимость расшифровывать текст, потому что он считает его до того, как вы сделаете это.

Подобная ситуация происходит и с сайтами в интернете. Подключенный SSL не дает стопроцентной гарантии, что на ресурсе нет вредоносных ПО либо вирусов, способных считывать все данные, которые пользователи вводят в соответствующие поля при осуществлении платежей. Еще одна проблема заключается в том, что получить простейший SSL сертификат ни для кого не проблема.

Тот же сертификат DV (Domain Validation) для подтверждения домена является сегодня самым популярным, потому что для его подключения владельцу сайта необходимо лишь подтвердить наличие доступа к email адресу, на который зарегистрировано доменное имя. Никто даже не будет проверять веб-ресурс, то есть, что он из себя представляет, с какой целью создан, чем занимается и есть ли на нем вирусы.

Такая «раздача» сертификатов выгодна для хакеров. Они могут создавать веб-ресурсы, подключать бесплатные SSL и под видом «хорошего» сайта собирать вашу персональную информацию. Разумеется, на сервер сайта они попадут безопасным путем, но как данными будут распоряжаться дальше, можно только догадываться.

Ключевая проблема и, по сути, опасность наличия SSL состоит в том, что обычный пользователь, переходя на защищенный HTTPS протоколом сайт, ошибочно полагает, что его личные данные находятся в безопасности. Аналогичная ситуация происходит и с HTTP протоколом. То есть, сайт может быть действительно хороший и его владелец не собирается красть никакие данные, но отсутствие сертификата заставляет пользователя сомневаться и делать выбор в пользу «защищенного» веб-ресурса, созданного хакером.

И Google своими заявлениями о влиянии SSL-сертификата на ранжирование сайтов запутывает ситуацию еще больше. Ресурсы без HTTPS стали помечаться как «небезопасные», что не добавило им привлекательности в глазах рядовых пользователей. Из-за этого многие вебмастера начали стремительно переходить на SSL, который в свою очередь не то что бесполезный для некоторых ресурсов, но даже и вреден.

Как работают сертификаты?

Чтобы вы смогли получить SSL сертификат, первым делом нужно составить соответствующий запрос для выпуска сертификата. Называется запрос Certificate Signing Request. Формируя его вам потребуется ответить на некоторые вопросы касательно деятельности вашего домена и организации. По окончанию процедуры ваш сервер создаст два вида криптографических ключа:

  1. Public-key (публичный ключ). Шифруется пользовательский трафик: от браузера к серверу.
  2. Private-key (приватный ключ). Расшифровывает переданные данные на сервере.

Публичный ключ, как уже понятно из названия, не секретный и помещается в CSR запрос. Выглядит он примерно так:

-----BEGIN CERTIFICATE REQUEST-----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 Px9x4fm+/xHqkhkR79LxJ+EHzQ==
 -----END CERTIFICATE REQUEST-----

Данные, содержащиеся в публичном ключе, вы можете проверить в сервисе CSR Decoder.

Если вставить CSR в специальную форму для расшифровки, то отобразится вся информация, содержащаяся в публичном ключе:

  • Common Name: tuthost.ua — домен, к которому подключается сертификат
  • Organization: TutHost — название компании, которой принадлежит доменное имя
  • Organization Unit: Hosting department — подразделение компании
  • Locality: Kiev — город, где располагается офис компании
  • State: Kiev — область
  • Country: UA — двухбуквенный код страны, где располагается офис
  • Email: support@tuthost.com — контактный email технического администратора или службы поддержки

Важно. Посмотрите еще раз на поле Country. Его формат допускает исключительно двухбуквенный код согласно стандарту ISO 3166-1. Если вы не знаете двухбуквенный код вашей страны, посмотреть его можно в таблице ISO-3166-1. Это важный момент, потому что многие вебмастера часто допускают ошибку при формировании запроса на получение сертификата, неправильно указывая код стран. В результате все, кто допустил ошибку, получают отказ в предоставлении сертификата.

После составления CSR можно оформлять заявку на выпуск SSL-сертификата. В ходе данной процедуры центр сертификации изучит данные, предоставленные вами, и если проверка пройдет успешно, далее будет выпущен сертификат с вашими данными, после чего на сайт можно подключать HTTPS.

Сервер вашего веб-ресурса в автоматическом режиме подключит полученный вами сертификат с уже сгенерированным приватным ключом. С этого момента сайт обеспечивает безопасное и зашифрованное соединение с браузерами пользователей.

Какие данные содержит в себе SSL сертификат?

  • полное, достоверное и уникальное имя владельца сертификата;
  • public-key владельца;
  • дата, когда был выдан сертификат;
  • дата, до которой действует сертификат;
  • полное и уникальное название центра выдачи сертификатов;
  • цифровая подпись издателя.

Нужен ли сертификат вашему сайту?

Если деятельность вашего веб-ресурса подразумевает сбор и обработку персональных данных посетителей, в числе которых номера электронных кошельков, банковских карт, паспортные данные и тому подобное, то ответ очевиден – сертификат необходим. Гарантировать и обеспечить защиту информации, предоставленной посетителями на вашем сайте – это ваша обязанность. В противном случае вы станете соучастником мошенников.

Ну а если у вас не интернет-магазин, а просто информационный сайт или блог? Стоит ли тратить время на получение сертификатов и установку протоколов? Многие владельцы информационных сайтов кинулись получать сертификаты. А все из-за ложных слухов. Поговорим о самых распространенных из них, которые пугают вебмастеров.

Заблуждение №1. Google пометит сайт как «Небезопасный» и я потеряю трафик

Google Chrome отображение без SSL сертификата

Поисковый гигант довольно давно пугает вебмастеров внедрением в новую версию браузера Chrome функции, благодаря которой HTTP сайты будут отображаться красным значком, свидетельствующим о незащищенном соединении на нем. Но на деле ничего страшного не произошло. Сейчас в адресной строке рядом с доменом ресурса, не имеющего SSL сертификата, просто отображается круглый значок «i», а рядом обычным шрифтом (не крупным, не жирным) черным по белому написано «Не защищено».

А вот в Яндекс Браузере это внедрено и там красуется красный треугольник у сайтов на http.

Яндекс браузер отображение сайта без SSL сертификата

Заблуждение №2. В поисковой выдаче Google выше находятся HTTPS сайты

Как раз этот «слушок» заставил огромное количество вебмастеров переходить на SSL. Многие ошибочно подумали, что это легкий способ подняться в ТОП выдачи и оставить позади более качественные сайты с интересным контентом, просто подключив HTTPS-протокол.

По факту же приобретение SSL-сертификата напрямую никоим образом не влияет на ранжирование сайтов в поисковой выдаче. Если не слушать мифы, сформировавшиеся различными «специалистами», а лично прочитать официальное заявление компании Google, то там вы увидите, что влияние SSL как сигнала ранжирования не будет превышать даже 1 процента от общего числа остальных факторов.

Да, представители компании говорили, что значимость данного фактора с каждым годом будет становиться все сильнее, однако на деле ничего не менялось. Больше официальных заявлений касательно данной темы не делалось. А за этот период тысячи веб-ресурсов переходили на https, и делали это не правильно, поэтому некоторые вылетали даже из индекса.

Поисковый гигант никак не комментировал происходящее до весны 2017 года. А в апреле месяце в ходе переговоров сотрудников Google и MOZ было выяснено, что роль SSL в качестве фактора ранжирования увеличиваться на будет.

Переписка сотрудников MOZ и Google
Представитель Google сообщает сотруднику MOZ, что роль SSL в ранжировании сайтов увеличиваться не будет

Поисковая система просто провела эксперимент, желая выяснить, удастся ли повысить качество выдачи после включения SSL в сигнал ранжирования. Эксперимент провалился, значит и добавлять роль HTTPS нет смысла. Даже если ввести в выдачу Google запрос «контент план», вы увидите, что на первой позиции находится обычный HTTP сайт, а за ним уже ресурсы с SSL-сертификатом. То есть качество контента остается приоритетным в продвижении сайта.

Запрос "контент план" в выдаче Google

Заблуждение №3. Перейти на SSL можно в кратчайшие сроки и без рисков

На деле же процедура перехода не такая безопасная и оперативная. Первая проблема, с которой столкнется любой вебмастер, уже имеющий сайт минимум пару-тройку лет – обнуление истории сайта. Потому что сайт на http и на https это два разных адреса. То есть, поисковики воспринимают ресурс на https:// как совершенно новый, а все его страницы будут заново проиндексированы. Есть риск, что они займут далеко не такие привлекательные позиции, что были раньше.

Самим же поисковым системам очень не нравятся резкие изменения на ресурсах. Поисковый гигант предоставил список под названием «Best practice», где показаны все успешные переезды сайтов с http на https. И самое печальное, что наиболее успешным является результат, когда ресурсу удалось вернуть себе прежнюю посещаемость лишь через 2 месяца. Что уже говорить об улучшении результатов.

Значит от приобретения сертификата SSL огромной пользы и ошеломляющих результатов в продвижении сайта вы не получите, а вот столкнуться с проблемами – вполне вероятно. Подключение SSL требует максимальной концентрации. Если допустить даже незначительную ошибку в настройках, то сайт рискует вовсе вылететь из индекса, причем вернуться туда очень трудно.

Ярким примером такой ошибки является неправильная настройка функционирования http и https версий ресурса, в результате чего на всех страницах начнет отображаться предупреждение о том, что «Сайт небезопасен! Не удалось проверить сертификат! Срочно уходим со страницы!».

А если не переделать внутренние ссылки страниц сайта, то после перехода на HTTPS они просто не будут работать, из-за чего нарушится равномерное распределение ссылочной массы.

Еще есть риск, что сертификационный центр, выдавший вашему ресурсу соответствующий документ, заблокируют. Казалось бы, вы не должны отвечать за проступки организации, но сертификат все равно станет недействительным, и вам надо будет искать новую компанию.

Учитывая все вышесказанное назревает логичный вывод, что владельцам существующих блогов и информационных ресурсов на сегодняшний день нет смысла стремиться к переезду на SSL-протокол, потому что связанные с ним временные или даже постоянные проблемы того не стоят.

Но все зависит от вашего трафика. Если у вас очень посещаемый ресурс, то я бы не рисковал переводить сайт на https. А если вы создаете новый сайт, то поставить ssl сертификат — будет не лишним. Тем более сейчас есть бесплатные сертификаты.

Причины для установки сертификата

Если история с получением SSL сертификатов такая неоднозначная и может нанести ущерб, то почему они такие популярные? Кажется очевидным, что информационным сайтам сертификат не нужен, потому что они не оперируют личными данными, предлагая пользователям лишь контент. Неужели вебмастерами руководит лишь страх из-за заявлений Гугла?

Но все не так просто. Дело в том, что SSL обладает рядом преимуществ. Рассмотрим основные причины, по которым стоит переходить на HTTPS даже обычным сайтам:

  1. Защищенные данные. Это, как уже было сказано, главная задача сертификата. Обрабатывая личную информацию посетителей просто жизненно необходимо шифровать ее для передачи к серверу. Нужно понимать, что один лишь SSL-сертификат не спасет абсолютно от всех проблем с безопасностью передаваемой информации, так как хакеры способны «выкачать» ее еще до того, как пойдет передача на сервер. Но то, что SSL является одним из основных способов снижения уязвимости сайта – это факт.
  2. Доверие к ресурсу со стороны пользователей и поисковиков. Сегодня поисковые системы рядом с адресной строкой браузера отображают, какие сайты защищены SSL-протоколом, а какие – нет. Об этом сигнализирует наличие или отсутствие зеленого замка, а в Яндекс Браузере, так вообще горит красный треугольник. Пользователи уже давно привыкли к тому, что на всех авторитетных и проверенных источниках установлены соответствующие сертификаты для защиты персональных данных. С большой вероятностью многие рядовые пользователи даже не знают, зачем нужен SSL. Но они настолько сильно привыкли к зеленому замочку или надписи «Защищено», что видя сайты без аналогичных элементов переходят на них неохотно или вовсе избегают.
  3. Взаимодействие с изобилием сервисов. Сервисы по типу Голосового помощника Google Chrome или платежные системы, такие как Яндекс.Деньги, работают исключительно с ресурсами, где установлен HTTPS-протокол. Если вы хотите, чтобы ваш сайт мог работать с ними, то без SSL-сертификата не обойтись.
  4. Реклама по общедоступному Wi-Fi. Уверен, многие из вас наблюдали непривычную рекламу на часто посещаемых веб-ресурсах, заходя на них с устройства через общедоступную Wi-Fi сеть торговых центров, магазинов или различных заведений. Загвоздка заключается в том, что практически все бесплатные Wi-Fi точки работают не только для того, чтобы вам было удобно, но еще и с целью монетизации входящего трафика. Они могут внедрять рекламу на сайт без SSL сертификата. И чем больше читателей с подобных точек могут посещать ваш сайт, где используется незащищенный HTTP-протокол, тем сложнее ситуация. Начинает отображаться чрезмерное количество рекламы, которой по факту нет на сайте, ее встроили мобильные операторы или WI-fi провайдеры. И это негативно влияет на поведенческие факторы и монетизацию вашего ресурса.
  5. SSL косвенно влияет на ранжирование. Об этом заявил только Google. В теории, при прочих равных поисковик будет ставить в приоритет защищенный сайт, поднимая его на более высокие позиции в результатах выдачи. Но так как доля данного сигнала ранжирования будет составлять меньше 1 процента от общего числа факторов, оценивающих качество веб-ресурса, которых более тысячи, его роль мизерная. И никакого практического подтверждения таких сообщений нет. Что касается Яндекса, то HTTP и HTTPS-сайты для поисковой системы равны. Но поисковик призывает устанавливать SSL владельцам сайтов, где посетители покупают товары, заказывают услуги и осуществляют прочие транзакции. Вывод такой, что наличие SSL не оказывает непосредственного влияния на ранжирование в поисковой выдаче, однако делает это косвенно, и через поведенческие факторы в частности. Поэтому есть смысл подключать его.
  6. Не возможно рассылать пуш-уведомления. Рассылка таких уведомлений работает, только на https сайтах. Конечно можно реализовать подписку в два клика, но это очень влияет на конверсию в подписку.

Каким сайтам нужен сертификат?

Сертификат SSL обязательно нужен интернет-магазинам, банковским учреждениям, социальным сетям, почтовым сервисам, платежным системам и прочим веб-ресурсам, где пользователи вводят персональные данные для совершения финансовых операций.

Сайтам и блогам, содержащим только информационный контент и не обрабатывающим данные посетителей, а также не поддерживающим финансовые операции, получать сертификат с теоретической точки зрения необязательно. Но с практической, советую его все равно устанавливать.

На заметку. Собираясь создать новый веб-ресурс, даже информационный, рекомендуется сразу подключить SSL-протокол, тем более что сделать это можно бесплатно. Так вы избавитесь от необходимости менять главное зеркало сайта в случае дальнейшего перехода с http на https. Даже если наличие SSL не поможет в ранжировании, доверие к ресурсу со стороны пользователей будет куда выше, что особенно важно для новых проектов и наличие сертификата не позволит встраивать в ваш сайт стороннюю рекламу от интернет провайдеров.

Влияние на SEO

На сегодняшний день веб-сайты, у которых есть HTTPS протоколы, не приоритетнее HTTP сайтов при ранжировании в выдаче поисковых систем. Но есть поведенческие факторы, основывающиеся на том, как пользователи ведут себя на страницах сайта и с каких браузеров.

Предупреждения о том, что соединение с сайтом незащищенное, в теории может оказывать негативное влияние на пользовательские сигналы, следом за этим падают и позиции сайта в результатах выдачи.

Но это проблемы, с которыми сталкиваются вебмастера при отсутствии сертификата SSL. А что же их ждет при переходе на SSL? Как уже упоминалось выше – необходимость изменения главного зеркала ресурса. При переезде с протокола http на https из поисковой выдачи исчезают все старые страницы. Поисковик индексирует страницы с новым протоколом, воспринимая их как новые, ранее не существовавшие в базе данных. Так у вас нет гарантий сохранения не только нынешних позиций сайта и трафика, но также и страниц в выдаче.

Рассмотрим два примера переезда с HTTP на HTTPS протокол.

Пример №1. Переход на HTTPS информационного сайта

Переход информационного сайта с http на https

После анализа посещаемости инфосайта на Яндекс.Метрике график показывает, что трафик упал именно в период изменения главного зеркала ресурса и индексации «новых» страниц ботами поисковиков. Но дальше посещаемость не просто вернулась к прежним показателям, а даже выросла. Однако трафик вырос не из-за перехода на HTTPS-протокол, а потому что владелец ресурса работает над качеством контента. Еще отмечу, что переход на защищенный протокол запланировали одновременно с переходом ресурса на новый сервер – это дало возможность избежать перебоев в работе ресурса.

График в очередной раз доказывает, что снижение посещаемости и падение позиций в поисковой выдаче несут временный характер, а вот какого-то сильного влияния HTTPS на рейтинг ресурса не наблюдается.

Пример №2. Переход на HTTPS интернет-магазина

Переход интернет-магазина с http на https

Представляем вам график посещаемости одного из популярнейших ресурсов по продаже пляжной одежды. Красные линии – это период перехода на протокол HTTPS. Подчеркну грамотные действия владельца сайта – переезд он организовал в декабре месяце, когда люди не особо заинтересованы в покупке купальников и прочих пляжных атрибутов.

Потеря трафика произошла одновременно с естественным падением спроса в нише в несезонный период, поэтому выражена не так ярко. Как только роботы проиндексировали новые страницы, посещаемость и позиции сайта быстро вернулись на прежние показатели. Но учтите, что веб-ресурс авторитетный и существует давно, от того и переиндексация прошла быстрее и менее проблематично.

Это лишь два примера и глядя на них думать, что все пройдет гладко не следует. Есть много примеров, когда сайт переезжал с http на https и подвергался большому ущербу. Но я показал два примера грамотного и правильного перехода, когда процедура проходит практически без последствий.

Что такое центры сертификации (CA)?

Центр сертификации – это компания, у которой есть законное право выдавать цифровые сертификаты веб-ресурсам. Перед тем, как предоставить сертификат, организация занимается проверкой данных, которые владельцы сайтов предоставляют в CSR запросах. Сертификаты есть разные, но для получения самого простого вебмастеру достаточно лишь пройти процедуру проверки соответствия домена. Более дорогие сертификаты выдаются лишь после многочисленных проверок непосредственно компаний, желающих их получить.

Самоподписные сертификаты, полученные бесплатно, отличаются от выданных СА платно тем, что в последних данные проверены соответствующей организацией, а при их использовании у посетителей вашего ресурса никогда не выскочит ошибка.

В сертификатах SSL хранятся данные про доменное имя, название вашей фирмы, ваш адрес, дату окончания действия документа и название центра, выдавшего сертификат. Браузер подключается к ресурсу, получает SSL сертификат и начинает его обрабатывать, проверяя:

  1. Не вышел ли срок действия документа.
  2. Применяется ли сертификат на сайте.
  3. Каким СА выпущен документ.

Если хотя бы один из пунктов не соответствует требованиям браузера, программа показывает пользователям предупреждение про использование незащищенного соединения. Браузер рекомендует покинуть сайт либо продолжить посещение, но сообщает, чтобы пользователь не предоставлял никаких личных данных.

Сегодня существует большое количество центров сертификации, но есть самые популярные, стабильные и проверенные временем:

  • Geotrust. Работает с 2001 года, с 2006 года принадлежит компании Verisign. Штабквартира располагается в Калифорнии, США.
  • Thawte. Заработал в 1995 году, в 1999 году продали Verisign.
  • Symantec. Ранее был известен как Verisign, куда входит и Geotrust. В 2010 приобрел две вышеупомянутые фирмы.
  • Comodo. Основан в 1998 году. Офис находится в Джерси Сити, штат Нью Джерси, США.
  • Trustwave. Открыт в 1995 году, штабквартира находится в Чикаго, США.

Symantec – самая масштабная организация, состоящая сразу из трех компаний:

  1. Geotrust;
  2. Verisign;
  3. Thawte.

Есть ли разница в каком СА заказывать сертификат?

Все сертификационные центры отличаются друг от друга стоимостью документов и тем, сколько браузеров поддерживают их сертификаты. Если в браузере пользователя нет корневого сертификата того СА, который выдал вам документ, при переходе на ваш сайт он будет видеть ошибку с предупреждением о небезопасном подключении. Но если вы сделаете выбор в пользу одного из вышеупомянутых организаций, то можете быть спокойны, так как их корневые сертификаты есть во всех современных браузерах.

Если желаете проверить корневые сертификаты, поддерживаемые вашим браузером, зайдите в настройки и выберите соответствующую опцию. В Google Chrome это можно сделать следующим образом:

  1. Настройки.
  2. Показать дополнительные настройки.
  3. Управление сертификатами.
  4. Доверенные корневые центры сертификации.

В Гугловском браузере установлено больше полсотни корневых сертификатов.

Важно. Нередко вебмастера сталкиваются с проблемой, когда на их сервере есть SSL сертификат, а при посещении ресурса пользователь все равно видит ошибку. Причин может быть две. Первая – это отсутствие файла ca-bundle.crt в корневом сертификате организации, выдавшей документ. Вторая – вышел срок действия корневого сертификата.

Летом 2010 года центры, уполномоченные выдавать сертификаты, стали применять ключи 2048bit RSA Keys. Всем, кто хотел чтобы новые сертификаты работали правильно, пришлось подключать обновленные корневые сертификаты.

Пренебрежение установкой новых корневых сертификатов было чревато осложнениями с правильной установкой современных сертификатов и их идентификацией некоторыми браузерами.

Предоставляю вам ссылки на страницы сертификационных центров для скачивания новых корневых сертификатов:

GeoTrust SSL Certificates

RapidSSL Certificate

Thawte SSL Certificates

Приобретать сертификаты непосредственно у уполномоченных организаций не стоит, потому что они завышают цены для рядовых пользователей. Лучше покупать документы посредством партнеров, так как для них ценник куда ниже. Они скупают сертификаты по оптовым ценам и затем перепродают их по более выгодной для вебмастеров стоимости.

Какие есть виды сертификатов SSL?

Все сертификаты отличаются друг от друга по свойствам и уровню валидации.

Виды сертификатов по типу валидации

  1. Domain Validation (DV) – подтверждают лишь домен.
  2. Organization Validation (OV) – проверяют доменное имя и компанию, сделавшую запрос на получение сертификата.
  3. Extendet Validation (EV) – масштабная проверка по множеству параметров.

Рассмотрим более подробно суть первых двух сертификатов.

Сертификаты Domain Validation

Самый распространенный вид сертификатов, потому что самый простой для получения. Если вам нужно получить документ в кратчайшие сроки, это самый оптимальный вариант. DV сертификат выдается автоматически, всего за несколько минут. Проверив данный сертификат, от организации приходит письмо со ссылкой, нажав на которую вы подтверждаете получение документа.

Данное письмо отсылается исключительно на approver email, указываемый в процессе оформления заказа сертификата. Отмечу, что адрес approver email необходимо указывать тот, что есть в домене, для которого выдается документ, или в whois домена. Указывая электронный адрес в аналогичном домене, что и сертификат, запрещается вводить рандомный email. Нужно следовать одному из указанных шаблонов:

  • admin@
  • administrator@
  • hostmaster@
  • postmaster@
  • webmaster@

На заметку. Бывает, что сертификаты DV отправляются на дополнительную проверку, проводимую сотрудником центра сертификации вручную. На такую проверку может попасть абсолютно любой ресурс, так как компания проводит случайный выбор. В связи с этим «моментальная выдача» может немного задержаться.

SSL сертификат Domain Validation выдается веб-сайту после проверки наличия доступа заявителя к домену. В данном случае компания и ее деятельность не проверяется, в сертификате нет никаких данных о ней.

Сертификаты Organization Validation

В данном документе хранится информация с названием компании, получившей его. Частным лицам сертификат с валидацией организации не выдается. На оформление и получение документа в среднем уходит 3-10 рабочих дней, все зависит от центра, куда вы подали запрос.

Выдача сертификатов с валидацией организации

Как только сертификационный центр получит от вебмастера CSR на выдачу OV сертификата, он организовывает проверку компании, указанной в запросе, действительно ли она существует и реально ли владеет указанным доменным именем.

Что проверяет СА?

У каждой организации по выдаче сертификатов свой алгоритм действий при проверке компании и домена, однако принципы похожи и можно выделить основные пункты, которым следуют практически все СА:

  1. Название компании в whois домена. Его наличие проверяют абсолютно все центры сертификации. Если названия компании там не будет, то с большой вероятностью организация запросит от вас специальное гарантийное письмо, которое доказывает, что доменное имя реально принадлежит фирме. В некоторых случаях СА требует предоставить подтверждение от регистратора.
  2. Присутствие компании в международных желтых страницах. Данный пункт выполняют лишь некоторые центры выдачи.
  3. Документ, свидетельствующий о государственной регистрации. СА запрашивают данное свидетельство куда реже, чем раньше. Сегодня в большинстве случаев компании проверяют посредством учреждений, способных посмотреть через свои каналы, реально ли существует фирма.
  4. Счет от телефонной фирмы, где есть название компании и ее номер телефона, содержащиеся в запросе. Так центры сертификации проверяют валидность телефона, но производится такая проверка уже не так часто.
  5. Проверочный звонок. Более распространенный на сегодняшний день способ проверки достоверности указанного в запросе номера телефона. Организация по выдаче сертификатов в процессе звонка захочет поговорить с сотрудником, которого внесли в административный контакт. Следует отметить, что далеко не у всех СА есть сотрудники, говорящие по-русски, о чем стоит сообщить человека, отвечающего на звонок.

Сертификаты с расширенной проверкой

Они стоят дороже остальных сертификатов, а чтобы их получить, требуется пройти тщательную проверку. Одним из характерных отличий для сайта, получившего данный документ, является green bar. Когда пользователь посещает его, в адресной строке браузера видит зеленую строку с названием организации, у которой в наличии сертификат.

Green Bar сайта в адресной строке

Имея SSL-сертификат с расширенной проверкой веб-ресурс получит максимальное доверие от рядовых пользователей, потому что он подтверждает, что компания успешно прошла сложную проверку, она действительно существует и владеет сайтом.

Сертификаты EV выдаются лишь после прохождения двух проверок:

  1. Сертификационный центр убеждается, что заявитель вправе пользоваться конкретным доменным именем.
  2. СА полностью проверяет компании на предмет ее реального существования.

Вы должны понимать, что сертификаты EV выпускаются согласно стандартам и в соответствии с общепринятыми правилами расширенной проверки, сформированными на проходящем в 2007 году форуме CA/Browser Forum. В них четко прописана пошаговая инструкция, которой должна следовать организация по выдаче сертификатов:

  1. Проверка физической, операционной и правовой деятельности компании.
  2. Убедиться, что субъект действует в соответствии с официальными документами.
  3. Проверить, имеет ли право компания пользоваться доменным именем, указанным в запросе на получение сертификата.
  4. Проверить полную авторизацию компании, что дает ей право получить сертификат EV.

Центр сертификации в данном случае проверяет все то же, что и при выдаче документов с валидацией компании.

Сертификаты с расширенной проверкой заказывают бизнесмены, некоммерческие и государственные организации. Процесс оформления и выдачи документа длится около двух недель.

К центрам сертификации также выдвигаются требования. Есть правила аудита, где прописаны все критерии, которым должны отвечать СА, чтобы иметь право выдавать сайтам соответствующие документы. Ежегодно проводится проверка организаций на соответствие данным критериям.

Виды SSL сертификатов по свойствам

Они делятся на 6 видов.

Обычные SSL сертификаты

К ним относятся обычные Domain Validation сертификаты, выпускающиеся моментально в автоматическом режиме и подтверждающие лишь доменное имя. Данный вариант подходит для любых сайтов. Стоимость: от 20$ в год.

SGC сертификаты

В них применяется более надежный уровень шифрования. Отличный вариант для старых версий браузеров, работающих максимум с 56 бит шифрованием. Благодаря SGC сертификату уровень шифрования увеличивается до 128 бит в принудительном порядке.

Разумеется, для современных браузеров данный сертификат неактуальный и сегодня пользователей, использующих старые версии, не так много. Тратятся на такие сертификаты в зачастую крупные корпорации, где стоят старые компьютеры. Стоимость: от 300$ в год.

Сертификаты Wildcard

Пользуются спросом у тех вебмастеров, которым необходимо шифровать каналы не только по основному домену, но и на поддоменах. Допустим, у вас есть домен site.ru и у него есть изобилие поддоменов: forum.site.ru, support.site.ru и так далее.

Рекомендую сначала посчитать, сколько у сайта поддоменов, требующих подключения сертификата, потому что бывают случаи, когда дешевле приобрести несколько отдельных стандартных сертификатов.

Стоимость: от 180$ в год. Поэтому имея до 9 поддоменов в финансовом плане выгоднее приобрести обычные сертификаты для каждого из них. Хотя куда удобнее пользоваться одним Wildcard.

Сертификаты SAN

Его можно применять для разных доменных имен, находящихся на одном сервере. Как правило, данный сертификат включает 5 доменов и в дальнейшем их число можно увеличивать на 5. Стоимость: от 395$ в год.

Сертификаты Extended Validation

Документы, о которых я писал выше. Производится расширенная проверка, а затем у сайтов возле их адреса в браузере появляется зеленая строка с названием организации. Выпускаются документы исключительно для юридических лиц, государственных, некоммерческих и коммерческих учреждений. Стоимость: от 250$ в год.

Сертификаты поддерживающие IDN домены

Не все СА сообщают в описании своих сертификатов о возможности работы с IDN доменами, однако и не у всех есть данная функция. Вот все известные мне подобные сертификаты:

  • Symantec Secure Site Pro with EV;
  • Thawte SGC SuperCerts;
  • Thawte SSL Web Server Wildcard;
  • Thawte SSL Web Server;
  • Symantec Secure Site Pro;
  • Thawte SSL Web Server with EV;
  • Thawte SSL123 Certificate;
  • Symantec Secure Site with EV;
  • Symantec Secure Site.

Еще отличия сертификатов

Кроме классификации сертификатов по валидации и свойствам, между ними есть еще некоторые отличия:

  • Время оформления и выдачи. Как вы уже знаете, быстрее всех остальных можно получить Domain Validation сертификаты. Выпуска с EV валидацией приходится ждать около 7-14 дней.
  • Гарантия. Стоимость гарантии на определенные сертификаты может достигать более 10 тысяч долларов. Но такие гарантии нужны не их покупателям, а посетителям веб-ресурсов, где подключены данные сертификаты. Если человек посетит сайт и потеряет денежные средства, сертификационный центр обязан выплатить ему сумму, прописанную в гарантии. Таким образом СА дает гарантию на свои документы и подтверждает, что их не могут купить на посторонние домены. Пока что я не слышал о подобных инцидентах, когда организации пришлось компенсировать посетителю деньги по гарантии.
  • Лимит перевыпусков сертификата. У всех популярных сертификационных центров перевыпускать сертификат можно бесконечно. К таким мерам прибегают, когда заявитель по ошибке указал неверные данные в информации о компании.
  • Возврат денежных средств. Практически все сертификаты подразумевают кэшбэк в ближайшие 30 дней, однако есть и документы, не включающие данную опцию.
  • Тестовый период бесплатного использования. Среди сертификатов, действующих на платной основе, тестовый период есть у Comodo positive SSL, Symantec secure site, Thawte SSL web server и Geotrust rapidssl. Еще можно тестировать бесплатные сертификаты, например Start SSL Free.

Как установить

Тем, чьи веб-ресурсы находятся на выделенном сервере нужно подключать SSL-сертификаты самостоятельно. Для сайтов на выделенных серверах выпускаются сертификаты от Let’s Encrypt, доступные абсолютно бесплатно.

Для самостоятельного подключения документа необходимо составить CSR-запрос и отослать его в сертификационный центр. Затем организация отправляет вам все необходимые данные, которые нужно ввести в соответствующие поля.

Для получения бесплатного сертификата от Let’s Encrypt нужно установить модуль Let’s Encrypt (он тоже бесплатный), а затем запустить выпуск SSL в разделе WWW-домены для вашего доменного имени.

Как проверить SSL сертификат на сайте?

Чтобы убедиться в правильном подключении документа и его корректном отображении во всех современных браузерах, воспользуйтесь бесплатным инструментом ssl-checker на сайте sslshopper.com. Просто вставьте в поле «Server Hostname» адрес вашего сайта. Если вы все сделали правильно, то сервис покажет такой результат:

Проверка корректности сертификата через sslchecker

Заключение

Подключение SSL позволит надежно зашифровать передаваемые данные, по сегодняшний день ни одному из хакеров не удалось взломать данный протокол, по крайней мере так, чтобы получить от этого огромную пользу. Но установка сертификата не означает, что ваш ресурс абсолютно безопасный. Он может подвергнуться нападению вирусных программ, способных получить информацию еще до ее шифрования и отправки на сервер.

Если у вас коммерческий сайт, вынуждающий пользователей указывать свои персональные данные, то без SSL сертификата не обойтись. В ином случае необходимо настроить перенаправление пользователей, желающих осуществить финансовую операцию, на HTTPS сайты платежных систем. Установка HTTPS протокола не оказывает прямого влияния на ранжирование сайта и его позиции в поисковой выдаче, но может позитивно повлиять на поведенческие факторы. Переход https – это очень ответственный шаг, процедура переезда требует концентрации и безошибочного ввода данных, иначе ваш сайт рискует вылететь из индекса.

Не слушайте панику, которую разводят хостер-провайдеры вокруг отсутствия SSL сертификата. Они зарабатывают на их продаже, поэтому им выгодно, чтобы вебмастера шли у них на поводу. В целом, если у вас новый сайт, даже информационный, то сразу же смело подключайте – в данном случае нечего терять.

Главное – выбирайте сертификаты через надежных партнеров проверенных сертификационных центров, потому что сегодня многих организаций, предоставляющих бесплатные SSL, блокируют, из-за чего ваш заветный документ станет недействительным. Если у вас уже давно есть блог или информационный HTTP сайт, то и не стоит заморачиваться с оформлением SSL – большой пользы вам это не даст, а вот проблем может добавиться.

Оцените эту статью. Чтобы мы могли делать лучший контент! Напишите в комментариях, что вам понравилось и не понравилось!

Рейтинг статьи: 4 / 5. Кол-во оценок: 4

Пока нет голосов! Будьте первым, кто оценит эту статью.

Александр Овсянников
Занимаюсь продвижением и заработком на сайтах с 2009 года. Владелец партнерки по монетизации PUSH-уведомлений MajorPush.pro. Автор курсов в Major Academy по созданию, продвижению и заработку на сайтах. Создатель бесплатной панели для сайтов MajorPanel.ru. Владелец информационных сайтов.
Баннер
Подписаться
Уведомление о
guest
0 комментариев
Inline Feedbacks
View all comments
будь в курсе
Подписывайся и получай заметки о заработке на сайтах, которые не вошли на страницы этого блога. С нами уже более 4000 вебмастеров.
Вконтакте 2k+
Телеграм 2k+
Я уже подписан