Что такое SSL-сертификат: для чего нужен, как выбрать, выпустить и установить на сайт SSL-сертификат

SSL-сертификат – цифровой, он необходим для создания зашифрованного соединения между браузером и сервером, подтверждает безопасность сайтов. Сегодня является обязательным условием для проектов, на которых принимают клиентские данные и проводят онлайн-транзакции. Наличие сертификата указывает на то, что ресурс надежно защищен: пользователи могут не бояться мошенников и утечки информации. Рассказываем, что такое SSL-сертификат для сайта, какие виды существуют, где его получить и как подключить.

SSL-сертификат – что это

SSL-сертификат (от английского Secure Sockets Layer) – цифровое подтверждение подлинности веб-сайтов, обеспечивающее возможности зашифрованного соединения. Основная цель – безопасный обмен важной информацией, такой как платежные и персональные данные, адреса и другая. Если SSL подключен к сайту – передача в цепочке браузер-сервер и в обратную сторону осуществляется в зашифрованном виде, поэтому данные точно не попадут в руки к мошенникам.

Как SSL выглядит в адресной строке

Сертификат крайне важен для сайтов, которые взаимодействуют с разными видами информации – от номеров банковских карт до адресов пользователей. Речь идет об интернет-магазинах, маркетплейсах, государственных, банковских и страховых организациях – везде, где собирается и обрабатывается конфиденциальная информация. Если SSL-отсутствует, то после перехода на ресурс пользователь увидит уведомление о небезопасности. Еще один фактор – ухудшение позиций в ранжировании по отношению к защищенным порталам аналогичной тематики, поисковые системы «не любят» небезопасные сайты.

Протоколы SSL появились около 25 лет назад, существовали разные версии, демонстрирующие проблемы в процессе внедрения и использования. Потом появился TLS (Transport Layer Security) – обновленная версия, именно ее используют современные сайты. Однако название TLS не было воспринято, поэтому сохранилось старое – SSL.

Как узнать, есть ли у сайта SSL-сертификат

SSL – открытая информация, ее может проверить любой пользователь прямо из браузера. Рассмотрим несколько способов, которые помогут убедиться в наличии протокола безопасности:

• URL-адрес. Достаточно скопировать УРЛ из адресной строки или просто кликнуть по нему, а потом обратить внимание на первые буквы: HTTPS – защита с помощью SSL, HTTP – без протокола;
• значок в адресной строке (слева от URL). Представлен в виде замка, в Google Chrome – немного другое оформление, но суть не меняется: щелкнув на значок, легко увидеть подтверждение безопасности. Если сертификата нет – значок будет перечеркнут, отобразятся сведения о незащищенном соединении;
• предупреждения от браузера. Сигнализирует о проблемах с безопасностью, например, замок может быть открытым, не зеленым, а красным, дополнительно – треугольники с надписью «Не защищено». Не увидеть эти сигналы просто невозможно.

Как посмотреть SSL-сертификат в Google Chrome

Сертификат предоставляет пользователю следующую информацию (на примере данных из Google Chrome):

• кому выдан (общее имя, организация);
• кем выдан;
• срок действия;
• цифровые отпечатки SSL с подписью SHA-26.

Какие данные доступны при просмотре сертификата

Посетители редко проверяют эту информацию, чаще всего они ориентируются на уведомление в браузере. Есть присутствует слово «не защищено», а также тревожные значки (красный треугольник, открытый замок) – человек покинет сайт, он точно не будет вводить данные карты и другую конфиденциальную информацию.

Принцип работы SSL-сертификата

Техническая сторона остается скрытой от обычного пользователя: он видит сайт или уведомление о его небезопасности через несколько секунд после перехода (по ссылке или путем прямого ввода URL в адресную строку). Расскажем простыми словами, как работает SSL-сертификат:

• пользователь осуществляет переход по ссылке или же вводит адрес вручную, после чего выполняется отправка запроса на подключение к сайту;
• браузер направляет запрос серверу – подлинный ли ресурс;
• сервер передает браузеру копию SSL и публичный ключ;
• браузер проверяет информацию и проводит сверку, если сертификат подлинный – сервер получает подтверждение, для его шифрования тоже применяется публичный ключ;
• на финише сервер создает защищенный сеанс (он возвращает браузеру подтверждение, удостоверенное верифицированной цифровой подписью, которая шифруется протоколом SSL);
• начинается передача данных по браузер-серверному соединению, пользователь может взаимодействовать с ресурсом.

Вся процедура занимает даже не секунды, а миллисекунды. Дополнительно убедиться в безопасности пользователь может вручную, действуя по ранее рассмотренной инструкции. Однако если браузер не информирует об угрозе – проверка не требуется.

Как работает SSL

Зачем нужен SSL-сертификат

Изначально существовал протокол HTTP, регламентирующий правила передачи данных в цепочке компьютер пользователя-сервер. Протокол умел передавать все виды данных, но только в незашифрованном виде. Это небезопасно, ведь сторонние лица легко могут получить доступ к информации.

В 2000-х годах было представлено новое расширение – HTTPS, а также поступило предложение о внедрении SSL, который обеспечивает защиту конфиденциальной информации. Для получения HTTPS для домена нужно выпустить и установить сертификат, именно его проверяют браузер и сервер, после чего осуществляется передача зашифрованных данных. Шифрование выполняется с помощью ключа (он входит в SSL): публичный используется открыто, а закрытый не раскрывается никогда.

Уведомление о том, что подключение не защищено

SSL-сертификат – основа безопасности как для пользователей, так и для поисковых систем. Цифровой документ гарантирует:

• подлинность сайта, с которым взаимодействует посетитель, что обеспечивает рост доверия;
• защиту и целостность информации, которая передается: на пути от сервера к браузеру данные не изменятся, не попадут к мошенникам. Сюда входят юридические, медицинские и другие виды документов, платежные, персональные и учетные (для входа в систему) данные;
• сохранение конфиденциальности. Протокол полностью предупреждает утечку.

Еще один важный момент – влияние на позиции в поисковых системах. Например, в Google с 2014 года ресурсы с SSL получают преимущество. Поисковик не продвигает в ТОП ненадежные сайты, в это же время ни производитель сертификата, ни его цена (учитываются даже бесплатные) не имеют значения, главное – наличие. 

Преимущества SSL-сертификатов

Подключение SSL позволяет вести разные виды деятельности в интернете, его можно сравнить с физическим паспортом. Выделим основные преимущества:

• повышение доверия со стороны клиентов;
• улучшенное ранжирование в поисковых системах;
• обеспечение сохранности конфиденциальных данных;
• получение гарантий от центра, который выдал SSL: в случае проблем возможны даже компенсации.

Из недостатков – сложности при получении и потребность в периодическом обновлении. 

Какие виды SSL-сертификатов существуют

EV (Extended Validation)

Самый дорогой из всех SSL-сертификатов с расширенной проверкой, подтверждающий исключительное право на сайт. Подходит для крупных проектов, связанных с приемом онлайн-оплаты, речь идет в первую очередь о финансово-кредитном и государственном секторах. SSL этого типа ранее обеспечивали выделение зеленым в адресной строке, сегодня в некоторых браузерах оно отсутствует.

OV (Organization Validation)

Сертификат OV подтверждает существование компании, при получении необходимо предоставить пакет документов, который свидетельствует о реальности организации. Уровень доверия здесь тоже высокий, поэтому OV приобретают многие представители бизнеса. Еще один момент – OV визуально практически неотличимы от EV, но стоят дешевле и оформляются быстрее.

DV (Domain Validation)

Сертификат DV наиболее недорогой, может быть бесплатным. Применяется для подтверждения владельца домена, обеспечивает средний и невысокий уровень защиты. Для сайтов e-commerce, где принимается оплата, такой вариант не подходит, но его вполне достаточно для блога, новостника и аналогичных проектов. Подключение занимает минимальное количество времени: подтверждение осуществляется по номеру телефона или электронной почте.

Как отображаются разные SSL

Wildcard Certificate

Сертификат Wildcard Certificate подходит для тех, кто хочет реализовать защиту как основного сайта, так и поддоменов. Такое решение оптимально и более выгодно: все имеющиеся поддомены закрываются одним SSL, что проще по сравнению с покупкой отдельных.

SAN (Subject Alternative Name) 

Сертификаты SAN называют мультидоменными: они способны защитить независимые доменные имена + поддомены. Подходят для крупных компаний, использующих несколько сайтов для решения разных задач: продажи, корпоративный, для партнеров, иные.

Как получить SSL-сертификат

Выдачей сертификатов занимаются профильные доверенные центры, несущие полную ответственность за безопасность и надежность. В случае уязвимости защиты обеспечена компенсация. Стоимость зависит от типа SSL и уровня безопасности, который необходимо получить. Можно найти предложения по цене от 2 тысяч рублей, но стоит оценивать характеристики проекта: для приема оплаты требуется более надежный вариант, чем для информационного блога.

Существуют некоммерческие организации, выдающие абсолютно бесплатные сертификаты. Самая популярная – Let’s Encrypt. Бесплатные варианты выгодны, но для SSL действуют ограничения: каждые 3 месяца требуется продление, можно выбрать платный вариант.

Этапы получения SSL

Платные SSL-сертификаты

В доверенных центрах легко купить SSL-сертификат, они предоставляют всю необходимую информацию, оказывают поддержку по выбору. Ценовая политика вариативная, стоимость чаще всего указана из расчета на 1 год.

Цены SSL-сертификаты

Самоподписанные

Самоподписанные сертификаты владелец ресурса создает и подписывает без привлечения профильного центра. Однако при открытии сайта с самоподписанным SSL, пользователь все равно увидит в браузере уведомление о ненадежности. В худшем случае доступ к ресурсу может быть заблокирован. Такой формат используется для внутренних процессов, например, для приложений/сетей без внешнего доступа (с ними взаимодействуют только сотрудники организации) или тестов/разработки. 

Бесплатные SSL-сертификаты

В России получить бесплатный SSL-сертификат можно на портале Госуслуг, проект курирует Минцифры. Доступны стандартный OV или базовый DV, которые смогут заменить иностранный SSL в случае окончания срока действия или отзыва. Получение возможно только для юридических лиц. Альтернатива – Let's Encrypt.

Нередко SSL предоставляют в качестве бонуса платформы по созданию сайтов и хостинг-провайдеры. Например, конструктор Craftum предлагает SSL во всех тарифах, а при оплате за год – доменное имя в подарок. Обеспечено простое подключение SSL-сертификата: установка происходит автоматически в срок до 3 часов после привязки домена к сайту и обновления А-записи. 

Конструктор Крафтум включил SSL во все тарифы, независимо от срока подписки

Как установить SSL-сертификат на сайт

Установка выполняется в несколько этапов:

• предварительная проверка, включающая настройку сервера и мониторинг соответствия записи WHOIS (база данных со сведениями о доменах). Запись должна соответствовать параметрам, которые будут отправлены в центр;
• формирование запроса на подпись SSL, в чем может помочь хостер;
• отправка запроса, связанного с проверкой компании и домена, в доверенный центр. Процедура может занимать как несколько минут, так и дней, все зависит от корректности предоставленных данных и типа SSL.

На финише выполняется установка сертификата. После активации центр пришлет публичный и приватный ключи, их необходимо установить на сервере сайта, что выполняется через панель хостинга или CMS. Проводится обновление адреса DNS-серверов и домена, в течение суток изменения зафиксируются, после чего сайт станет доступен по адресу HTTPS. Срок SSL ограничен (до 2 лет и 3 месяцев), после его истечения следует заказать перевыпуск.

Какие дополнительные меры принять для обеспечения безопасности

Безопасность требует комплексного подхода, начинается с выбора надежного метода создания сайта. Например, движки с открытым исходным кодом (чаще всего бесплатные) не могут гарантировать высокий уровень защиты. В рамках мероприятий необходимо:

• регулярно проводить сканирование сайта на предмет вирусов;
• выбрать хостинг-партнера с отличной репутацией;
• провести подключение SSL и протокола HTTPS, что предупредит утечку конфиденциальных данных;
• обеспечить защиту от DDoS-атак;
• отказаться от установки интеграций, плагинов, модулей, полученных из непроверенных источников;
• использовать сложные пароли, содержащих цифры, буквы и символы;
• подключить двухфакторную аутентификацию.

Последняя рекомендация касается резервного копирования: желательно проводить бэкап регулярно, чтобы в случае проблем можно было быстро произвести откат к работоспособной версии.

В заключение

SSL-сертификат – не каприз, а необходимость. Он обеспечивает безопасность клиентов при взаимодействии с сайтами, предупреждает утечку данных и повышает репутацию компании. Подключение занимает минимальное количество времени, на помощь приходят как хостинг-провайдеры, так и сотрудники доверенных центров. SSL можно получить бесплатно, если сайт создается на конструкторе. Нужно не забывать продлевать сертификат, иначе после окончания срока его действия ресурс станет недоступен.