Что такое HTTPS и где приобрести сертификат SSL

Здравствуйте, дорогие друзья! Сегодня поговорим о протоколе HTTPS и о сертификатах безопасности SSL. Разберём важные вопросы, которые тревожат многих владельцев сайтов и блогов, в преддверии 2017 года. Так как Google сообщил о том, что в браузере Google Chrome сайты без SSL-сертификатов будут отмечаться как небезопасные.

И сегодня я постараюсь объяснить, нужно ли переходить на новый протокол, какие бывают сертификаты и где их брать.

В чем разница между HTTP и HTTPS и как они работаю

Когда вы открываете сайт в браузере, то происходит обмен данными между браузером и сервером, на котором находится сайт. Браузер делает запросы, сервер отвечает, эти процессы вы не видите. Зато вы видите, как загружается сайт, подгружаются картинки, стили и так далее. Всё это процесс обмена данными между браузером и сервером.

Так вот, на обычных сайтах, с протоколом http, передача данных в запросах осуществляется без шифрования, а на сайтах с протоколом https в зашифрованном виде.

Это означает, что когда на обычном сайте вы входите в личный кабине, вводите логин и пароль, то запрос на сервер оправляется в таком не защищённом виде. А учитывая, что запрос идёт не напрямую, а через посредников, то злоумышленники могут легко перехватить эти данные. А дальше вы понимаете.

Вот что выдаёт сейчас браузер при просмотре незащищённых сайтов.

Что же происходит, когда сайт работает на протоколе https?

На таких сайтах передача данных защищена, она передаётся в шифрованном виде.

Как происходит обмен шифрованными данными?

При переходе на сайт, на запрос браузера, сервер отправляет SSL-сертификат, в котором содержится информация о сертификате (кто выдал, на какой срок), информация о сайте и самое главное – открытый ключ шифрования. С помощью этого ключа браузер будет шифровать, и расшифровывать данные отправляемые и получаемые с сервера.

На сервере же находится второй ключ (приватный), с его помощью сервер шифрует, и расшифровывает данные браузера.

Если браузер проанализировал сертификат, и всё в порядке, в браузере вы сможете наблюдать замочек в адресной строке.

Цветом он может быть зелёным или серым. В разных браузерах по-разному. Если замочек закрыт, всё хорошо, и данные будут передаваться в зашифрованном виде.

Думаю, теперь разница между протоколами понятна.

Какие сайты нужно переводить на безопасный протокол HTTPS

Ситуация складывается так, что со временем придётся перевести все сайты на этот протокол. Так как никто не хочет клеймо «Небезопасный» и реакции со стороны поисковиков.

Но, это в перспективе. Сейчас же нужно переводить сайты, на которых происходит передача паролей, персональных и платёжных данных. Но, такие сайты и так уже работают на https.

Так что время пока ещё есть и для обычных сайтов и блогов никто ультиматум не выдвигал.

Какие бывают SSL-сертификаты и в чём их отличие

Как вы уже поняли, SSL-сертификат нужен для подтверждения безопасности сайта и обеспечения шифрования данных между браузером и сервером.

Сертификаты существуют двух видов: — Самоподписанные и Доверительные.

Доверительные, в свою очередь, подразделяются по уровню проверки и количеству доменов, на которые распространяются.

1. Самоподписанные (самозаверенные) сертификаты (Self-Signed)

Это скорей проблема, чем её решение. Такие сертификаты не воспринимаются большинством браузеров, как безопасные, так как в них не указан центр сертификации, или он неизвестен браузеру.

Подпись такого сертификата проверяется публичным ключом, который является частью самого сертификата. То есть сертификат сам себя подтверждает.

Именно по этой причине браузеры не доверяют таким сертификатам и выдают предупреждение, что сертификат не удалось проверить и следует, покинут этот сайт.

Тут уж лучше совсем без сертификата.

Так что такие сертификаты для публичных сайтов не подходят.

1. Доверительные (Trusted)

Эти сертификаты надёжны и выдаются центрами сертификации. А это значит, что такие сертификаты официально признаны во всём мире и распознаются всеми браузерами, так как это происходит через систему корневых сертификатов, которые установлены и обновляются в браузерах.

Каждый выданный сертификат гарантирует денежную компенсацию в случае его взлома.

Эти сертификаты подразделяются по уровню проверки и количеству доменов. От этого зависит их надёжность и цена.

SSL-сертификат с проверкой домена (Domain Validated или DV).

Сертификат доступен физическим лицам — в том числе ИП и компаниям, государственным учреждениям. Подтверждает тот факт, что домен принадлежит вам. Для его выпуска не требуется представлять документы, что ускоряет процесс получения.

Для получения этого сертификата нужно подтвердить владение доменом. Для этого нужен ящик с доменом сайта, или же тот email, что использовался при регистрации домена и указан в информации WHOIS, на него придёт письмо со ссылкой на подтверждение.

Этот сертификат шифрует обмен данными, но не даёт гарантии, что владельцу можно доверять.

По стоимости это самый дешёвый сертификат, так в FirstSSL можно купить этот сертификат от 470 рублей в год. А в некоторых случаях и получить бесплатно.

Получаете вы такой сертификат в течение 5 минут.

А главное, этот сертификат отлично подходит для обычных сайтов, где нет приёма персональных данных и оплаты.

SSL-сертификат с проверкой организации (Organization Validated или OV)

Для получения этого сертификата нужно пройти более тщательную проверку. Занимает она примерно 2-5 дней. Нужно будет предоставить регистрационные данные компании или ИП и подтвердить законное владение доменом.

Такие сертификаты стоят дороже и подходят для интернет-магазинов и других сайтов, которые связаны с платежами, обработкой и хранением персональных данных.

Физическим лицам этот вид сертификатов недоступен. Как и следующий.

SSL-сертификат с расширенной проверкой (Extended Validation или EV)

Это самый дорогой сертификат и получить его сложнее всего. Этот сертификат, помимо замочка в адресной строке ещё отображает название организации, получившей сертификат.

Такие сертификаты имеют наивысший уровень доверия, так как подтверждают не только владение доменом, но и факт реального существования компании. Это достигается за счёт тщательных проверок организации.

Алгоритм проверок строго регламентирован, и проверка может продолжаться от 3 до 9 дней.

Такие сертификаты используются на платёжных системах, банках и других серьёзных организациях.

Сертификаты отличаются по количеству доменов, на которые распространяются.

SSL-сертификат для одного домена — защищает домен с www и без www.

SSL-сертификат для нескольких доменов – защищает до 100 доменных имён.

SSL-сертификат Wildcard – защищает домен и все его поддомены.

Теперь вы знаете, какие бывают сертификаты, и можете определиться, какой нужен именно вашему сайту.

Так, если вы не используете поддомены, не осуществляете платежи через сайт и не храните персональные данные, то следует остановить свой выбор на доверительном сертификате с проверкой домена (DV).

Совет: если у вас несколько сайтов (3-5), то дешевле купить для каждого сертификат, чем брать один с поддержкой сотри доменов.

Где можно купить сертификат

Здесь ситуация обстоит так же, как и с регистрацией доменных имён. Есть центры сертификации, и есть их партнёры. Так вот через партнёров приобретать сертификаты гораздо дешевле. Партнёры закупают сертификаты оптом и поэтому у них цены ниже. Надёжность сертификата от этого не страдает.

Для себя я нашёл наиболее подходящий FirstSSL. Здесь самая адекватная ценовая политика.

А также сертификат можно приобрести у хостинг-провайдера. Но, у них цены выше.

А ещё у некоторых хостингах нет возможности установить сторонний сертификат, только купленный у них. На моём хостинге сейчас случилась именно такая засада.

Совет: прежде чем покупать сертификат, поинтересуйтесь в технической поддержке, можно ли установить сертификат, купленный не у них.

Как получить SSL-сертификат бесплатно

Можно получить сертификат для своего сайта или блога совершенно бесплатно. Но, нужно учитывать, что можно получить сертификат только для одного домена (DV) без поддоменов. И такой сертификат будет от центров сертификации с меньшим рейтингом. Но, это никак не влияет на работу сертификата.

Вот несколько центров сертификации, которые предоставляют бесплатные сертификаты.

• WoSign
• StartSSL
• GoGetSSL
• Let’s Encrypt

Кстати, на хостинге Бегет можно получить бесплатный сертификат от Let’s Encrypt прямо из панели управления и быстро его установить.

Процесс покупки и установки сертификата я расскажу и покажу в отдельной статье. А здесь отвечу ещё на один вопрос.

Примечание: для бесплатных SSL-сертификатов не нужен выделенный IP, а это значит нет дополнительных расходов при переходе на новый протокол.

Нужно ли делать изменения на сайте до и после перехода на протокол HTTPS

1. Прежде чем приступить к изменению протокола, вы должны узнать у своего хостинга особенности переезда, как я сказал, не все хостинги предоставляют возможность установки сторонних сертификатов.
2. Обязательно сделайте резервную копию сайта и базы данных.
3. Перед сменой протокола нужно исправить все ссылки на сайте с абсолютных на относительные, не зависящие от протокола.
4. После покупки и установки SSL-сертификата сайт будет доступен по протоколу http и https. Поэтому нужно настроит 301 редирект.
5. Нужно внести изменения в файл robots.txt, в директиву Host. К доменному имени нужно добавить протокол (Host: https://site.ru).
6. В кабинетах вебмастеров добавить новый протокол. Причём в Яндекс.Вебмастере достаточно нажать один чек-бокс, чтобы сообщить о новом протоколе, в то время, как в Гугле нужно добавить сайт заново.
7. Заново добавить карты сайта в кабинетах вебмастеров и перенести настройки с предыдущей версии сайта, если были такие (например, исключённые url или запреты).
8. Изменения в настройках контекстной или тизерной рекламе делать не придётся. Рекламные сети не учитывают протокол при добавлении сайта.

Вот, пожалуй, и все основные моменты, на которые нужно обращать внимание при смене протокола.

Более подробно процесс переезда с http на https рассмотрим в ближайшее время.

Друзья, если у вас есть дополнения или вопросы, давайте обсудим их в комментариях. Желаю вам успехов и хорошего настроения.

С уважением, Максим Зайцев.