Что такое SSL-сертификат?
Многие наверняка слышали про SSL-сертификаты, но не все чётко представляют, что это такое и для чего они нужны. По сути, SSL-сертификат — цифровая подпись вашего сайта, подтверждающая его подлинность. Использование сертификата позволяет защитить как владельца сайта, так и его клиентов. SSL-сертификат даёт возможность владельцу применить к своему сайту технологию SSL-шифрования.
Таким образом, назначение SSL-сертификата — обеспечить безопасное соединение между сервером и браузером пользователя, надёжно защитить данные от перехвата и подмены. Сертификат используется для шифрования данных и идентификации сайта при установлении защищённого соединения HTTPS.
Информация передаётся в зашифрованном виде, и расшифровать её можно только с помощью специального ключа, являющегося частью сертификата. Тем самым гарантируется сохранность данных. Посетители сайта вправе ожидать, что защита их информации, если она важная, будет обеспечена с помощью SSL-сертификата. Они могут покинуть ваш сайт, если видят, что он не защищён. Если сайт имеет SSL-сертификат, то в строке состояния браузера отображается значок в виде замка.
Как работает HTTPS (схема действия SSL):
— Пользователь заходит на защищённый сайт;
— Выполняется проверка DNS и определение IP-адреса хоста веб-сайта;
— Запись веб-сайта найдена, переход на веб-сервер хоста;
— Запрос безопасного SSL-соединения с хоста веб-сайта;
— Хост отвечает валидным SSL-сертификатом;
— Устанавливается защищённое соединение, передаваемые данные шифруются.
Защита для бизнеса и клиентов
Каким же сайтам нужна защита SSL? Да практически всем. Особенно тем, которые в наибольшей степени подвержены атакам: ресурсам финансовых учреждений, крупных брендов, сайтам, работающим с персональными данными и платёжной информацией.
SSL-сертификаты используют не только банки и финансовые организации, платёжные системы и такие государственные порталы, как сайт Федеральной налоговой службы (ФНС) и gosuslugi.ru, но также интернет-магазины и даже частные лица и индивидуальные предприниматели.
Какую выгоду даёт использование SSL-сертификата бизнесу? Поскольку при использовании сертификатов и протокола SSL принимаемые и отправляемые при посещении сайтов данные шифруются, применяется процедура аутентификации, это даёт пользователям определенную уверенность в том, что вводимые ими персональные данные, такие как номера телефонов и банковских карт, не попадут не в те руки. Благодаря своей уникальности SSL-сертификаты также значительно затрудняют использование кибермошенниками фишинговых схем.
Владелец сайта также может не беспокоиться о том, что данные клиентов утекут на сторону в результате перехвата или атаки типа «человек посередине», и репутация бизнеса и даже дальнейшее существование компании окажется под угрозой.
1. Стандартный HTTP заменяется на HTTPS. Это говорит о том, что в соединении между сервером и браузером используется SSL.
2. Адресная строка становится зелёной, показывая, что на веб-сайте используется Extended Validation SSL.
3. Жёлтый замок с закрытой дужкой означает, что соединение между сервером и браузером защищено. Если замок открыт или отсутствует, то соединение не использует SSL.
4. В случае использования сертификата Extended Validation SSL, в адресной строке показывается название компании.
SSL-сертификат гарантирует защиту всей информации, которой сайт обменивается с браузером пользователя. И тем самым защищает ваш бизнес. Это особенно важно при финансовых операциях, онлайновых транзакциях. Косвенные выгоды — рост доверия к вашему бизнесу, увеличение продаж, защита деловой информации.
В конечном счёте SSL-сертификат помогает завоевать доверие клиентов. Если они знают, что их информация защищена, то с большей вероятностью захотят иметь дело с вашей компанией.
По данным исследования, проведённого компанией GlobalSign, 84% пользователей не стали бы делать покупки на сайте без защищённого соединения. 48% проверяют перед вводом персональных данных, насколько безопасен сайт.
Значок замка и буквы HTTPS в URL вашего сайта говорят о его безопасности. А зелёная адресная строка сайта с сертификатом Extended Validation SSL — ещё более верное свидетельство надёжности ресурса. Посетители будут знать, что зашли именно на тот сайт, и вводимая ими информация останется приватной.
Кроме того, сайты, подтверждённые сертификатами, занимают более высокие позиции в результатах выдачи поисковых систем по сравнению с конкурентами без SSL. В 2014 году компания Google объявила о том, что будет учитывать использование HTTPS (буква S как раз и обозначает применение SSL-сертификата) при ранжировании сайтов. То есть, если у сайта нет SSL-сертификата, он не займёт высокие позиции в результатах поисковой выдачи и не сможет привлечь большого числа посетителей.
Где купить SSL-сертификат?
Приобретают сертификаты обычно не напрямую у удостоверяющего центра, а через партнёров. В России продажей сертификатов известных удостоверяющих центров (УЦ), таких как Comodo, Geotrust, GoDaddy, GlobalSign, Symantec и прочих, занимается множество компаний. Корневые SSL-сертификаты этих УЦ предустановлены в качестве доверенных во всех популярных браузерах. Есть и уникальные предложения. REG.RU, как партнёр GlobalSign, реализующий с этой компанией совместную программу по развитию SSL, может предложить сертификаты данного ведущего УЦ — от базового до расширенного уровня.
Как правило, партнёры имеют договоры с разными удостоверяющими центрами, что позволяет подобрать оптимальный по цене (в рублях) и характеристикам сертификат, получить скидки и помощь опытных специалистов при выборе сертификата и установке его на сервер. Для ряда клиентов важен бренд, название компании в сертификате.
Чтобы увидеть детальную информацию о SSL-сертификате, пользователю достаточно щёлкнуть мышью на значке замка и выбрать в меню «Просмотр сертификата». Браузеры могут различаться, но сертификат всегда содержит одну и ту же информацию.
Не все SSL-сертификаты платные. Например, при регистрации домена или покупке хостинга, клиенты REG.RU могут получить SSL-сертификат бесплатно. Также приятный бонус доступен при подключении к «Яндекс.Кассе». Стоит отметить, что бесплатный сертификат выдаётся на один год.
По данным Netkraft, в 2015 году около трети SSL-сертификатов в мире было выдано компанией Symantec, опередившей GoDaddy на 10%. На первую тройку удостоверяющих центров (CA) приходится свыше 3/4 используемых в Интернете SSL–сертификатов.
По нашим подсчётам, только по доменам второго уровня, в 2015 году в доменной зоне .RU использовалось около 144 тыс. SSL-сертификатов. Лишь 30% из них валидны, то есть проверены УЦ. Все остальные не гарантируют защиту от перехвата пользовательских данных. Объём продаж SSL-сертификатов в России достигает около 6,2 млрд руб. в год. Согласно информации Mozilla, по данным на декабрь 2015 года, в мире на 40% сайтов и при 65% транзакций использовался HTTPS.
Выдаёт SSL-сертификат удостоверяющий центр — независимая сторона, проверяющая достоверность указанных в сертификате сведений: действительно ли доменное имя принадлежит компании или физическому лицу, на которые оно зарегистрировано; подлинность сайта, для которого был выпущен SSL-сертификат и др.
Уровни проверки SSL-сертификатов
Существуют сертификаты разных уровней проверки. Для защиты персональных данных пользователей подойдёт сертификат с упрощённой проверкой — DV (Domain validation). Сертификат с проверкой доменов — самый низкий и недорогой уровень. Он доступен физическим и юридическим лицам, выдаётся владельцу или администратору доменного имени и просто подтверждает это доменное имя.
Следующий уровень — сертификат OV (Organization validation) для организаций, применяемый для проверки связи между доменным именем, хозяином домена и использующей сертификат компанией. То есть такой сертификат удостоверяет не только доменное имя, но и то, что сайт принадлежит действительно существующей организации.
Для более качественной проверки компании и её полномочий на приобретение сертификатов используются так называемые сертификаты с расширенной проверкой — EV (Extended validation). Это самый престижный вид сертификатов. Такие сертификаты вызывают больше всего доверия. Например, DigiCert, один из ведущих удостоверяющих центров, продаёт сертификаты OV и EV. Партнёры GlobalSign предлагают SSL-сертификаты разного уровня, включая самый высокий.
После установки сертификата расширенной проверки адресная строка в браузере становится зелёной — это визуальный индикатор надёжности сайта. В таком сертификате указано название организации и название удостоверяющего центра, выпустившего сертификат.
Зелёная адресная строка — индикатор законности вашего бизнеса. Сертификат с расширенной проверкой не только обеспечивает защиту от мошеннических сайтов. Если сертификаты проверки доменов предусматривают только шифрование соединения, то сертификаты высшей категории ещё и дают вашим клиентам уверенность в законности вашей предпринимательской деятельности. При выпуске EV-сертификата проводится очень тщательная проверка организации, включая проверку её деятельности, соответствия официальным документам, а так же прав на использование доменного имени. Поэтому предприятия, применяющие сертификаты с расширенной проверкой, пользуются большим успехом на рынке. Как уже отмечалось, чтобы выяснить, какой сертификат вы используете, клиенту достаточно щёлкнуть мышью на значке замка в строке браузера.
Эта схема показывает доли сертификатов DV, OV и EV у основных удостоверяющих центров. Сертификаты DV составляют около 70% от сертификатов всех типов, на EV приходится менее 5%.
Бывают сертификаты для одного, нескольких доменов (SAN) и сертификаты для всех прямых поддоменов выбранного домена (Wildcard).
SSL-сертификаты в России
По данным аналитического сервиса StatOnline.ru, из 3 286 782 сайтов в зоне .RU (на конец февраля) только около 60 тыс. (или примерно 1,8%) ресурсов имеются SSL-сертификаты, проверенные удостоверяющими центрами. Остальные используют самоподписные, невалидные сертификаты, или вообще отказываются от такого вида защиты.
REG.RU и один из старейших международных удостоверяющих центров GlobalSign запустили программу популяризации защищённой передачи данных в Интернете. Она рассчитана как на владельцев интернет-ресурсов, так и на рядовых пользователей из России и СНГ.
Вместе с GlobalSign мы намерены сформировать культуру защищённой передачи информации. Ключевой элемент программы — повышение доступности технологий SSL и предоставление владельцам сайтов актуальных инструментов защиты.
На SSL-сертификаты обратили внимание и в руководстве страны. По информации СМИ, в России может быть создан собственный государственный удостоверяющий центр для их выдачи. Как сообщается, такая работа уже идёт. Но для этого придётся обязать производителей браузеров предустанавливать в свои продукты специальный корневой сертификат.
Так в чём ценность HTTPS и SSL? Зачем это нужно, когда посетителям сайта не требуется вводить конфиденциальную информацию или осуществлять платежи? Хотя бы затем, чтобы повыше подняться в результатах поиска. Да и доверие пользователей — фактор, который нельзя сбрасывать со счетов. Технически дополнить сайт SSL несложно, да и финансово это необременительно. SSL-сертификат — простой и экономичный способ защитить ваш сайт и онлайн-транзакции, сделать его более безопасным для пользователей. Сегодня SSL стал одной из самых важных мер обеспечения безопасности сайтов и признанным во всём мире отраслевым стандартом.
Комментарии (27)
mickvav
04.04.2016 19:45Еще не хватает описания того, как выяснить, какие CA подконтрольны государственным и/или мафиозным структурам и где в браузере их посмотреть/выключить.
achekalin
04.04.2016 21:10Всегда было интересно, как образуются цены на сертификаты. Цены на тот же сертификат от того же центра в разных компаниях-продавцах отличаются сильно, при этом, очевидно, выпуск сертификата, сколько бы он не стоил, произойдет в том же CA.
В России цены на подобный товар вообще образуются как-то неожиданно. Беру любой сертификат: Symantec Secure Site. На сайте Symantec за него просят https://www.symantec.com/ssl-certificates/ $399 за год, на моем любимом GoGetSSL https://www.gogetssl.com/business-validation/symantec-secure-site-ssl/ — $282 за год, reg.ru просит https://www.reg.ru/ssl-certificate/Symantec/ 28080 руб. за год — т.е. около $415. Разница только в том, что российский посредник/партнер сможет нарисовать документы для бухгалтерии. На что-то посолиднее, скажем, на Symantec Secure Site Pro with EV SSL, цены будут $1499, $659 и 97110 руб (т.е. $1428). В общем, «формула» мне так и не понятна.
Могу, правда, сказать, что у reg.ru цены на фоне иных российских «товарищей» еще адекватны.
vvppnn
05.04.2016 09:09Заранее извиняюсь.
Я так понял, картинки — 5, материал — 2, текст красиво побито на абзацы — 5, в среднем оценка — 4, особенно веселая баба с сертификатом и грустный мужик без сертификата.
Zempik
05.04.2016 09:09Интересно, а SSL-сертификат влияет на ранжирование сайта?
Alessandra
05.04.2016 09:24+1В августе 2014 года Google в своём блоге заявил, что наличие SSL-сертификата будет являться одним из факторов, который влияет на ранжирование сайта: https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html
Некоторое время спустя, в этом же блоге появилась статья о том, что HTTPS версии страниц получают преимущество в индексации поисковой системой Google: https://webmasters.googleblog.com/2015/12/indexing-https-pages-by-default.html
Mario_Z
05.04.2016 09:09Подскажите пожалуйста, если нужны действительные сертификаты для целей эксплуатации личного кабинета клиентов внутри локальной сети, то обязательно их покупать или достаточно будет бесплатных? Кабинет никак не отображается во внешний интернет.
Alessandra
05.04.2016 09:38Если передача данных происходит исключительно внутри локальной сети и отсутствует доступ в личный кабинет из Интернет, то вам подойдёт бесплатный или самоподписной сертификат. Бесплатный SSL-сертификат DomainSSL от GlobalSign выдаётся сроком на один год. В дальнейшем, его продление будет платным.
achekalin
05.04.2016 17:34Это и обидно, что у вас только «первая порция бесплатно». На фоне Let's Encrypt и других, надо как-то политику завлекания менять.
Тем более что сертификат — не домен, не обязательно платить тому же регистратору за него при продлении. Никто не мешает на свой домен получить сертификат другого типа/цены у другого CA, если CA или его партнер, где поначалу взяли, не особо порадует.
grossws
05.04.2016 10:18Смотря что вы под этим подразумеваете. Если клиенты внутри одной организации, то можно использовать CA организации. Если это независимые люди, которым невозможно автоматически добавить CA через те же GPO — то лучше взять нормальный, а коммерческий или, например, LE — вопрос предпочтений.
krs544
05.04.2016 11:22+1«Тем самым гарантируется сохранность данных, соблюдение закона о персональных данных»
Соблюдение ФЗ «О персональных данных» требует наличие лицензии ФСТЭК.
А ФСТЭК требует использование российских криптоалгоритмов.
Т.ч. данное утверждение некорректно
adm_88
07.04.2016 18:43А может быть что в результате сбоя/атаки сертификаты отозвутся для региона/страны и каковы возможные последствия?
BeLove
В современном мире все сложнее продавать сертификаты (из-за LE и т.п.).
Лучше бы как раз добавили абзац (или статью написали), почему все еще стоит покупать SSL сертификаты, а не использовать бесплатные (типа того же LE). Причин то хватает, хоть их и становится меньше, но для крупных сайтов они слишком существенны.
Alessandra
Спасибо за комментарий. Рассмотрим как вариант, для следующих статей.
inkvizitor68sl
LE не работает на старых системах, а пользователи старых систем — очень платежеспособные клиенты в целом.
(и я не только про ХР, но и про мобильники).
BeLove
Да, я в курсе :) Хоть на ХР можно работать через FF.
Тут еще и CF и другие. Сам использую их сертификаты на своих проектах.
И на одном прямо пришлось отказаться (интернет магазин, на который люди заходят с работы, на которых старые ПК с ХР).
На одном проекте использовал для API мобильного приложения — пришли люди с Android 2.x и тоже все накрылось.
dimic
раньше была проблема с ХР но её исправили: community.letsencrypt.org/t/help-needed-windows-xp-support/8756/113
inkvizitor68sl
Это даже винде апдейты накатывать не нужно? )
dimic
ну, для WindowsXP апдейты больше и не выходят. Если посмотреть в ссылке, что я дал, дальше, то там советуют использовать «старые» настройки TLS/SSL (https://mozilla.github.io/server-side-tls/ssl-config-generator/) с целью совместимости с разным старьём, но у меня проблема на ХР решилась просто обновлением сертификата (так что разбираться дальше я не стал).