Устанавливаем ssl: какой сертификат выбрать?

Разница между HTTP и HTTPS

Буквы HTTP, которые можно видеть в начале адресной строки, обозначают то, что обмен данными между клиентами и сервером осуществляется по прикладному протоколу hypertext transfer protocol. Это стандартный вариант, применяемый в сети Интернет. Сама аббревиатура располагается перед доменным именем, никак не выделяется на фоне других букв адресной строки. Прописана тем же шрифтом. Бывают ситуации, когда незащищенный протокол и вовсе не отображается.

Если вместо HTTP присутствует надпись HTTPS, это значит, что данные передаются по тому же протоколу, но буква «S» свидетельствует о наличии криптографической защиты. То есть, в рассматриваемой ситуации удается понять, что вся информация зашифрована по протоколам SSL и TLS. Расшифровать ее без специального ключа не удается.

Есть и технические отличия между HTTP и HTTPS. В первом случае обычно используют порт соединения 80, во втором — 443. Если понадобится, системный администратор может указать и другой порт, но в любом случае цифры для разных протоколов будут отличаться.

В качестве вывода отметим, что на сайтах, применяющих HTTPS, защита личной информации пользователей гарантирована. Она обеспечивается протоколом TLS, который предусматривает три уровня предотвращения несанкционированного использования сведений:

• шифрование данных. Это позволяет исключить вероятность их перехвата во время передачи;
• сохранность сведений. Любое их изменение обязательно фиксируется независимо от того, было оно выполнено намеренно или случайно;
• аутентификация. Гарантирует то, что пользователь попадет именно на тот ресурс, который ему нужен.

Теперь вопросов относительно разницы между протоколами возникать не должно.

Аннотация

Эта статья содержит следующие разделы:

• Сведения о том, как настроить и включить сертификаты сервера, чтобы клиенты могли быть уверены в том, что ваш веб-сайт действителен и что любые отправляемые им сведения остаются конфиденциальными и конфиденциальными.
• Сведения о том, как использовать сторонние сертификаты для использования SSL, а также общий обзор процесса, используемого для создания запроса подписи сертификата (CSR), который используется для получения стороннее сертификата.
• Как включить SSL-подключение для веб-сайта.
• Как применить протокол SSL для всех подключений и установить требуемую длину шифрования между клиентами и веб-сайтом.

Для двух типов проверки подлинности можно использовать функции безопасности SSL веб-сервера. Вы можете использовать сертификат сервера, чтобы разрешить пользователям аутентификацию веб-сайта перед передачей личных сведений, таких как номер кредитной карты. Кроме того, вы можете использовать клиентские сертификаты для проверки подлинности пользователей, запрашивая информацию на веб-сайте.

В этой статье предполагается, что для проверки подлинности веб-сервера используется сторонний ЦС.

Чтобы включить проверку сертификата SSL Server и обеспечить уровень безопасности, необходимый вашим клиентам, необходимо получить сертификат от стороного ЦС. Сертификаты, выда которыми выданы вашей организации сторонним ЦС, обычно привязаны к веб-серверу и, в частности, к веб-сайту, к которому необходимо привязать SSL. Вы можете создать собственный сертификат с сервером IIS, но в этом случае ваши клиенты должны неявно доверять вам как к сертификату.

Статья предполагает следующее:

• Вы установили IIS.
• Создан и опубликован веб-сайт, который необходимо защитить с помощью SSL.

Влияние SSL-сертификата на SEO продвижение

Как мы выяснили, на данный момент сайты с HTTPS протоколом официально не имеют преимущества в ранжировании в поисковых системах, но могут выигрывать за счет улучшения поведения пользователей на страницах ресурса. Это также относится и к поведению пользователей на сайте в конкретном браузере. Например, Google Chrome, уже начал помечать сайты с HTTP протоколом, как незащищенные:

Это в свою очередь также может негативно сказываться на поведенческих факторах пользователей, что в свою очередь приводит к понижению ранжирования сайта в поисковиках.

Какие проблемы и негативные моменты по SEO могут возникнуть при установке SSL-сертификата? Самая основная проблема — это необходимость изменения главного зеркала сайта. Переезд сайта с HTTP протокола на HTTPS предполагает удаление всех старых страниц с поисковой выдачи, и добавление этих же страниц с новым протоколом. В этом случае поисковые системы не гарантируют не только сохранение текущих показателей посещаемости и позиций сайта, но и страниц в выдаче в целом.

Что говорит практика? Мы располагаем 2 примерами переезда сайтов на HTTPS протокол. Давайте рассмотрим их.

Переезд информационного сайта на HTTPS

Информационный сайт женской тематики:

По графику посещаемости из Яндекс.Метрики видна просадка трафика во время смены главного зеркала сайта и переобхода новых страниц роботами поисковых систем. Однако в дальнейшем показатели посещаемости не только восстановились, но и продолжили свой рост. Конечно, рост траффика обусловлен не переездом сайта на HTTPS протокол, а работой над контентом. Переезд на HTTPS был запланирован в одно время с переездом сайта на новый сервер, чтобы нивелировать возможные последствия от перебоев в работе сайта. График показывает подтверждает лишь тот факт, что потеря позиций и снижение трафика имеет лишь временный эффект.

На графике представлена посещаемость одного из топовых сайтов в нише пляжной одежды и купальников. Красными линиями выделен промежуток переезда сайта на HTTPS протокол

Обратите внимание, что переезд осуществляется в декабре, когда спрос на купальники и пляжную одежду был не такой высокий. Снижение трафика на фоне естественного снижения спроса в нише оказалось незначительным

После индексации новых страниц траффик и позиции ресурса быстро восстановились. Стоит отметить, что это возрастной и авторитетный ресурс. Отчасти поэтому переиндексация страниц прошла столь безболезненно.

Конечно, существуют и обратные примеры, когда переезд на HTTPS протокол прошел более болезненно для web-ресурсов, и 2 примера мало о чем свидетельствуют. Мы лишь хотим отметить, что при правильном переезде сайта с технической точки зрения, острые углы можно максимально сгладить.

Зачем сайту нужно переходить на https?

Переход на безопасное соединение необходим некоторым сайтам ввиду особенностей их деятельности и рекомендован другим сайтам.

4 главные причины для перехода на https:

• Безопасность платежей. SSL-сертификат позволяет передавать все данные банковских карт в зашифрованном виде.
• Снижение числа отказов. Https позволяет избежать уведомления в Google Chrome “Ваше подключение не защищено”.

Рисунок 3. Пример отображения незащищенного соединения сайта в браузере Google Chrome.

• Безопасность платежей. SSL-сертификат позволяет передавать все данные банковских карт в зашифрованном виде.
• Снижение числа отказов. Https позволяет избежать уведомления в Google Chrome “Ваше подключение не защищено”.

Спецификация

SSL-сертификаты, как файлы данных в цифровом формате, связывают криптографический ключ с данными организации, такими как:

• имя домена, сервера или хоста;
• организационная принадлежность и местоположение.

Организации необходимо инсталлировать SSL-сертификат на веб-сервер, чтобы установить безопасный сеанс с браузерами, после чего весь передаваемый трафик будет безопасным.

Когда сертификат успешно установлен, протокол приложения изменится на HTTPS, где «S» означает «безопасный». В зависимости от типа сертификата, браузер будет показывать значок замка или зеленую полосу при посещении сайта, содержащего сертификат SSL.

Акционные предложения по получению SSL сертификата бесплатно

Следующий способ бесплатно получить SSL сертификат для сайта – это воспользоваться акциями на различных регистраторах доменных имен либо хостинг-провайдеров. К примеру, компания REG.RU проводит акцию по выдаче бесплатных сертификатов сроком на один год. Единственное условие – ваш домен должен быть зарегистрирован в компании REG.RU.

Скорее всего, подвох здесь будет заключаться в том, что на следующий год, когда вам придётся этот сертификат продлять, то стоимость его будет значительно выше чем у конкурентов, но, тем не менее, никто вам не мешает по пользоваться год этим сертификатом бесплатно, а затем получить новый у какой-то другой компании, где он будет стоить дешевле.

Вот ссылка на страницу акции.

Так же, на некоторых хостингах, при заказе, скажем, домена и хостинга, вам могут предложить SSL сертификат бесплатно или же по каким-то выгодным условиям.

Еще вы можете встретить предложение такого рода, когда вам предлагается заказать SSL-сертификат с бесплатным тестовым периодом на 90 дней. После истечения этого срока вам нужно будет этот сертификат оплачивать.

При этом вы должны понимать, что за эти 90 дней тестового периода вы особо там ни чего не протестируете. Поэтому, прежде чем соглашаться на такое предложение, лучше сразу узнать какова будет стоимость SSL сертификата после истечения этих 90 дней.

Для чего необходим SSL-сертификат

Наверняка вы замечали, что адреса некоторых сайтов начинаются буквами http, а некоторые — https. И то, и другое указывает на протокол передачи данных, то есть ряд правил, по которым браузер и сервер обмениваются информацией. 

Передача данных по протоколу http происходит в открытом виде. Рассмотрим на примере: когда вы покупаете что-то онлайн и вводите данные банковской карты, браузер сообщает их серверу. Если сайт работает по http-соединению, данные, которые вы указали, никак не защищены, а это значит, что злоумышленник может получить к ним доступ и расплатиться вашей картой в интернете. 

Чтобы таких ситуаций не происходило, было создано специальное расширение для протокола http, отвечающее за защиту передаваемых данных — https. Чтобы эту защиту обеспечить, данные необходимо зашифровать — вот для чего нужен SSL-сертификат.

Что получает пользователь при регистрации?

Теперь посмотрим на преимущества, которые получает обычный владелец сайта. Давайте представим себе, что такое корневой сертификат SSL, и зачем он нужен. Как правило, именно он является основным в списке предоставляемых услуг поддержки, хотя в основном пакете таких сертификатов присутствует как минимум три:

• корневой;
• промежуточный;
• сертификат для отдельных доменов.

Не вдаваясь в подробности каждой технологии, можно отметить только то, что при получении сертификата любого уровня тот же владелец сайта получает некие негласные преимущества перед конкурентами. Во-первых, сертификат SSL удостоверяет надежность ресурса, во-вторых, гарантирует безопасное шифрование данных, в-третьих, как ни странно это звучит, повышает рейтинг ресурса на уровне поисковых систем, которые, как известно, изначально ищут результаты запросов на доверенных ресурсах.

Где использовать SSL-сертификаты? Тут сразу же можно применить юридический аспект. Грубо говоря, владелец сайта, получив данное удостоверение, снимает с себя всякую ответственность за безопасность ресурса, поскольку организация, выдавшая такой электронный документ, выступает в качестве гаранта. Конечно, проверки производятся чуть ли не ежедневные. И, естественно, изначально предполагается, что на сертифицированном в плане безопасности сайте не буде размещаться так называемый пиратский контент или автоматически срабатывающие вредоносные коды, которые могу нанести ущерб конечному пользователю при входе на сайт или даже при осуществлении операции перенаправления (редиректа).

Что такое SSL-сертификат и для чего он нужен

Безопасность и конфиденциальность в интернете — важнейший фактор для пользователей при посещении любого сайта. Согласитесь, никому не хочется лишиться пароля от банковской карты или другой конфиденциальной информации после невинного серфинга в сети. От того насколько защищен ваш сайт зависит доверие к нему со стороны пользователей и поисковиков.

SSL — это сертификат или своего рода «удостоверение», подтверждающее, что ваш сайт безопасен для пользователей. Без этого сертификата, данные, которые вы вводите на сайте, могут быть перехвачены злоумышленниками.

Если пользователь попадает на сайт без SSL, то видит вот такую ужасную картину (с Google):

Аналогично с Яндекса:

В адресной строке все не менее печально.

Как вы понимаете, увидев подобное предупреждение, пользователь тут же покинет сайт. Поэтому SSL нужен не только магазинам, но и вообще любому современному сайту, включая личные блоги.

Соответственно дело за малым — получить сертификат и установить его на сайт. Получить SSL  можно бесплатно и платно.

Это интересно: Обучение на аналитика данных

Ок, поменялись ключами, дальше всё шифруется?

Да. Но не спешите радоваться – абсолютной защиты это не даёт. Во-первых, вас всё равно слушает государство (либо ваше роднойродное, либо американское – это ведь, скорее всего, их центры сертификации). Во-вторых, сами сертификаты могут быть выпущены с уязвимостью (либо метод шифрования может быть уязвим), чтобы знающий человек мог их читать – тут вам передаёт пламенный привет Сноуден, который это спалил. В-третьих, несмотря на сложность подсчёта ключа, его всё же можно подобрать математически – правда, это займёт ни одну сотню лет, но если вдруг у организации, которая очень хочет вас послушать, есть невероятно большая вычислительная мощность, вас может ждать сюрприз. И, наконец, всё идёт к тому, что довольно скоро изменятся сами принципы вычисления таких чисел на процессорах (благодаря уже доступным в лабораториях квантовым компьютерам), поэтому через несколько лет, скорее всего, нас ждут большие изменения в самих методах шифрования. Проще говоря: сосед не узнает, провайдер не узнает, сисадмин не узнает, даже хакер, скорее всего не узнает, а вот КГБ бдит, товарищ.

Как SSL-сертификат влияет на позиции сайта в поисковых системах?

Теперь, что касается влияния SSL-сертификата на позиции вашего сайта в поисковой выдаче. Здесь вопрос достаточно не однозначный.

Все началось с того, когда 6 августа 2014 года компания Google объявила о том, что если сайт осуществляет передачу по протоколу HTTPS с использованием SSL-сертификата, то это влияет на его позиции в поисковой выдаче. Вот ссылка на эту публикацию, правда она на английском =)

Изначально вес данного параметра был не большой. Но летом 2016 года представители Google, на одной из встреч с веб-мастерами, заявили, что в компании рассматривается увеличение веса SSL-сертификат как фактора ранжирования поисковой выдачи. Это делается в первую очередь для того, что бы стимулировать веб-мастеров переходить на протокол HTTPS с более высоким уровнем защиты передаваемых данных.

Более того, представители компании Google поговаривают о том, что уже совсем скоро в браузерах Google Chrome для сайтов, работающих без протокола HTTPS, будет высвечиваться сообщения с предупреждением о том, что сайт является не безопасным для посещения. Такой ход, конечно же, в значительной мере повлияет на уровень доверия посетителей вашего сайта, и соответственно, на показатель отказов, и как следствие, на позиции в поисковой выдаче.

Что же касается компании Яндекс, то с их стороны подобных заявлений я пока что не встречала. Однако в скором будущем, возможно и они тоже решат использовать наличие SSL-сертификата в качестве одного из параметров ранжирования. Это позволит отфильтровать сайты, созданные исключительно под продажу ссылок и заброшенные сайты.

Однако, судя по всему, даже если вы сейчас еще не используете на своем сайте SSL-сертификат, то в скором будущем вам он может понадобиться. Лично я в течении следующей недели планирую осуществить переход своего сайта Impuls-Web.ru на SSL-сертификат, и затем я опубликую детальный отчёт о том, какую мне пришлось проделать для этого работу, с какими сложностями я столкнулась и какие последствия получились в итоге.

Поэтому если вы еще не подписаны на мою рассылку, то обязательно подпишитесь. Уверена, что данная информация будет для вас полезна.

Как получить SSL-сертификат

SSL-сертификат можно получить непосредственно в центре сертификации. Центры сертификации, иногда также называемые сертифицирующими организациями, ежегодно выдают миллионы SSL-сертификатов. Они играют важную роль в работе интернета и обеспечивают прозрачное и надежное взаимодействие в сети.

Стоимость SSL-сертификата может доходить до сотен долларов, в зависимости от требуемого уровня безопасности. После выбора типа сертификата можно найти издателей сертификатов, предлагающих SSL-сертификаты нужного уровня.

Получение SSL-сертификата включает следующие шаги:

• Подготовка. Настройте сервер, и убедитесь, что ваша запись WHOIS обновлена и соответствует данным, отправляемым в центр сертификации (она должна отображать правильное название и адрес компании и т. д.).
• Создание запроса на подпись SSL-сертификата (CSR) на вашем сервере. С этим действием может помочь ваша хостинговая компания.
• Отправка запроса в центр сертификации для проверки данных о вашем домене и компании.
• Установка полученного сертификата после завершения процесса.

После получения сертификата его необходимо настроить на вашем веб-хосте или серверах, если вы обеспечиваете хостинг веб-сайта самостоятельно.

Скорость получения сертификата зависит от типа сертификата и поставщика сертификатов. Для завершения каждого уровня проверки требуется разное время. Простой SSL-сертификат, подтверждающий домен, может быть выпущен в течение нескольких минут после заказа, а получение сертификата с расширенной проверкой может занять целую неделю.

Виды SSL-сертификатов в зависимости от уровня проверки

При этом SSL-сертификаты можно разделить на несколько уровней:

1. 1.Domain Validation ( сокращённо DV) — SSL-сертификат с валидацией домена. В данном случае проверяется, в первую очередь, имя домена. При этом, этот сертификат обеспечивает достаточную защиту передаваемых данных и подходит практически для любого сайта. Если сайт имеет такой сертификат, то у него рядом с адресом сайта отображается зеленый замочек.
2. 2.Organization Validation (сокращённо OD) — SSL-сертификат с валидацией организации (OV). Такие сертификаты выдаются только крупным компаниям. При этом проверяется физическое существование такой компании. Данный вид сертификата стоит на много дороже. И если вы попадаете на сайт с таким сертификатом, то у вас в адресной строке браузера помимо зеленого замочка, еще зеленым цветом подсвечивается имя компании, и если вы кликаете по нему, то высвечивается табличка с данными компании, а так же пометка, о том, что соединение безопасно и компания идентифицирована.
3. 3.Extended Validation ( сокращённо EV) — сертификат с расширенной проверкой компании. Наличие данного SSL-сертификата обеспечивает самую высокую степень защиты и доверия. В данном случае, перед выдачей сертификата, производится более детальная проверка компании, и если компания проходит эту проверку, и им выдается расширенный сертификат, то в данном случае на их сайте адресная строка браузера выделяется зеленым цветом. Считается, что такой сертификат пользуется наибольшим доверием у посетителей.

Виды SSL-сертификатов

Какие бывает SSL-сертификаты, в двух словах не рассказать, так как есть несколько критериев, по которым их можно классифицировать. Начнем с самоподписанных и доверенных. 

Самоподписанный сертификат можно выпустить самостоятельно при наличии нужных инструментов. К примеру, это доступно в некоторых панелях управления веб-сервером (ISPmanager, Cpanel и т.д.). Из хорошего здесь то, что такой сертификат бесплатный, из плохого — его можно использовать только для служебных целей, а вот доверие посетителей сайта он не вызывает, потому что в адресной строке сообщается «Не защищено». Иначе говоря, сайт выглядит точно так же, как и если бы у него не было сертификата.

Доверенный сертификат выпускается Удостоверяющим центром — организацией, обладающей правом на выдачу сертификатов

Из всего того, что дает такой SSL-сертификат, стоит выделить самое важное: для посетителей сайта — это гарантия безопасности, а для его владельца — доверие пользователей. Википедия определяет Центр сертификации как «сторону, чья честность неоспорима»

Вот несколько тому объяснений:

• Проверка на право владения доменным именем или информации о компании, которая запрашивает сертификат.
• Высокий уровень шифрования данных, подкрепленный финансовой гарантией.
• Цепочки корневых сертификатов доверенных центров по умолчанию включены практически во все браузеры.

Эти преимущества в большей степени относятся к коммерческим Центрам сертификации (к примеру, Sectigo). Существуют также бесплатные, самым популярным является Let’s Encrypt. 

Чем отличаются бесплатные SSL-сертификаты от коммерческих: обычно методы шифрования и тех, и других центров соответствуют актуальным стандартам, но бесплатные не предоставляют финансовую гарантию, такие сертификаты могут не поддерживаться некоторыми браузерами и операционными системами и имеют небольшой срок действия (как правило, 90 дней).

Также сертификаты можно разделить, основываясь на способе проверки:

• DV, Domain Validation — сертификат, подтверждающий доменное имя. Его можно получить за 15 минут, так как Центр сертификации проверяет только право владения доменом.
• OV, Organization Validation — сертификат, подтверждающий домен и существование организации. При его выпуске, помимо права на домен, CA проверяет и регистрацию компании. Для получения такого SSL-сертификата понадобится несколько дней.
• EV, Extended Validation — сертификат, подтверждающий принадлежность сайта компании. Перед тем, как его выпустить, Центр сертификации проводит тщательную проверку — от права на домен до лицензии на вид деятельности, в среднем это занимает от нескольких дней до двух недель. Заказ открыт только юридическим лицам.

Раньше отличительной чертой EV являлась не только особая проверка, но и отображение этого сертификата на сайте — в адресной строке браузера было закреплено название компании и обозначено зеленым цветом.

Буквально недавно произошло изменение, и название компании было перенесено «под замочек». Нужно нажать на него, чтобы посмотреть информацию. Обновление вступило в силу в новых версиях некоторых браузеров: Chrome 77, Firefox 70, Safari на iOS 12 и macOS 10.14.

Как уже упоминалось выше, сертификат заказывается для доменного имени. А что делать, если нужно защитить и домен, и поддомены? Или сразу несколько разных доменных имен? Нужен ли отдельный SSL-сертификат каждому субдомену или домену?

Если вы используете и домен, и субдомены, стоит обратить внимание на SSL Wildcard. Этот сертификат распространяется на основной домен, а также его поддомены уровнем ниже

Он дороже сертификатов, предназначенных для одного домена, так что имеет смысл в его покупке, когда субдоменов много. Если же 1-2, то выгоднее заказать сертификаты отдельно для каждого.

В ситуации, когда у вас много онлайн-проектов на отдельных доменах, поможет SAN SSL, который защищает сразу несколько доменов (также его называют мультидоменным сертификатом). Его цена зависит от количества доменов, для которых он предназначен.

Протокол TLS

Протокол TLS представляет собой криптографический протокол, который применяется для защищенной передачи данных между различными узлами в сети интернет. Данный протокол нашел применение в VoIP-приложениях, веб-браузерах, приложениях для мгновенного обмена сообщениями. TLS реализован на спецификации SSL 3.0. Разработкой и развитием протокола занимается компания IETF.

К основным мерам безопасности, которые обеспечивает протокол TLS, относятся:

• Применение ключа для проверки кода аутентификации сообщения.
• Исключена вероятность понижения версии TLS или подмены на менее защищенный сетевой протокол.
• Сообщение с подтверждением связи содержит хэш всех сообщений, которыми обменивались стороны.
• Использование нумерации записей приложения с применением MAC.
• Применение псевдослучайной функции, разбивающей входные сообщения на 2 части, каждая из которых обрабатывается разной хэш-функцией.

Особенности и назначение протокола TLS

В протоколе TLS используются следующие алгоритмы:

• RC4, Triple DES, SEED, IDEA и др. для симметричного шифрования.
• RSA, DSA, Diffie-Hellman и ECDSA для проверки подлинности ключей.
• MD5, SHA и SHA-256/384 для хэш-функций.

Приложения осуществляют обмен записями, которые хранят в себе данные. Записи могут быть сжаты, дополнены, зашифрованы или же идентифицированы. При этом в каждой записи указываются данные о длине пакета и используемой версии TLS.

В общем случае применение криптографии в протоколах SSL/TLS значительно снижает производительность приложений, зато обеспечивает надежную защиту передачи данных. Протоколы не требуют практически никаких настроек с клиентской стороны, считаются самыми распространенными протоколами защиты в сети интернет.