• Cthnbabrfn

    SSL сертифікат для сайту, навіщо він потрібен, де його взяти і

    25.05.2016

    SSL сертифікат для сайту — для чого він потрібен і де його взяти? Захищаємо дані користувача!

    SSL сертифікат для сайту, навіщо він потрібен, де його взяти і
    Привіт, друзі. Багато хто з вас знають, що я останнім часом займаюся в основному підготовкою сервісу CheckTrust.ru до запуску. До речі, запуск повинен відбутися вже дуже скоро і вас чекають приємні сюрпризи, але ви і зараз можете реєструватися і повноцінно користуватися сервісом.

    Так ось минулого тижня стався черговий ключовий етап підготовки до запуску – отримання спеціального сертифіката SSL і перемикання сервісу на захищене з’єднання https:// .

    Що це, навіщо це і чому це так важливо?

    Дозвольте процитувати кілька рядків з Вікіпедії:

    HTTPS (HyperText Transfer Protocol Secure) — розширення протоколу HTTP, що підтримує шифрування. Він забезпечує захист від атак, заснованих на прослуховуванні мережевого з’єднання, за умови, що будуть використовуватися шифрувальні засоби, і сертифікат сервера перевірений і йому довіряють.

    Щоб підготувати веб-сервер для обробки https-з’єднань, адміністратор повинен отримати і встановити в систему сертифікат для цього веб-сервера.

    Центр сертифікації, при підписуванні перевіряє клієнта, що дозволяє йому гарантувати, що власник сертифіката є тим, за кого себе видає (зазвичай це платна послуга).

    Простіше кажучи, коли ви заходите на сайт https то всі дані, передані в браузері, шифруються, і навіть якщо їх перехопить зловмисник, розшифрувати їх ніколи не зможе. не маючи секретного ключа, який відомий тільки мені (власнику сертифіката).

    Користуючись яким-небудь сайтом, який зберігає і використовує особисті дані, а тим більше, якій передбачає оплату та інші фінансові операції, що ви довіряєте йому свою інформацію і хочете, щоб вона була в безпеці.

    Сайту ви можете довіряти, але якщо користуєтесь інтернетом у громадському місці (аеропорт, кафе або будь-яка інша безкоштовна wi-fi точка доступу) чи впевнені ви в тому, що з’єднання ніхто не слухає? До речі, прослуховувати можуть і домашній інтернет, якщо є фізичний доступ до роутера. Привіт халявний сусідський wi-fi?!

    Але навіть тут власники сайта можуть врятувати вас. Зрозуміло, за допомогою захищеного https-з’єднання. Я, як один із засновників сервісу CheckTrust, дбаю про вас, друзі, і хочу, щоб ви відчували себе спокійно. І ми зробимо все можливе для цього!

    Але досить лірики. Як ви вже зрозуміли, щоб зробити можливим https з’єднання, необхідно мати спеціальний SSL сертифікат і встановити його на сервер. де розташований сайт. Ось саме цим мені й належало зайнятися пару днів тому. А так як я навіть поняття не мав, що собою являє SSL сертифікат, де його взяти, скільки це коштує і як його активувати, я став розбиратися.

    Зайняв цей процес цілий робочий день, а потім ще цілий день на усунення несподіваних помилок. Я вирішив, що це варто того, щоб розповісти вам.

    Отже, першим ділом, я вирішив дізнатися, що ж це за сертифікати і з чим їх їдять. Нікого не здивую, якщо скажу, що просто ввів в Яндексі запит «ssl сертифікат». Коли я побачив слова «види», «різновид», «як обрати», «порівняння», стало ясно, що все не так просто. Прочитавши кілька статей на Хабре, я дізнався, що буває 3 типи сертифікатів, що їх видають спеціальні центри сертифікації і які з них найбільші.

    Визначитися з типом SSL було не так просто. т. к. крім верифікації тільки домену я хотів трохи більшого – підтвердження даних власника (хоч компанії у мене немає, зате у мене є я, і при певних умовах можна підтвердити особу замість організації).

    До цього, я розмовляв з Саньком (керівник відділу розробки CheckTrust, помітили, у нас тут кругом одні «Санька»!), і він сказав, що в Ярославлі бачив якусь контору. І так співпало, що у видачі був єдиний сайт, який продає сертифікати і як раз з Ярославля. Доля, мабуть, подумав я, і перейшов на їх сайт. Походив, подивився, але відповіді на своє питання, як отримати SSL сертифікат з перевіркою даних фізичної особи так і не знайшов, тому вирішив звернутися в техпідтримку .

    Мене цікавить ssl сертифікат. Прочитав, що є різні види сертифікатів з різним рівнем перевірки. Є найпростіші з перевіркою тільки домену. А є з перевіркою організації та інших даних.

    Хотілося б щось «посильніше» ніж просто перевірка домену. Але організації у мене немає, але я готовий підтвердити будь-які необхідні дані фізособи, т.тобто мене. Це можливо чи мені підійде тільки верифікація домену і найпростіший сертифікат?

    Досить швидко я отримав розгорнуту відповідь:

    Різниця між цими сертифікатами полягає ось у чому:

    Прості (Domain Validation, DV) – у сертифікаті зазначено тільки домен.

    З перевіркою компанії (Organization Validation, OV) – вказаний домен і назва компанії.

    З розширеною перевіркою (Extended Validation, EV) – зелена адресний рядок браузера, назву компанії в ній, у сертифікаті також домен і назва компанії.

    При цьому в силі шифрування різниці немає.

    EV Сертифікати фізичним особам в принципі не видаються. Процес перевірки навіть для компаній досить складний.

    Для сертифікатів OV можливо, але процес валідації набагато складніше, ніж у юросіб. Опис процесу, наприклад, на сайті Comodo. За посиланням знаходиться документ з описом (англійською) — потрібно заповнити його (форма на 3 сторінці), завірити у нотаріуса і відправити по е-мейлу.

    Крім того, у файлі є перелік документів, які вони приймають.

    1) Паспорт

    2) Документ з фінансової установи:

    міжнародна пластикова картка або дебетова картка, якщо на них вказаний термін дії, і він ще не закінчився, або

    виписка з банківського рахунку не старше 6 місяців

    3) Нефінансовий документ:

    рахунок за комунальні послуги або

    завірена копія свідоцтва про народження або

    податкова декларація за останній рік або

    завірена копія судового документа, наприклад свідоцтво про розлучення, судове рішення про визнання шлюбу недійсним або папери про усиновлення.

    тобто якщо Ви вирішите займатися цими документи, виникнуть додаткові витрати на нотаріуса. При цьому центри сертифікації не гарантують, що буде виданий сертифікат. Крім того на сайті сертифікат не буде відрізнятися від простого, різниця тільки в назві компанії всередині сертифіката, а, на жаль, не всі користувачі знають, де це переглянути.

    Тому краще всього замовити сертифікат з перевіркою тільки домену, а для того, щоб відвідувачі бачили, що сайт захищений, додатково додати друк захисту.

    Тим не менше, серед простих сертифікатів також є різниця.

    Наприклад, Thawte вважається вищим класом, так як більш серйозно перевіряє замовника, ніж Comodo. У той же час Comodo більш популярний, так як значно дешевше.

    Вирішивши, що тяганина з документами і зайві витрати мені нафіг не потрібні, я зупинився на єдиному доступному для фізичної особи варіанті – простий SSL сертифікат з підтвердженням домену .

    У процесі підготовки і покупки у мене виникали різні труднощі та запитання, на щастя, в кінці листа з тех.підтримки був скайп чудової дівчини Юлії. яка погодилася допомогти мені і терпляче відповідала на всі мої запитання і допомагала вирішувати проблеми. А після покупки навіть допомогла перевірити валідність установки сертифіката, в результаті чого була виявлена серйозна проблема, але про це пізніше. Коротше кажучи, мені дуже сподобалося наше спілкування і я запропонував Юлії взяти участь у написанні цього поста .

    Тому не буду тягнути і передаю слово Юлі, вона вам розповість про те, для чого використовуються SSL сертифікати, як проходить процес перевірки для різних типів SSL і в яких випадках їх краще застосовувати.

    Дорогі читачі, буду рада, якщо нижче надана інформація виявиться Вам корисною і допоможе визначитися з SSL сертифікатом, коли з’явиться така задача. Тим більше, коли в світлі останніх подій (а саме після виявлення уразливості Heartbleed) почали ходити чутки про те, що в майбутньому наявність SSL сертифікатів на комерційних сайтах увійде в список факторів ранжирування і буде позитивно оцінюватися в пошуку Google. Офіційної заяви компанія не робила, хоча на конференції SMX West 2014 Метт Каттс висловив своє побажання бачити зашифроване з’єднання частиною нового алгоритму (прим. публікація про те на серч ). Нам же залишається поки стежити за новинами.

    Почати хочу з того, що SSL сертифікати використовуються для захисту переданої інформації в найрізноманітніших областях. при взаємодії з клієнтами (реєстрація і авторизація на сайті, передача даних від клієнта на сервер, оплата кредитними картками), передача конфіденційних даних в інтранеті, забезпечення безпечної комунікації між співробітниками, що працюють віддалено, захист додатків і поштових серверів. Крім захисної функції слід звернути увагу на те, що наявність SSL сертифікату на сайті позитивно впливає на довіру відвідувачів і може додатково мотивувати відвідувача вчинити певну дію на сторінці (наприклад, зареєструватися або завершити покупку).

    Як Олександр зауважив на початку статті, дійсно існує величезна кількість сертифікатів, тому ми їх розділили на підкатегорії, щоб було простіше зорієнтуватися.

    З одного боку ми поділяємо SSL сертифікати в залежності від кількості захищаються доменів:

    1. 1 домен – захищає з’єднання з одним доменним ім’ям, наприклад, ви можете замовити його для домену my-site.ru або для піддомену pay.my-site.ru і захищений буде саме той, що вказаний під час замовлення. Використовується для простих веб-сайтів або окремих розділів веб-ресурсів.
    2. Домен і всі його піддомени – SSL сертифікати типу Wildcard, які захищають доменне ім’я, і все піддомени рівнем нижче. Замовляючи такий SSL сертифікат, важливо вказати назву сайту у форматі *.my-site.ru, тоді на місці зірочки зможе виявитися будь-який існуючий і майбутній піддомен Вашого веб-сайту.
    3. Кілька доменів – мультидоменный SSL сертифікат здатний заощадити Ваш час для замовлення, установки і управління, так як включає усі зазначені під час оформлення домени та/або піддомени. Найчастіше застосовується на поштових серверах або ж власниками декількох доменів.

    З іншого боку існують різні типи валідації замовника для отримання того чи іншого сертифіката SSL, які згодом визначають рівні «престижу» сертифікатів:

    1. Валідація домену – підходить для фізичних та юридичних осіб і полягає у підтвердженні замовлення по адміністративній електронній пошті або за допомогою http-запиту

    Краще всього підходить для невеликих сайтів онлайн без оплати, для внутрішнього користування, для захисту iframe додатків, тобто в тих випадках, коли важливо забезпечити безпечну передачу даних, але користувачу не обов’язково знати, якій компанії належить захищений сайт.

  • Перевірка компанії – видається юридичним особам без проблем, для цього потрібно, крім підтвердження по електронній пошті, пройти валідацію по телефону. Особливих складнощів даний процес не являє, коли в замовленні, даних про домен і в телефонному довіднику збігається назва і адреса компанії. Фізичним особам такі SSL сертифікати теоретично також видаються, але практично процедура досить складна, так як потрібно ряд документів, засвідчених нотаріусом.

    SSL сертифікат з перевіркою компанії містить назву фірми і використовується в тих випадках, коли необхідно не тільки захистити з’єднання, але і вказати, хто є власником сертифіката. Наприклад, це дуже важливо у випадку сертифікатів розробника для підпису програмного коду, а також коли SSL сертифікат видається на IP адресу, або ж коли власник веб-сайту бажає дати можливість відвідувачам перевірити належність сайту своєї компанії (для цього потрібно клацнути на замок в адресному рядку і переглянути властивості SSL сертифікату).

  • Розширена перевірка компанії, крім перерахованих вище методів валідації електронною поштою і телефоном, передбачає перевірку юридичних документів компанії і вимагає офіційну заяву і угоду з центром сертифікації про випуск даного SSL сертифікату. Видаються SSL сертифікати EV (від Extended Validation – розширена валідація) виключно юридичним особам.

    Особливістю SSL сертифікатів з EV є фарбування адресного рядка браузера в зелений колір, крім того в ній з’являється назва компанії. Ці характеристики виділяють сайт серед конкурентів і привертають увагу відвідувачів, тому такий тип SSL сертифікатів ідеально використовувати для онлайн-магазинів, фінансових установ, платіжних систем, тобто в тих випадках, де довіра клієнтів має першорядне значення.

  • Для SEO-блогу було б логічно порушити питання про те, як перехід на https:// впливає на ранжирування сайту. Першим ділом хочу зауважити, що ще в квітні 2013 року Джон Мюллер (Google) повідомив, що сторінки, захищені SSL сертифікатом, ранжуються точно так само, як і прості сторінки http://. Тим не менш, щоб не виникло проблем з пошуковими системами, при установці SSL сертифікату необхідно врахувати наступні фактори:

    1. Швидкість завантаження.

    Хостинг, на якому розташований Ваш сайт, повинен справлятися з додатковим навантаженням при SSL з’єднання, так як швидкість завантаження є одним з факторів ранжирування в пошукових системах. Захищений SSL сертифікатом сайт вимагає більше ресурсів, ніж звичайний, так як з’єднання по протоколу https шифрується. Тому важливо врахувати це явище при установці SSL сертифікату.

  • 301 редирект.

    Пошукові системи цінують унікальний контент на веб-сайті, тому важливо переконатися, що всі матеріали сайту http:// перенаправляється з використанням простого 301-го редіректу на еквівалентну сторінку https://. Якщо упустити цей момент і не налаштувати переадресацію, це може негативно позначитися на ставленні пошукових систем до сайту, так як ці сторінки розпізнаються як два різних веб-сайту з однаковим контентом.

  • Інструменти для веб-майстрів.

    З тієї ж причини слід вносити в інструменти веб-майстрів версію сайту https:// окремо в якості нового сайту.

  • Мабуть, це була основна інформація, яка може знадобитися при виборі та подальшому використанні SSL сертифікату. Звичайно ж, буває безліч нюансів і індивідуальних вимог, таких як захист версій сайту www. і без, використання одного сертифікату на декількох фізичних серверах або підтримка високого рівня шифрування застарілими браузерами, але їх краще розглядати в кожному індивідуальному випадку, так само, як і питання встановлення і усунення помилок. Тому я і мої співробітники будемо раді відповісти на всі запитання читачів цього чудового блогу.

    Дякую Юлі за докладний опис видів сертифікатів і корисну інформацію. Сподіваюся, це вам стане в нагоді, коли питання з захистом вашого сайту стане актуальним. Можете задавати свої питання прямо в коментарях. Нагадаю, що Юля є представником компанії «Эмаро». де я купував свій сертифікат, так що рекомендую. Але мені хотілося б додати ще важливу річ.

    Юля сказала, що Google хочуть бачити наявність https як одного з факторів ранжирування, але і Яндекс не виняток. Після скасування посилань для комерційних запитів в Москві (або не скасування, поки не зрозуміло досі) стало популярним говорити про, так звані комерційні фактори. Вперше про них заговорили кілька років тому (ще в 2011), але як-то особливо активно стали згадувати не так давно. Так от крім таких очевидних моментів, як контакти, асортимент, детальна картка товару, доставка, онлайн-консультант, відсутність реклами і т. д. десь я чув про https протокол для кошика покупця або навіть для всього сайту магазину. Підтвердження цьому немає, але знати і пам’ятати про це по любому треба!

    Тільки після того, як я сам особисто зіткнувся з SSL сертифікатами та захистом даних я зрозумів, наскільки це дійсно важливо. І, якщо раніше я міг би сказати, що наявність https з’єднання там, де це доречно, це бонус, то тепер я скажу інакше – відсутність https з’єднання там, де зберігаються особисті дані і відбуваються транзакції, це недолік! З усіх бірж лише Сапа використовує https з’єднання (нехай і SSL сертифікат у них самопідписаний і довіри не має, але, тим не менш), а з агрегаторів тільки seopult. Це провал…

    А у нас ось така краса у даний момент!

    до Речі, інформація на скріншоті про 500 безкоштовних перевірок на сервісі ще актуальна! Так що реєструйтеся і користуйтеся ??

    Мабуть, на сьогодні все. Спасибі за увагу, друзі.

    До зв’язку!

    З повагою, Олександр Алаєв

    Короткий опис статті: cthnbabrfn

    Джерело: SSL сертифікат для сайту — навіщо він потрібен, де його взяти і який тип обрати?

    Також ви можете прочитати