Сейчас уровень защищенности персональных данных всегда повышается, но хакеры и другие личности ,которые хотят получить информацию, придумывают новые способы обмана. В данной статье расскажем о защите данных, которые пользователь вводит на сайтах, например при регистрации, когда оставляет комментарий или вводит данные карты. Узнаем, что такое SSL сертификат, как он помогает защищать посетителей от утечки.
Технология не новая и изначально ей пользовались только отдельные интернет-проекты, их было единицы. В 2014 году компания Google заявила, что установленный SSL сертификат дает плюс в ранжировании, а их браузер Гугл Хром станет помечать сайт без него как «небезопасные». Вслед за Гуглом подтянулся Яндекс, а позже остальные сервисы (например по приему платежей) стали требовать ССЛ.
Сама аббревиатура SSL, как и сам продукт, существует больше 25 лет. Сейчас все сайты работаю на сертификатах TLS шифрования (Transport Layer Security), это новая технология, но все уже по привычке называют его SSL.
HTTP (HyperText Transfer Protocol) и HTTPS (HyperText Transfer Protocol Secure) это не разные технологи, а второй это расширенная версия первого. Единственное отличие что в HTTP передача информации от клиента к серверу и обратно идет не в защищенном виде, может быть перехвачена. В HTTPS любая передача шифруется криптографической защитой и ключом доступа.
Теперь узнаем, что именно шифрует SSL, возможно он не нужен нам и это лишняя трата времени и денег? Нет, сейчас даже на информационные проекты их ставят. Для пользователей шифрованию подвергаются:
Для владельца сайта становятся доступны:
Главная задача SSL сертификата это защита данных именно на этапе их передачи, чтобы хакерские скрипты не смогли перехватить и главное распознать данные пользователя.
Посмотрим на примере браузера гугл хром, нажимаем на значок замка, выбираем «Действительный сертификат».
Появится новое окно с тремя вкладками, можете посмотреть всю информацию и убедиться что ошибок в работе нет. Можно найти информацию про: имя домена, цифровую подпись, организация выдавшая сертификат, на какие поддомены распространяется SSL, дата выдачи, дата окончания действия, открытый или закрытый ключ авторизации.
Есть две категории SSL по типу подписи, именно они регулируют доверие со стороны браузеров и онлайн-сервисов:
Самоподписанные подписываются самим сервером, его создают люди самостоятельно для своих сайтов.
Выданные не доверительным центром – есть организации, которые выдают сертификаты, но не имеют доверия у браузеров и онлайн-сервисов.
Потерявшие доверие – центры имевшие ранее репутацию и доверие, но потерявшие его, в основном из-за плохой проверки на стадии выдачи.
Подписанные доверенным центром сертификации (валидные) – тип сертификата, подписанный удостоверяющим центром (УЦ), таковых довольно много, к ним относятся: Symantec, Comodo, GlobalSign, Thawte, GeoTrust, DigiCert.
Всего есть 6 видов подписанных SSL-сертификатов с разными уровнями проверки, соответственно цена разниться, необходимо сразу выбрать вид сертификата по типу вашего сайта:
Цифровой сертификат нужен всем сайтам без исключения, но в особенности тем кто связан с финансами: интернет-магазины, соцсети, сервисы услуг с онлайн оплатой, банкам, платежные системы с переводами, службы доставки и другие организации, совершающие финансовые операции.
Для информационных, новостных и трафиковых ресурсов требование не обязательно, но лучше применить технологию электронного шифрования от злоумышленников. Есть несколько вариантов бесплатных решений, например Let’s encrypt или совсем дешевых от 500 рублей в год.
Сейчас с этой задачей справляется хостинг-провайдер. Необходимо подать заявку на покупку и выпуск сертификата, а все остальные операции по его оформлению с установкой берут на себя специалисты хостинга. Если никаких услуг не предоставляется, то общая схема такая:
К сожалению инструкцию как установить ССЛ не можем дать, процесс индивидуальный, поэтому доверяйте этот процесс поддержке хостинга. Если они такие услуги не предоставляют, то прибегайте к помощи на фрилансе, либо меняйте хостинг-провайдера.
В течение прочтения статьи, думаю знаете как определить, но подведем итог:
Если не оплачивать продление, то центр сертификации его отзовет, при проверке и входе на сайт, браузер выдаст ошибку, что шифрование более не происходит. Центр сертификации должен оповещать хозяина, что защита скоро перестанет работать и нужно продлить его обслуживание.
Да, возможно, но с мультидоменными сертификатами (второе название SAN), позволяющими устанавливать SSL на несколько доменов. Скрипт привязывается к доменным именам и действует только на них, на каких серверах расположены сами сайты не имеет значения. Единственное следите за ошибками и проверяйте все проекты.
Выше в статье мы определили, что технология помогает шифровать только передаваемые данные и защищать только их. С самим сайтом, файлами, базой данных SSL ничего общего не имеет, поэтому никакой роли на безопасность и на вероятность уменьшения попыток взлома не имеет.
Ниже дадим советы как себя вести в интернете, чтобы не попасть к мошенникам, протокол SSL не панацея, не даст 100% защиты сохранности ваших данных, если ресурс на котором вы находитесь уже у мошенников.
В статье разобрали что такое SSL сертификат, его виды, помогает ли он в SEO. Настраивайте защищенное HTTPS соединение на всех своих и клиентских проектах.
Для читателей у нас есть отличное предложение на систематическую оптимизацию портала в интернете.
Хорошая статья, быстро и коротко даёт представление, что такое HTTPS и TLS/SSL. Для тех, кто имеет начальное представление о теме, не для \"чайников\". Коробит, что текст либо тупо закинули из автоматического переводчика, либо писали очень быстро, путаясь и спотыкаясь. Наймите редактора! Ну или сами хотя бы вычитывайте перед публикацией.
Спасибо за статью