Что такое SSL, HTTPS и TLS

Дата публикации: 22.11.2017

chto-takoe-httpsВсем доброго времени суток ! 🙂

Те, кто подписан на обновления проекта и следят за выходом новых статей, заметили, что в последнее время я увлёкся вопросами кибербезопасности. В результате свет увидел статьи о капче, как одного из механизмов защиты сайта от роботов, и публикацию о безопасности WordPress.

В последней, при перечислении различных мер и плагинов для защиты WordPress сайтов от злоумышленников, я вскользь упомянул о протоколе HTTPS и подумал, что кто-то из вас может не знать, что это такое. Да что уж там скрывать: при написании статьи я сам был знаком с данным термином только поверхностно.

Однако, в рамках работы в последнее время всё чаще появляется необходимость установки SSL сертификатов на сайт, да и в саму тему HTTPS протокола я давно хотел углубиться, но всё как-то руки не доходили. В итоге, я решил наконец разобраться в данных вопросах досконально с помощью данного блога, попутно делясь своими знаниями с вами.

Поэтому сегодняшняя статья будет посвящена ответам на вопрос, что такое HTTPS, SSL и TLS: какая связь существует между этими терминами, как их подключить к сайту, сколько это будет стоить и возможно ли получить бесплатный SSL сертификат.

Чтобы вас немного замотивировать на чтение статьи, сразу скажу, что использование протокола HTTPS является не только средством безопасной коммерческой деятельности через сайт, но и практически обязательным условием для продвижения в Google и, как следствие, улучшения конверсии.

Так что HTTPS даёт не только защищённость данных ресурса, но и является средством SEO оптимизации сайта.

А также мы поговорим о том, зачем нужен SSL сертификат на сайт, который сейчас рекомендую купить и стремятся продать в Интернете на каждом шагу.

Как вы уже поняли, темы сегодня будут подниматься очень важные и непростые. Поэтому советую всем запастись попкорном и устроиться поудобнее — впереди вас ждёт много информации 🙂

Поехали!

Что такое HTTPS?

Начнём с истории 🙂

Несколько лет назад основным протоколом передачи данных в среде Web был HTTP (Hypertext Transfer Protocol). Алгоритм его работы прост и основан на установке соединения типа «клиент-сервер». При этом обмен информацией производится в текстовом формате, следовательно, возникает риск отслеживания сообщений между клиентами.

В связи с этим в последние годы в Интернете стало популяризироваться использование расширения протокола HTTP под названием HTTPS (HyperText Transfer Protocol Secure).

Браузеры Chrome и Firefox уже отмечают сайты на HTTP как «небезопасные», Google понижает сайты на старом протоколе в выдаче — всё это делается с целью стимуляции вебмастеров перехода с HTTP на HTTPS.

Поэтому возникло даже целое понятие «миграция на HTTPS», поскольку в Рунете и Буржунете ресурсы массово начали осуществлять перевод с HTTP на HTTPS.

http://cccp-blog.com/wp-includes/images/banners/templatemonster/banner_new_year_2019.png

Первыми данную практику стали внедрять крупные компании, например TemplateMonster, которые осознали, что игнорирование перехода сайта на HTTPS может обернуться им ненавистью поисковиков и потерей клиентов, что будет крахом их бизнеса.

Кроме вопросов безопасности наличие SSL-сертификата с августа 2014 года положительно влияет на позиции сайта в поисковой выдаче Google, который является главным пропагандистом данного протокола.

Почему же поисковики вдруг взъелись на HTTP и стали заставлять всех переходить на HTTPS?

HTTPS, несмотря на обильное внимание в последнее время, является достаточно древним протоколом, созданным в далёком 1994 году компанией Netscape Communications для своего браузера Netscape Navigator.https-dlya-seo

Главным преимуществом HTTPS по сравнению с HTTP является защищенность передаваемой информации от считывания. В момент создания подключения клиента к серверу создается шифрованный канал, который практически полностью исключает возможность прослушивания, подмены пакетов или другого вмешательства в структуру передаваемых сообщений.

Ещё одним отличием от HTTP является сетевой TCP порт, используемый для передачи данных. Вместо 80 для HTTPS используется 443. Зачем нужен HTTPS для сайта становится понятно после ознакомления со статистикой взломов интернет магазинов, платежных систем и социальных сетей.

Уникальный алгоритм с механизмом самообучения проанализировал взломы 313 190 реальных сайтов, на которых производилось более 760 000 взломов. Больше трети взломов связаны были именно с подменой пакетов при передаче данных.

Что такое TLS и SSL?

Пытаясь разобраться с тем, что такое HTTPS и для чего он нужен, я немного запутался, т.к. при упоминании о данном протоколе постоянно мелькали ссылки на другие протоколы – SSL и TLS.

И то протокол, и то протоколы… Какая между ними связь вообще?

Но, как это часто и бывает, я слишком поспешно изучал новый материал и не заметил маленькую деталь: HTTPS – это протокол передачи данных, а SSL и TLS – это криптографические протоколы. Т.е. это разные типы протоколов и у них, следовательно, разные назначения, что не мешает использовать их все вместе в рамках одного процесса – передачи данных.

Главное отличие HTTP от HTTPS в том, что в последнем данные передаются поверх протоколов SSL и TLS, т.е. сначала шифруются в соответствии с криптографическими протоколами, а потом уже передаются стандартным способом при помощи транспортных протоколов (например, TCP/IP, как и при использовании HTTP).

Если интересно, что такое криптографический протокол, то, согласно Википедии, это – набор криптографических алгоритмов (способов шифрования), который определяет порядок их применения и способы использования.

Другими словами, криптографический протокол – это последовательность действий и использования защитных механизмов при передаче и обмене информацией.

SSL (Secure Sockets Layer — уровень защищённых сокетов) появился достаточно давно, в 1995 году, практически одновременно с изобретением самого HTTPS.

А в 1999 году SSL, находясь в версии 3.0, плавно перешёл в другой криптографический протокол TLS (Transport Layer Security — Протокол защиты транспортного уровня), который активно используется по сей день наряду с SSL.

Библиотека курсов

Криптографические протоколы развиваются достаточно медленно по сравнению с различными технологиями программирования – и это не мудрено, т.к. при шифровании данных сложно изобретать что-то новое каждый день.

В связи с этим, TLS сейчас имеет версию 1.2, которая была выпущена в 2008 году, а SSL и вовсе прекратил своё развитие, оставшись вечно молодым с 1996 года, когда был выпущен SSL 3.0.

Несмотря на то, что эти протоколы родственные и даже используются вместе, из-за чего в литературе можно встретить их упоминание в связке TLS/SSL, работают они всё-таки по-разному.

В связи с этим разработчикам на практике часто приходится совершать дополнительные действия, чтобы информация, защищаемая с помощью TLS/SSL передавалась и распознавалась корректно.

Но я не буду сейчас вдаваться в эти детали, т.к. они могут быть интересны весьма узким специалистам. Если вы к таковым относитесь и хотите прочитать об особенностях SSL и TLS, а также об их сходствах и различиях более детально, то рекомендую вам следующую статью о TLS/LLS.

Хорошо, с тем, как взаимодействуют HTTPS, SSL и TLS более-менее разобрались. А что такое SSL сертификат и каким он боком к HTTPS?

Что такое SSL сертификат?

SSL сертификат – это, как раз, и есть один из защитных механизмов, который используется для шифрования данных при передаче их с применением криптографического протокола TLS/SSL. Именно благодаря наличию сертификата безопасности, можно использовать протокол HTTPS, который и был разработан для создания зашифрованных каналов передачи данных.

doverennyj-ssl-sertifikatПо сути, SSL сертификат является уникальным шифром, с помощью которого кодируется информация, что делает возможным её чтение только тем, кому этот ключ известен.

Безопасность достигается путем аутентификации клиентов и шифрования передаваемых данных. Благодаря тому, что сервер имеет уникальный SSL сертификат, можно однозначно его идентифицировать и точно определить источник запросов.

Помимо способа шифрования, SSL сертификат содержит также следующую информацию:

  • наименование владельца сертификата (должно быть уникальным);
  • дата регистрации и срок окончания действия сертификата;
  • полный и уникальный идентификатор регистрационного центра, который выдал сертификат;
  • цифровая подпись регистратора;
  • открытый ключ владельца.

SSL сертификаты выпускаются центрами сертификации (CA — Certification Authority). Также для передачи данных по протоколу SSL возможно использовать «пустой» сертификат (содержит фиктивную информацию о домене и владельце, нужен лишь в тестовых целях для настройки HTTPS соединения) и самоподписанный, более подробно о котором мы поговорим далее.

Окей, для чего нужен SSL сертификат на сайт — понятно, но как он работает?

Как работает SSL сертификат?

Существует два основных пути шифрования информации: симметричным ключ (общий секретный ключ) и асимметричный (открытый ключ). Протокол SSL/TLS поддерживает оба.

При симметричном шифровании оба участника процесса передачи информации должны обладать одним секретным ключом, т.е. их ключи должны быть симметричными. Как правило, данное шифрование используется при передаче большого объёма данных.

Данный тип шифрования использует следующие алгоритмы: DES, 3-DES, RC2, RC4 и AES.

SSL сертификат является частным случаем сертификата открытого ключа, область применения которого не ограничивается только лишь Вебом, на самом деле.

Асимметричный SSL ключ состоит из двух ключей. Один из них является открытым, который, как правило, публикуется в самом сертификате, а другой – секретным, который никому не сообщается.

Эти ключи работают в паре и выполняют противоположные функции. Если данные шифруются открытым ключом, то расшифровываются они секретным. Если информация кодируется с использованием секретного ключа, то декодируются они открытым. Правда, в случае современных SSL сертификатов работает только вторая схема.

Таким образом, SSL сертификат используется для подтверждения подлинности сервера клиентом и наоборот.

Если клиент с помощью своего веб браузера хочет установить защищённое соединение с ресурсом по HTTPS, то он запрашивает у сервера открытый ключ сертификата ресурса. Сервер предоставляет его в ответ, проводя дополнительные проверки аутентификации.

Если же и они тоже пройдены и клиент отправляет обратно удовлетворительный ответ, то на этот раз клиенту отправляется секретный ключ SSL сертификата, с помощью которого клиент уже может шифровать и расшифровывать данные, поступающие и передаваемые на ресурс.

Это и создаёт защищённый туннель передачи информации, который защищает её от хищения и изменений.

Перед тем, как установить защищенное соединение проверяется также DNS и IP-адрес сервера веб-сайта, прописанные в сертификате, что дополнительно позволяет повысить безопасность передачи данных.

Схематично принцип работы HTTPS можно представить следующим образом:

princip-raboty-https

Также при проверке SSL сертификатов браузеры обращают внимание и на вспомогательную информацию о его владельце и сроке регистрации. Если что-то из этого не будет соответствовать реальности, то пользователь, пытающийся подключиться к сайту, увидит предупреждение, которое может его отпугнуть и заставить покинуть сайт, ещё не подключившись к нему.

Поэтому, если вы пользуетесь SSL сертификатом, то не забывайте вовремя его продлевать, иначе он принесёт вам больше вреда, чем пользы.

Когда после прохождения всех проверок подлинности соединение между клиентом и сервером по протоколу HTTPS всё-таки установлено, в браузере напротив URL загорается красивый зелёный значок, свидетельствующий о защищённости соединения. В разных браузерах его вид может отличаться:

kak-vyglyadit-https-v-raznykh-brauzerakh

Самым распространённым алгоритмом асимметричного SSL шифрования является RSA.

При шифрования с применением SSL сертификата он используется ещё и для определения ключа сессии, который необходим симметричным алгоритмам. Данное обстоятельство позволяет объединить асимметричное и симметричное кодирование, с помощью чего становится возможна передача большого объёма зашифрованной информации, не требующая при этом больших вычислительных ресурсов и времени.

Ох уж эта безопасность… Вечно в ней всё запутано 🙂

Мало того, что куча всяких алгоритмов, способов шифрования, так ещё и SSL сертификаты бывают разных видов. Но, тем не менее, при покупке и выборе SSL сертификата для сайта без этой информации не обойтись, поэтому поговорим об этом детальнее.

Виды SSL сертификатов и их группы

Я бы не стал вас загружать информацией о типах SSL сертификатов просто так, если бы не один существенный нюанс: данные знания помогут вам сэкономить ваши деньги, если вы решите купить SSL сертификат для своего сайта.

Каким образом? Всё просто: стоимость SSL сертификатов различается от их предназначения и области применения.

Поэтому приобретение сертификата, дающего возможности, избыточные для вашей конкретной ситуации, может не только привести к дополнительным расходам, но и оказаться бесполезным занятием, не решающим начальные задачи.

Итак, какие же виды SSL сертификатов существуют и когда какой лучше использовать?

Типы SSL сертификатов по типу валидации

При заказе SSL сертификатов в сертификационных центрах можно встретить три основных вида, из которых предлагается выбор. Это основные виды SSL сертификатов, различающиеся по информации, которая будет проверяться при выдаче данного документа.

Считается, что чем больше данных лица, подающего заявку на оформление SSL сертификата (CSR — Certificate Signing Request), проверяется, тем сложнее его будет подделать и тем большую защиту он будет предоставлять.

От этого также зависит стоимость сертификатов и срок их оформления.

Самоподписанный SSL сертификат (SSC — Self Signed Certificate)

Я решил начать с данного типа, т.к. получить его проще всего и он является единственным абсолютно бесплатным SSL сертификатом среди всех существующих. Самозаверенный, самоизданный, самосозданный — как только данный SSL сертификат не называют 🙂

Но у всех этих слов корень «сам», который говорит о том, что содержащаяся в самоподписанном SSL сертификате информация проверена самим создателем. Другими словами, создатель сертификата в данном случае является одновременно и центром сертификации (CA).

Главным плюсом такого SSL сертификата является то, что он является абсолютно бесплатным, создать его можно самостоятельно и в неограниченном количестве. Однако, самоподписанный SSL сертификат обладает одним весьма жирным минусом — он не обеспечивает защиту передаваемым по HTTPS и шифруемым с его помощью данным.

Он делает возможной Main-In-The-Middle атаку на сайт, в ходе которой злоумышленник может перехватить сертификат инициатора зашифрованного соединения и использовать его для дешифровки закодированных данных, передаваемых по HTTPS.

А поскольку данный сертификат не выдан CA, то и отозвать его нельзя, т.е. прервать атаку также не представляется возможным. Разве что закрыть доступ к ресурсу полностью, что крайне нежелательно.

Из-за данного обстоятельства все современные веб-браузеры при попытке подключения к ресурсам с установленным самоподписанным SSL сертификатом выдают пользователю сообщение о ненадёжности соединения, благодаря люди могут подумать, что сайт заражён вирусом или их данные будут подвержены опасности.

samopodpisannyj-ssl-sertifikat-ustanovit

Как итог — человек уходит с такого сайта, даже не посмотрев на него, а вы, как владелец, теряете всю свою клиентуру и смысл создания сайта пропадает в целом. А всё — из-за банальной экономии 🙂

Поэтому самоподписанный SSL сертификат для основного сайта не годится. Его можно использовать для тестирования HTTPS настроек сервера и сайта, а также для внутренних целей (например, когда на основном ресурсе соединение производится по HTTPS и поэтому его нужно настроить на DEV и STAGE окружениях).

Если хотите, чтобы SSL сертификат увеличивал ваши позиции в поисковой выдаче и повышал доверие пользователей — закажите другой тип сертификата.

SSL сертификат, подтверждающий доменное имя (Essential, DV — Domain Validation)

На этот вид приходится более 70 % всех сайтов на HTTPS в Рунете, т.к. данные SSL сертификаты самые дешёвые и порядок их оформления практически моментальный. Регистрация SSL сертификатов с проверкой прав на владение доменом доступна как физическим, так и юридическим лицам.

Определить сайты с установленным DV SSL сертификатом легко – в адресной строке браузера возле доменного имени светится закрытый зелёный замок.

doverennyj-ssl-sertifikat-v-brauzere

При выдаче такого сертификата в CA (сертификационный центр) отправляется письмо с запросом, который будет удовлетворён лишь когда выяснится, что у вас есть права на владение доменом.

Для этого email, с которого вы отправляете заявку на получение SSL сертификата, должен быть прописан либо в доменной информации WHOIS либо иметь в качестве почтового домена доменное имя сайта, т.е. быть в формате mail@sitename.zone.

Кстати, последний тип email должен иметь в качестве имени только определённые названия, т.е. если вы захотите заказать SSL сертификат для сайта site.ru, то запрос на его получение вы сможете послать в сертификационный центр лишь со следующих email:

  • admin@site.ru
  • administrator@site.ru
  • hostmaster@site.ru
  • postmaster@mail.ru
  • webmaster@mail.ru

Могу предположить, что данное ограничение сделано с целью пресечения атак злоумышленников на сертификационные центры путём автоматизированного отправления заявок на оформление SSL сертификатов и получения к ним доступа.

Также, в качестве альтернативных оправке email средств подтверждения регистрации SSL сертификата компании-регистраторы могут использовать размещение на сайте текстового пустого файла с хэш-названием либо просьбу изменить DNS запись домена сайта, чтобы вы могли подтвердить свои права на обладание доступа к ней.

При рассмотрении заявки на получение DV сертификата, как уже было сказано, проверяются только права на владение доменом, на остальную информацию внимание не обращается. Равно как никакая другая информация, публикуемая в SSL сертификатах других типов, в самом сертификате не указывается.

Этот тип SSL сертификата подходит для большинства сайтов, которым HTTPS соединение нужно только лишь для удовлетворения критерий Google и повышения позиций в поисковой выдаче.

Если же помимо данного момента для вас важно также доверие пользователей и существует реальная необходимость обеспечения защиты передаваемых данных (банки, Интернет-магазины и пр. ресурсы, имеющие дело с конфиденциальной информацией пользователей), то лучше обратить внимание на другие виды SSL сертификатов.

SSL сертификаты, подтверждающие организацию (Instant, OV — Organization Validation)

Данный тип SSL сертификатов уже будет содержать указание организации, для которой он регистрируется. Следовательно, процедура выпуска SSL сертификата в данном случае будет несколько отличаться от предыдущего.

Физическое лицо OV сертификат получить не может, регистрация SSL сертификата данной вида доступна только юридическим лицам.

После получения центром сертификации заявки на регистрацию проверяется существование указанной организации и её права на домен. Процесс этот не быстрый, вследствие чего сертификат будет выпускаться в течении 3-10 дней после подачи заявки.

Говоря по правде, на практике Instant SSL сертификат ничем не отличается от Essential, т.к. в браузере сайты с данными сертификатами отображаются одинаково — в адресной строке возле доменного имени каждого будет присутствовать зелёный закрытый замок.

informaciya-ob-ssl-sertifikata

Но при этом процедура оформления его сложнее и дольше, чем у предыдущего. Также цена SSL сертификата данного вида будет выше, чем у DV.

Всё это лишь для того, чтобы ваша организация была указана в сертификате, который обычные пользователи редко просматривают. Единственная польза этого шага в том, что если вы закажете OV сертификат для своего сайта, а затем злоумышленники получат доступ к вашему email, указанному в WHOIS информации о домене, то они не смогут подделать ваш сертификат, т.к. не смогут подтвердить права на владение организацией, указанной в оригинальном сертификате.

Таким образом, OV SSL сертификат более безопасный, чем DV, и если у вас есть официально зарегистрированная компания, то лучше остановиться всё-таки на данном варианте.

Если вы хотите оформить именно данный тип SSL сертификата, то заранее приведите в порядок информацию (и для ускорения процедуры переведите её на английский язык), которая будет проверяться CA при выдаче данного SSL сертификата:

  1. Наличие компании в «жёлтых страницах», т.е. в телефонных справочниках организаций. Для регистрации в таком справочнике можете воспользоваться сайтом yp.ru.
  2. Указание организации в WHOIS данных домена, что подтверждает права владения доменным именем.
  3. Документы о регистрации компании.
  4. Также будьте готовы к телефонному звонку из CA на номер, указанный в форме заказа SSL сертификата, или на номер, прописанный в WHOIS данных домена. Будьте готовы, что диалог может вестись на английском языке.

Не факт, что все эти данные будут проверяться, но лучше быть подготовленным 🙂

SSL сертификаты с расширенной проверкой (EV — Extended Validation)

Процедура оформления данного вида SSL сертификата самая сложная из всех перечисленных. Зато, в качестве вознаграждения, вы получите указание вашей организации в адресной строке браузера возле доменного имени сайта.

chto-takoe-https-greenline

За эту особенность данный тип SSL сертификатов часто называют «зелёной строкой (Green Line)». Такое новшество увеличивает уровень доверия пользователей к сайту.

Стоит сказать, что порядок выпуска Extended SSL сертификатов не только долгий (порядка 10-14 дней), но ещё и соответствует определённым стандартам, которые были озвучены на специализированном форуме CA/Browser Forum в 2007 году. Он состоит из следующих этапов, выполняемых центром сертификации перед выпуском EV сертификата:

  1. Проверка физической, правовой и операционной деятельности субъекта (компании, получающей сертификат).
  2. Соответствие информации об организации официальным документам.
  3. Проверка организации на обладание исключительными правами на использование домена.
  4. Проверка правомочности выпуска организации Entended Validation SSL-сертификата.

При проверке организации центром сертификации обращают внимание на ту же информацию, что и для OV SSL сертификатов. Следовательно, и сама регистрация доступна только юридическим лицам.

Также следует отметить, что не всякий CA имеет право на выдачу такого сертификата. Для того, чтобы центр сертификации мог выдавать EV SSL сертификаты, он сам должен соответствовать указанным выше требованиям и ежегодно подтверждать это соответствие.

Да, неудобства создаются серьёзные, но зато подделать такой сертификат практически невозможно, за что его часто называют SSL сертификатом повышенной надёжности.

Именно поэтому данный тип SSL сертификатов можно встретить на сайтах различных коммерческих структур (банки, платёжные системы и др., через сайты которых производятся различные финансовые операции и проходят другие секретные данные пользователей).

Стоимость SSL сертификата повышенной надёжности также самая высокая из всех перечисленных ранее.

Виды SSL сертификатов, учитывающих прочие особенности

Основные типы SSL сертификатов по проверяемой при их регистрации информации мы рассмотрели. Но сертификаты различаются не только по указанному признаку.

poluchit-besplatnyj-ssl-sertifikatДа, тип валидации — основное различие, определяющее основные пункты меню выбора сертификата при заказе его у регистраторов через сайты. Однако, если выбрать какой-то конкретный, то можно обнаружить множество опций, оформленных в виде полей для проставления галочки, которые соответствуют дополнительным особенностям SSL сертификатов.

Вот о них-то мы сейчас и поговорим. Сразу скажу, что, в отличие от приведённых ранее типов SSL сертификата, данные могут комбинироваться с ними и между собой в различных вариантах в зависимости от желания компании-регистратора.

SSL сертификаты с поддержкой повышения уровня шифрования (SGC)

Данный вид SSL сертификатов является устаревшим и был актуален только во времена повсеместного использования старых браузеров, поддерживающих только 40 или 56 битное шифрование.

При использовании данного сертификата уровень шифрования принудительно повышался до 128 бит.

Сейчас смысл такие SSL сертификаты приобретать отсутствует. Тем более, что стоят они достаточно недёшево.

Разве что для внутренних нужд компаний, использующих устаревшие компьютеры и ПО. Но, как правило, внутренние ресурсы закрыты от доступа по внешним IP адресам, так что смысла использования SGC сертификата также мало.

Групповые SSL сертификаты (WildCard)

Данный вид SSL сертификатов можно использовать не только для основного сайта, но и для его поддоменов.

Мало кто знает, но имя сайта в формате site.ru и www.site.ru — это два разных доменных имени, поэтому если вам нужно, чтобы HTTPS соединение было доступно с сайтом в обоих случаях, то WildCard сертификат — это то, что вам нужно (данная особенность может быть оформлена в виде отдельной опции).

При покупке данного типа SSL сертификата стоит учитывать, что они стоят дороже обычных и смысл их покупать есть только если у вас много поддоменов.

Мультидоменные SSL сертификаты (SAN — Subject Alternative Name, MDC — Multi-Domain Certificate, UCC — Unified Communications Certificate)

Также, как и предыдущий вид SSL сертификата, может использоваться одновременно для нескольких сайтов. Но, в отличие от WildCard, с помощью одного SAN сертификата возможно организовывать HTTPS подключение к ресурсам с различными доменными именами, расположенным на одном сервере.

При этом у ресурсов, использующих единый SAN SSL сертификат, может быть как один, так и разные IP адреса.

Кстати, данный тип SSL сертификата можно использовать в ситуациях, когда вам необходимо настроить HTTPS подключение как к различным ресурсам, так и к их поддоменам.zachem-nuzhen-https-dlya-sajta

Т.е. SAN сертификаты будут идеальным вариантом для вебстудий и фрилансеров, т.к. позволят вам немного сэкономить при массовом подключении HTTPS своим клиентам. только при условии большого числа заказов, естественно, т.к. мультидоменный SSL сертификат — удовольствие не из дешёвых.

Количество доменов, использующих один такой сертификат ограничено и зависит от цены SSL сертификата. «Зелёную строку» данный тип сертификата не позволяет сделать ни на одном из подключаемых доменов.

Однако, есть и ещё одна «ложка дёгтя»: поскольку Green Line данные сертификаты не предоставляют, то подделать их проще, чем стандартные одиночные EV SSL сертификаты. А если взломают один сайт, то автоматически злоумышленники получат доступ ко всем остальным и их поддоменам, использующий общий сертификат.

SSL сертификаты с поддержкой IDN

Этот тип SSL сертификатов необходим для кириллических доменов (содержащих кириллические символы), т.к. они имеют свою специфику. К сожалению, не все регистраторы SSL сертификатов предоставляют данную возможность.

А бывают случаи, когда данная возможность у сертификатов поддерживается, а регистратор об этом не уведомляет.

Поэтому если у вашего сайта или какого-либо его поддомена, для которых вы хотите осуществлять HTTPS передачу данных, есть кириллические символы в доменном имени — обязательно уточняйте у тех. поддержки сервиса подойдёт ли выбранный вами сертификат. Если нет — вам помогут выбрать другой.

SSL-cертификаты для ПО (CodeSigning SSL)

Напоследок я решил оставить самый специфичный тип SSL сертификата, который пригодится достаточно ограниченному кругу лиц.

Данный класс SSL сертификатов используется для подписи ПО и скриптов с целью подтверждения автора программы. Также его наличие гарантирует, что код не подвергался изменениям после того, как была наложена цифровая подпись.

CodeSigning SSL сертификат еще называют сертификатом разработчика.

Как вы поняли из описания, основное предназначение такого продукта в защите авторских прав и целостности самих программных продуктов, распространяемых в сети. Поэтому данный вид SSL сертификата пригодится владельцем сайтов, продающих ПО или размещающих их в свободном доступе для скачивания.

Сколько стоит SSL сертификат?

С классами SSL сертификатов мы разобрались. При их перечислении я неоднократно упоминал, что стоимость у них различна от их особенностей.

skolko-stoit-ssl-sertifikatТеперь, когда мы все их изучили, пришло время разобраться со стоимостью SSL сертификатов, т.к. многих от положительного решения вопроса о том, нужен ли SSL сертификат сайту останавливает порой именно эта информация.

Точнее, не сама информация, а преувеличенные слухи от знакомых, которые устанавливали себе на ресурсы самые защищённые SSL сертификаты, а следовательно, и дорогие.

Но, как мы выяснили, такие покупки нужны далеко не всегда и на практике зачастую хватает генерации SSL сертификата из самого низкого ценового диапазона или вообще бесплатного.

Итак:

  • Самоподписанный SSL сертификат — абсолютно бесплатный, но подходит только для тестовых целей;
  • DV – от 10-20$ в год, бесплатный SSL сертификат можно получить только для некоммерческого использования (например, персональных блогов без монетизации) или лишь на ограниченное время;
  • OV — от 50-60$ до нескольких сотен в год;
  • EV – от 150-300$ в год;
  • Wildcard — от 100 $ в год, т.е. смысл его есть приобретать, если у вас есть более 5 поддоменов;
  • SAN – от 60 $, в зависимости от количества доменов;
  • SGC — от 300$ в год, так что при наличии лишних денег лучше вместо этой опции купить мультидоменный SAN;
  • IDN — за данную опцию, как правило, дополнительно доплачивать не придётся;
  • CodeSigning SSL — от 90$ в год.

От себя могу сказать, что цены далеко не заоблачные. Не настолько, чтобы рисковать безопасностью и удобством процесса установки и настройки ради получения бесплатного SSL сертификата для сайта, к которой стремятся многие отечественные бизнесмены вслед за бесплатной Windows, фильмами и крякнутыми играми.

Где купить SSL сертификат?

Приобрести SSL сертификат вы можете либо у официальных сертификационных центров, либо обратиться к хостинг-провайдерам, которые выступают посредниками.
Плюсы и минусы есть у каждой группы продавцов: у первых стоимость зачастую выше, чем чем у хостинг провайдеров, зато вторые при недобросовестном подходе могут подсунуть вам «левый», который скорее не поможет сайту, а навредит ему.
Среди официальных CA бессменными лидерами являются следующие:

  1. Comodo
  2. Twawte
  3. Geotrust
  4. GoDaddy
  5. GlobalSign
  6. Symantec

Статистика выпуска SSL сертификатов данными компаниями выглядит так:

zachem-nuzhen-ssl-sertifikat

Если говорить о хостинг-провайдерах, то могу порекомендовать те, услугами которых пользуюсь лично уже на протяжении более 2 лет — TheHost, у которого можно купить дешёвые SSL сертификаты можно, начиная от 7,5$ в год, и AvaHost, которые вообще выдают SSL сертификаты бесплатно своим клиентам. Если не верите — убедитесь сами 🙂

Если захотите воспользоваться услугами второго хостера, то у меня для вас приятная новость — это эксклюзивный промокод на скидку в 20% на услуги AvaHost исключительно для читателей и друзей проекта cccp-blog.com. Используйте его при регистрации и экономьте ещё больше — AVA-CCCPBLOG

При покупке SSL сертификатов помимо перечисленных ранее особенностей следует учитывать ещё и следующие:

  • У SSL разная скорость выпуска. Одни станут доступными для вас уже через 10 минут, а другие придется ждать несколько недель.
  • Некоторые сертификаты даются лишь на 1 год, без возможности перевыпуска по старой цене.
  • Центры сертификации предоставляют гарантию пользователям, как дополнительный актив и подтверждение репутации. Например, если ваш сайт взломают через подделку SSL сертификата, вы сможете получить компенсацию от 10000$ до нескольких миллионов.
  • Некоторые регистраторы предоставляют тестовый период, в течении которого пользоваться SSL сертификатом можно бесплатно.
  • Часто у регистраторов встречаются всякого рода акции, в рамках которых SSL сертификат можно получить бесплатно при заказе доменного имени либо с громадными скидками в 50% и выше.
  • Возврат средств (манибэк, moneyback) в течении 30 дней после покупки, если качество товара вас по каким-то причинам не устраивает.

У каждого регистратора SSL сертификатов условия разные и поэтому их всегда нужно уточнять перед тем, как купить SSL сертификат.

Поэтому я и перечислил все возможные «подводные камни», на которые следует обращать внимание. Если вы столкнётесь с ещё какими-то, то дайте мне об этом знать в комментариях 🙂

Нужен ли HTTPS сайту?

nuzno-li-perekhodit-na-httpsПереход на HTTPS – это важный шаг для любого вебмастера. Пользователи привыкли видеть надежный замок рядом с адресной строкой и очень пугаются, когда браузеры говорят о небезопасности перехода. Для владельца сайта переход на https – это новый уровень безопасности и новые возможности для продвижения в поисковой выдаче.

Но так ли всё однозначно? Нужен ли HTTPS сайту вообще?

Для того, чтобы определиться с тем, стоит ли переходить на HTTPS, давайте ещё раз проанализируем все особенности данного протокола, а также достоинства и недостатки установки SSL сертификатов.

Плюсы HTTPS протокола следующие:

  1. Пользователь однозначно идентифицируется посредством SSL сертификата. Вы точно знаете, с кем соединены в момент передачи данных на сайте. Просто нажмите на замочек в адресной строке, и вы получите информацию о компании, которой был выдан данный сертификат. Это предотвращает случаи мошенничества и позволяет быстро выявлять правонарушителей.
  2. Данные защищаются от изменения в процессе передачи. Еще одной причиной, зачем нужен HTTPS, стало резкое увеличение количества взломов сайтов путем перехвата сообщений. Хакеры могли просматривать передаваемые между сервером и клиентом пакеты данных и инкапсулировать в них вредоносную информацию. Простыми словами, они видели, что запрашивает сервер, глушили ответ от клиента и направляли свои пакеты данных. Применение HTTPS полностью исключило подмену данных, поскольку в зашифрованном канале передается и контрольная сумма. Любая попытка изменить данные приведет к изменению целостности, которая будет замечена сервером.
  3. Относительно низкая стоимость SSL сертификатов, необходимых для подключения HTTPS. Цены стартуют с 10$ за год использования. К тому же постоянно проводятся различные акции, благодаря которым можно получить SSL сертификат бесплатно либо с огромной скидкой.
  4. Простота подключения HTTPS благодаря автоматизированным инструментам в панелях управления большинства современных хостингов. Благодаря ним в большинстве случаев установку SSL сертификата на сайт можно выполнить самостоятельно и нет необходимости в платных услугах профессионалов. Кроме того, по большинству моментов, возникающих в процессе инсталяции, вас смогут проконсультировать сотрудники хостингов и CA.
  5. Польза HTTPS для SEO. При одинаковых условиях, сайты на устаревшем HTTP будут ранжироваться хуже в поисковиках, чем с HTTPS, поскольку они вызывают меньше доверия. Официально использование HTTPS было включено в перечень факторов ранжирования еще в 2015 году. Представители Google настойчиво рекомендуют сайтам перейти на HTTPS как можно скорее, поскольку роль этого протокола в ранжировании будет только расти.
  6. Более точная аналитика. Мало кто знает, что HTTPS даёт возможность получать более точное количество переходов на сайт через различные сервисы аналитики, чем при использовании HTTP. Это связано с потерей информации о переходе при переключении с HTTPS на HTTP. Например, если подключение к вашему сайту происходит по стандартному HTTP протоколу, а к вам на сайт зашёл пользователь с HTTPS сайта, то переход будет засчитан как прямой, а не с другого ресурса.

Однако, за все эти преимущества HTTPS нужно рано или поздно платить. Поэтому при установке SSL сертификата на сайт нужно быть в курсе минусов HTTPS, которые могут привести к достаточно серьёзным проблемам:

  1. HTTPS использует SSL сертификаты, которые в большинстве случаев платные. Бесплатные варианты для основных сайтов и коммерческого использования не годятся.
  2. Неправильная установка SSL сертификата может полностью сделать сайт недоступным для поисковых роботов и пользователей, что чревато падением посещаемости и ухудшением позиций в ПС.
  3. Из-за ошибок конфигурирования HTTPS на сайте может возникнуть большое количество дублей страниц, либо некоторые могут остаться на HTTP, что также может стать поводом к снижению позиций в поисковой выдаче и появлением сообщения о небезопасности соединения в браузерах. Если ссылки внутри сайта были прописаны вручную, то после перехода на HTTPS без настройки редиректа они перестанут работать.
  4. Несмотря на простоту подключения SSL сертификата на сайт, которое можно выполнить самостоятельно, необходимы будут специальные настройки сайта, с которыми вы вряд ли справитесь самостоятельно без особых знаний (речь идёт о 301 редиректах и добавлении правил маршрутизации для HTTPS адресов).
  5. Компания, выдавшая SSL сертификат, может отозвать его в любой момент без объяснения причин, что также может обернуться снижением посещаемости ресурса в целом.
  6. Незначительно, но замедляется скорость подключения к сайту, поскольку для обработки запросов требуется расшифровка и шифрование ответов.

Как видите, плюсов и минусов HTTPS достаточное количество. Если резюмировать всё вышесказанное, то перевод сайта на HTTPS действительно сулит много пользы, однако, малейшая ошибка в его настройке приведёт вас к потере ваших позиций в поисковой выдаче и клиентов.

kupit-ssl-sertifikat-deshevoПри переводе существующего сайта на HTTPS существует большая вероятность ошибки, вследствие чего вы можете потерять из выдачи как некоторые страницы, так и весь сайт. Именно по этой причине я и не спешу переводить данный сайт на HTTPS. Тем более, что в сети сейчас полно ресурсов с высокой посещаемостью, которые по-старинке используют HTTP.

К тому же, HTTPS — это не панацея в вопросах безопасности. В 2011 году иранские хакеры в рамках централизованной атаки в ответ на санкции США взломали CA компаний Comodo и DigiNotar и похитили сотни тысяч сертификатов, которые можно использовать для подмены пакетов.

Не менее обескураживающим известием в этом году стало то, что среди похищенных сертификатов были принадлежащие ЦРУ, Моссаду, Британской разведке MI-6. Таким образом, защищенные ресурсы стали попросту бесполезными для этих известных организаций и стали угрожать комплексной безопасности, ведь хакеры стали рассылать по фальшивым сертификатам трафик, получая ответы от банков, почтовых и грузовых компаний, и других стратегически важных объектов.

Спасти положение смог лишь практически мгновенный переход на новые сертификаты и полное изменение схемы обслуживания клиентов и серверов.

Но всё же HTTPS нужен этому миру, о чём свидетельствует более, чем лояльное отношение к нему Google. Скажу более: это чуть ли не единственная весомая на сегодня причина покупки SSL сертификатов вообще. К тому же, пусть информация о взломе центров сертификации вас не пугает — прошло уже много лет с тех пор и специалисты по безопасности сделали определённые выводы по поводу уязвимостей своих систем.

nuzhen-li-https-sajtuТак что описанную выше информацию принимайте просто как известный факт 🙂 Также целью размещения списка проблем, к которым может привести неправильная настройка и установка SSL сертификатов, было замотивировать вас обращаться за помощью к профессионалам. Причём не только в области программирования, но и SEO, которые позволят вам сделать необходимые настройки с минимальным ущербом.

Но есть и ещё один выход — это подписаться на обновления данного проекта с помощью ссылки в начале статьи, чтобы быть в курсе выхода статьи с полным перечнем инструкций и наглядных примеров по самостоятельной установке SSL сертификата на сайт, которую я планирую.

В случае же старта нового проекта я бы однозначно использовал HTTPS для передачи данных на самом старте, пока страницы не попали в индекс поисковиков и риск что-то поломать был бы минимален. Тем более, что цена SSL сертификатов сегодня достаточно смешная.

Особенно это касается сайтов банков, платёжных систем и распространённых Интернет магазинов, которые оперируют секретными данными пользователей.

Ну, а в целом, осуществлять ли вам перевод сайта на HTTPS или нет — дело сугубо ваше личное. Моей целью было лишь призвать вас ответственно подходить к данному шагу, а не делать всё с бухты-барахты 🙂

На этом у меня всё. Надеюсь, что статья помогла вам ответить на вопросы о том, что такое HTTPS, SSL, TLS, а также зачем нужен SSL сертификат, какими они бывают, где и как их можно купить.

Пишите свои отзывы в комментариях под статьёй, буду рад любым вашим замечаниям и пожеланиям.

Также, если статья вам действительно понравилась, не забывайте делиться публикацией со своими друзьями в социальных сетях и ставить оценки с помощью кнопок рейтинга.

Всем удачи и до новых встреч 🙂

P.S.: если вам нужен сайт, но нет времени самостоятельно его разрабатывать, могу порекомендовать вам своего проверенного партнёра - вебстудию Дениса Нихаева. Было не просто, но я всё-таки выбил для вас скидку 20%, что составит до 20 тысяч рублей в зависимости от выбираемого тарифа 🙂 Вот промо код - CCCP. При заказе сообщите его и скидка вам гарантирована! Друзьям тоже можете рассказать 😉

Понравилась статья? Поделись с друзьями:
  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
7 голосов, в среднем: 5 из 5

Похожие темы

4 комментария к статье "Что такое SSL, HTTPS и TLS"

  1. Иван

    Привет.
    Очень большая и подробная статья получилась 🙂

    Откуда взята статистика выпуска SSL-сертификатов компаниями?
    Встречал немного другие данные:
    1. Comodo
    2. IdenTrust
    3. Symantec Group

    Это из исследований компанией W3Techs. Если интересно, можно почитать перевод в блоге https://ssl.com.ua/blog/popular-certificate-authorities/

    1. Pashaster Автор

      Добрый день! Спасибо за отзыв 🙂 Приятно, что кто-то осилил весь материал целиком 🙂

      По поводу статистики выпуска SSL сертификатов CA за основу было взято исследование компании NetCraft за 2015 год. Оригинал — https://www.netcraft.com/internet-data-mining/ssl-survey/

        1. Pashaster Автор

          По крайней мере можно отследить, как менялась тенденция популярности центров сертификации 🙂

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *