Лаборатория интернет-маркетинга TessLab

Мы разрабатываем эффективные, работающие решения
для онлайн реализации сложных бизнес-задач клиентов


SSL-сертификаты - зачем они бизнесу

SSL-сертификаты - зачем они бизнесу

Ни одна организация не застрахована от кибератак, и не секрет, что главный источник заражения компьютеров — интернет.

Цели и последствия вмешательств могут быть разными. Кража личных данных пользователей ресурсов, перепродажа конкурентам базы клиентов организации или интернет-магазина. Можно блокировать работу сайта или загрузить его посторонними задачами, создать фишинговые страницы-клоны компании.

В результате киберуязвимости и перехвата данных компания-владелец сайта может потерять наработанную годами позицию в выдаче поисковых систем и, что еще печальнее, репутацию.

Такой гигант, как Google, придает кибербезопасности огромное значение. Это подтверждается суммами, которые он тратит на защиту и поиск уязвимостей.

В августе 2014 года компания Google опубликовала в блоге для веб-мастеров статью «HTTPS как ранжирующий сигнал».

В статье говорится о безопасности как приоритете Google и ориентировании по умолчанию на HTTPS-шифрование. Сообщается, что пользователи Search, Gmail и Googl-диска защищены безопасным соединением.

Компания призвала своих пользователей обратить внимание на безопасный протокол HTTPS и использовать его на своих сайтах. Чтобы стимулировать переход на зашифрованное соединение, Google обявила о том, что его наличие у сайта становится дополнительным сигналом для ранжирования в выдаче.

Начиная с января 2017 года в Google Chrome страницы, собирающие информацию о кредитных картах и пароли, стали помечаться как ненадежные.

Следующим шагом стало предупреждение Chrome «Не безопасно» еще в двух случаях: введение данных (любых) на странице с незашифрованным соединением, а также при использовании таких страниц в режиме инкогнито.

В феврале было заявлено, что, начиная с июля этого года, Chrome 68 будет отмечать как «небезопасные» абсолютно все сайты HTTP.

Объясняя свою позицию, Google использует следующие аргументы:

  • HTTPS минимизирует риск вторжения злоумышленников, а так же навязчивых недобросовестных рекламодателей, которые используют любые незащищенные площадки для размещения своих объявлений. Внедренная информация может содержать вирусы или быть нелегальной. Причем, вмешательства возможны в любой точке: на компьютере пользователя, в месте доступа Wi-Fi, на сервере провайдера.
  • Даже если на странице не собирается важная конфиденциальная информация, с ее помощью можно отслеживать активность людей: их интересы, намерения, действия. На основании всего массива собранной (украденной) информации можно в том числе раскрывать личность человека, использующего не защищенный ресурс. Хороший пример: человек, читающий определенной направленности медицинские статьи, может, помимо своего желания, раскрывать работодателю информацию о состоянии здоровья.
  • Защищенное соединение используется на мобильных приложениях, которые работают, в том числе, офлайн, для определения геолокации и др.

Вы решили защитить сайт. Что дальше?

Для подключения протокола HTTPS необходимо сгенерировать бесплатный или купить доверенный SSL/TLS-сертификат. Это цифровое удостоверение и подпись сайта, подтверждающие, что данные, которыми обменивается браузер с сервером, зашифрованы.

Самоподписанным («самозаверенным», «самоизданным») называют сертификат открытого ключа, изданный и подписанный тем же лицом, которое он идентифицирует. Такой сертификат можно создать для своего домена самостоятельно. Это быстро и бесплатно, но, увы, у такого сертификата есть существенный недостаток: он применим только для обмена данными между пользователями, которые подтвердили в своем браузере, что знают о самоподписанном сертификате. Если к этому защищенному каналу подключается пользователь извне, он получает от Google Chrome предупреждение «Сертификат безопасности сайта не является доверенным!» На этом этапе владелец сайта может потерять огромное количество пользователей. Поэтому публичным сайтам можно использовать только доверенный SSL/TLS-сертификат.

Информация в составе SSL-сертификата:

  • версия и порядковый номер;
  • имя и реквизиты центра, выдавшего сертификат;
  • идентификатор алгоритма подписи;
  • владелец (имя);
  • Открытый ключ владельца;
  • доменное имя пользователя;
  • цифровая подпись;
  • адрес (город, страна) владельца;
  • время действия сертификата.

Где получить SSL/TLS-сертификат

Сертификаты ключей электронной подписи выпускают центры сертификации (CA, Certification Authority). Центр сертификации становится доверенным лицом субъекта сертификата (владельца), и стороны, полагающейся на сертификат.

Ведущие сертификационные центры — Comodo, GoDaddy, GeoTrust, GlobalSign, RapidSSL, Symantec, Thawte. А продажами занимаются проверенные компании-партнеры.

Выберите надежный ЦС, предоставляющий техподдержку.

Определите необходимый ресурсу вид сертификата.

Критерии выбора

Что важно учесть:

  • степень доверия к сайту, которую вы хотите получить;
  • количество доменов, безопасность которых нужно подтвердить;
  • вид субъекта: юридическое или физическое лицо представляет ресурс;
  • стоимость.

Уровень доверия определяется тремя степенями проверки ресурса, которые подтверждаются тремя видами SSL-сертификата.

Типы валидации:

  • с подтверждением домена (Domain Validation);
  • с подтверждением организации (Organization Validation);
  • с зеленой строкой (Extended Validation), предполагающий расширенную проверку.

Сертификат DV — подтверждение домена

Это пока единственный вид, доступный физическим лицам. Для проверки домена и получения сертификата Domain Validation хватит простой процедуры перехода по ссылке в доменную почту. Моментально переданный сертификат подойдет юридическим и физическим лицам. Детали (срок действия, вид шифрования, название центра сертификации) будут доступны в браузере.

Такой сертификат можно получить и бесплатно, однако за перевыпуск после окончания действия, как правило, уже придется заплатить.

Сертификат OV — подтверждение организации

Юридическому лицу нужно, кроме проверки домена, подтвердить существование компании и принадлежность сайта. Сертификационные центры проверяют компании по-разному.

Обязательно понадобятся:

  • свидетельство о гос. регистрации;
  • примеры документов с названием компании (например, договор, счет);
  • ответ на проверочный звонок, причем, номер телефона для звонка берется в открытых источниках.

Оформление Organization Validation сертификата требует до пяти дней.

Сертификат EV — с зеленой строкой

Extended Validation сертификат подтверждает, что организация, владеющая ресурсом, прошла тщательную полную проверку.

Это самый дорогостоящий сертификат, и его цена оправдана:

  • сертификат с зеленой строкой предполагает расширенный уровень доверия;
  • обеспечивает высочайший из возможных уровень защиты;
  • поддерживает кириллические доменные имена;
  • прописывается в адресной строке, вызывает моментальное доверие клиентов;
  • перевыпуск бесплатный.

Для сертификации такого уровня ЦС может потребовать свидетельство о регистрации предприятия, о постановке его на налоговый учет и другие документы. Ждать его получения придется до 10 дней.

Отличаются сертификаты не только уровнем доверия. Существуют те, что валидизируют и поддерживают одно доменное имя, а также с валидацией субдоменов, мультидоменные.

Вероятно, совсем скоро SSL/TSL-сертификат станет общей необходимостью. На его наличии делает акцент не только Google Chrome, но и Яндекс.Браузер, Opera, Firefox, Safari, Microsoft Edge.

Однако протокол HTTPS, который обеспечивается сертификатом, уже сейчас абсолютно необходим

  • системам электронных платежей
  • интернет-магазинам
  • аукционам
  • информационным системам организаций, оперирующим персональными и другими конфиденциальными данными.
  • форумам
  • социальным сетям.

Переходя на HTTPS, обязательно подумайте об оптимизации, чтобы минимизировать временные потери трафика. И очень скоро вы заметите, что ваши SEO-позиции улучшились.

21.02.2018

Возврат к списку