Лабораторія інтернет-маркетингу TessLab

Ми розробляємо ефективні рішення, що працюють
для онлайн реалізації складних бізнес-задач клієнтів


SSL-сертификати - навіщо вони бізнесу

SSL-сертификаты - зачем они бизнесу
a:2:{s:4:"TEXT";s:7958:"У вересні 2017 року Лабораторія Касперського опублікувала статистику кібератак. За півроку було атаковано близько 40% організацій в світі. Головне джерело зараження комп'ютерів - інтернет. За даними компанії, в Україні вірусами-шифрувальниками була заражена найбільша кількість (1,33%) технологічних інфраструктур організацій.

Цілі і наслідки втручань можуть бути різними. Крадіжка особистих даних користувачів ресурсів, перепродаж конкурентам бази клієнтів організації або інтернет-магазину. Можна блокувати роботу сайту або завантажити його сторонніми завданнями, створити фішингові сторінки-клони компанії.

В результаті кіберуразливостi і перехоплення даних компанія-власник сайту може втратити напрацьовану роками позицію серед пошукових систем і, що ще сумніше, репутацію.

Такий гігант, як Google, надає кібербезпецi величезне значення. Це підтверджується сумами, які він витрачає на захист і пошук вразливостей.

У серпні 2014 року компанія Google опублікувала в блозі для веб-майстрів статтю "HTTPS як ранжується сигнал".

У статті йдеться про безпеку як пріоритет Google і орієнтування за замовчуванням на HTTPS-шифрування, повідомляється, що користувачі Search, Gmail і Google-диска захищені безпечним з'єднанням.

Компанія закликала своїх користувачів звернути увагу на безпечний протокол HTTPS і використовувати його на своїх сайтах. Щоб стимулювати перехід на зашифроване з'єднання, Google об'явив про те, що його наявність у сайту стає додатковим сигналом для ранжування у видачі.

Починаючи з січня 2017 року сторінки Google Chrome, які збирають інформацію про кредитні картки і паролі, стали позначатися як ненадійні.

Наступним кроком стало попередження Chrome «Не безпечно» ще в двох випадках: введення даних (будь-яких) на сторінці з незашифрованим з'єднанням, а так само при використанні таких сторінок в режимі інкогніто.

У лютому було заявлено, що, починаючи з липня цього року, Chrome 68 відзначатиме як "небезпечні" абсолютно всі сайти HTTP.

Пояснюючи свою позицію, Google використовує такі аргументи:
  • HTTPS мінімізує ризик вторгнення зловмисників, а так само нав'язливих недобросовісних рекламодавців, які використовують будь-які незахищені платформи для розміщення своїх оголошень. Впроваджена інформація може містити віруси або бути нелегальною. Причому, втручання можливі в будь-якій точці: на комп'ютері користувача, в місці доступу Wi-Fi, на сервері провайдера.
  • Навіть якщо на сторінці не збирається важлива конфіденційна інформація, з її допомогою можна відстежувати активність людей: їх інтереси, наміри, дії. На підставі всього масиву зібраної (вкраденої) інформації можна в тому числі розкривати особистість людини, що використовує не захищений ресурс. Гарний приклад: людина, що читає певної спрямованості медичні статті, може, крім свого бажання, розкривати роботодавцеві інформацію про стан здоров'я.
  • Захищене з'єднання використовується на мобільних додатках, які працюють, в тому числі, офлайн, для визначення геолокації та ін.

Ви вирішили захистити сайт. Що далі?


Для підключення протоколу HTTPS необхідно згенерувати безкоштовний або купити SSL / TLS-сертифікат. Це цифрове посвідчення і підпис сайту, що підтверджують, що дані, якими обмінюється браузер з сервером, зашифровані.

Інформація в складі SSL-сертифіката:
  • версія і порядковий номер;
  • ім'я та реквізити центру, який видав сертифікат;
  • ідентифікатор алгоритму підпису;
  • власник (ім'я);
  • Відкритий ключ власника;
  • доменне ім'я користувача;
  • цифровий підпис;
  • адреса (місто, країна) власника;
  • час дії сертифіката.

Де отримати SSL / TLS-сертифікат


Сертифікати ключів електронного підпису випускають центри сертифікації (CA, Certification Authority). Центр сертифікації стає довіреною особою суб'єкта сертифіката (власника), і сторони, яка опирається на сертифікат.

Провідні сертифікаційні центри - Comodo, GoDaddy, GeoTrust, GlobalSign, RapidSSL, Symantec, Thawte. А продажами займаються перевірені компанії-партнери.

Виберіть надійний ЦС, що надає технічну підтримку.
Визначте необхідний ресурсу вид сертифіката.

Критерії вибору

Що важливо врахувати:
  • ступінь довіри сайту, яку ви хочете отримати;
  • кількість доменів, безпеку яких потрібно підтвердити;
  • вид суб'єкта: юридична або фізична особа, що представляє ресурс;
  • вартість.
Рівень довіри визначається трьома ступенями перевірки ресурсу, які підтверджуються трьома видами SSL-сертифіката.

Типи валідації:
  • з підтвердженням домену (Domain Validation);
  • з підтвердженням організації (Organization Validation);
  • iз зеленою стрічкою (Extended Validation), що передбачає розширену перевірку.

Сертифікат DV - підтвердження домену

Це поки що єдиний вид, доступний фізичним особам. Для перевірки домену та отримання сертифікату Domain Validation вистачить простої процедури переходу за посиланням в доменну пошту. Моментально переданий сертифікат підійде юридичним і фізичним особам. Деталі (термін дії, вид шифрування, назва центру сертифікації) будуть доступні в браузері.
Такий сертифікат можна отримати безкоштовно, проте за перевипуск після закінчення дії, як правило, вже доведеться заплатити.

Сертифікат OV - підтвердження організації

Юридичній особі потрібно, крім перевірки домену, підтвердити існування компанії і приналежність сайту. Сертифікаційні центри перевіряють компанії по-різному.

Обов'язково знадобляться:
  • свідоцтво про держ. реєстрації;
  • приклади документів з назвою компанії (наприклад, договір, рахунок);
  • відповідь на дзвінок перевірки, причому, номер телефону для дзвінка береться у відкритих джерелах.
Оформлення Organization Validation сертифіката займає до п'яти днів.

Сертифікат EV - iз зеленою стрічкою

Extended Validation сертифікат підтверджує, що організація, яка володіє ресурсом, пройшла повну ретельну перевірку.

Це найдорожчий сертифікат, і це виправдано:
  • сертифікат iз зеленою стрічкою передбачає розширений рівень довіри;
  • забезпечує найвищий з можливих рівень захисту;
  • підтримує кириличні доменні імена;
  • прописується в адресному рядку, викликає моментальну довіру клієнтів;
  • перевипуск безкоштовний.
Для сертифікації такого рівня ЦС може зажадати свідоцтво про реєстрацію підприємства, про взяття її на податковий облік та інші документи. Чекати його отримання доведеться до 10 днів.

Відрізняються сертифікати не тільки рівнем довіри. Існують ті, що валідізують і підтримують одне доменне ім'я, а також iз валідацією субдоменів, Мультидоменні.

Ймовірно, зовсім скоро SSL / TSL-сертифікат стане загальною необхідністю. На його наявності робить акцент не тільки Google Chrome, але і яндекс.браузер, Opera, Firefox, Safari, Microsoft Edge.

Однак протокол HTTPS, який забезпечується сертифікатом, вже зараз абсолютно необхідний
  • системам електронних платежів
  • інтернет-магазинам
  • аукціонам
  • інформаційним системам організацій, які оперують персональними та іншими конфіденційними даними.
  • форумам
  • соціальним мережам.

Переходячи на HTTPS, обов'язково подумайте про оптимізацію, щоб мінімізувати тимчасові втрати трафіку. І дуже скоро ви помітите, що ваші SEO-позиції покращилися.
";s:4:"TYPE";s:4:"HTML";}
21.02.2018

Повернення до списку