SSL сертифікат для сайту - навіщо він потрібен, де його взяти і який тип обрати?

Опубліковано: 20 мая 2014 / Оновлене: 20 мая 2014

Привіт друзі. Багато з вас знають, що я останнім часом займаюся в основному підготовкою сервісу CheckTrust.ru до запуску. До речі, запуск повинен відбутися вже дуже скоро і вас чекають найприємніші сюрпризи, але ви і зараз можете реєструватися і повноцінно користуватися сервісом.

Так ось минулого тижня стався черговий ключовою етап підготовки до запуску - отримання спеціального SSL сертифікату і перемикання сервісу на захищене з'єднання https: //.

Що це, навіщо це і чому це так важливо?

Дозвольте процитувати кілька рядків з Вікіпедії:

HTTPS (HyperText Transfer Protocol Secure) - розширення протоколу HTTP, що підтримує шифрування. Він забезпечує захист від атак, заснованих на прослуховуванні мережевого з'єднання, за умови, що використовуватимуться шифрувальні кошти, та сертифікат сервера перевірений і йому довіряють.
Щоб підготувати веб-сервер для обробки https-з'єднань, адміністратор повинен отримати і встановити в систему сертифікат для цього веб-сервера.
Центр сертифікації, при підписуванні перевіряє клієнта, що дозволяє йому гарантувати, що власник сертифіката є тим, за кого себе видає (зазвичай це платна послуга).

Простіше кажучи, коли Ви заходите на сайт з https то всі дані, передані в браузері, шифруються, і навіть якщо їх перехопить зловмисник, розшифрувати їх ніколи не зможе, не маючи секретного ключа який відомий тільки мені (власнику сертифіката).

Користуючись будь-яким сайтом, що зберігає і використовує особисті дані, а тим більше, якій передбачає оплату та інші фінансові операції, ви довіряєте йому свою інформацію і хочете, щоб вона була у безпеці.

Сайту ви можете довіряти, але якщо користуєтеся Інтернетом в громадському місці (аеропорт, кафе або будь-яка інша безкоштовна wi-fi точка доступу) чи впевнені ви в тому, що з'єднання ніхто не прослуховує? До речі, прослуховувати можуть і домашній інтернет, якщо є фізичний доступ до роутера. Привіт халявний сусідський wi-fi ?!

Але навіть тут власники сайту можуть вас врятувати. Зрозуміло, за допомогою захищеного https-з'єднання. Я, як один із засновників сервісу CheckTrust, дбаю про вас, друзі, і хочу, щоб ви відчували себе спокійно. І ми зробимо все можливе для цього!

Але вистачить лірики. Як ви вже зрозуміли, щоб зробити можливим https з'єднання, необхідно мати спеціальний SSL сертифікат і встановити його на сервер, де розташований сайт. Ось саме цим мені і треба було зайнятися пару днів назад. А так як я навіть гадки не мав, що собою являє SSL сертифікат, де його взяти, скільки це коштує і як його активувати, я став розбиратися.

Зайняв цей процес цілий робочий день, а потім ще цілий день на усунення несподіваних помилок. Я вирішив, що це варто того, щоб розповісти вам.

Отже, перш за все, я вирішив дізнатися, що ж це за сертифікати і з чим їх їдять. Нікого не здивую, якщо скажу, що просто ввів в Яндексі запит «ssl сертифікат». Коли я побачив слова «види», «різновид», «як вибрати», «порівняння», стало ясно, що все не так просто. Прочитавши декілька статей Хабре, я дізнався, що буває 3 типи сертифікатів, що їх видають спеціальні центри сертифікації і які з них найбільші.

Визначитися з типом SSL було не так просто, тому що крім верифікації тільки домену я хотів трохи більшого - підтвердження даних власника (хоч компанії у мене немає, зате у мене є я, і за певних умов можна підтвердити особистість замість організації).

До цього, я розмовляв з Саньком (керівник відділу розробки CheckTrust, помітили, так, у нас тут кругом одні «Саньки»!), І він сказав, що в Ярославлі бачив якусь контору. І так співпало, що у видачі був єдиний сайт, який продає сертифікати і якраз з Ярославля. Доля, мабуть, подумав я, і перейшов на їх сайт . Походив, подивився, але відповіді на своє питання, як отримати SSL сертифікат з перевіркою даних фізичної особи так і не знайшов, тому вирішив звернутись в техпідтримку.

Мене цікавить ssl сертифікат. Прочитав, що є різні види сертифікатів з різним рівнем перевірки. Є найпростіші з перевіркою тільки домену. А є з перевіркою організації та інших даних.
Хотілося б щось «сильніше» не тільки для перевірки домену. Але організації у мене немає, але я готовий підтвердити будь-які необхідні дані фізособи, тобто мене. Це можливо або мені підійде тільки верифікація домену та найпростіший сертифікат?

Досить швидко я отримав розгорнуту відповідь:

Різниця між цими сертифікатами полягає ось у чому:
Прості (Domain Validation, DV) - у сертифікаті вказано тільки домен.
З перевіркою компанії (Organization Validation, OV) - вказано домен і назва компанії.
З розширеної перевіркою (Extended Validation, EV) - зелена адресний рядок браузера, назва компанії в ній, в сертифікаті також домен і назва компанії.
При цьому в силі шифрування різниці немає.

Сертифікати EV фізичним особам в принципі не видаються. Процес перевірки навіть для компаній досить складний.
Для сертифікатів OV можливо, але процес валідації набагато складніше, ніж у юросіб. Опис процесу, наприклад, на сайті Comodo . За посиланням знаходиться документ з описом (англійською) - потрібно заповнити його (форма на 3 сторінці), завірити у нотаріуса і відправити по е-мейлу.

Крім того, в файлі є перелік документів, які вони приймають.
1) Паспорт
2) Документ з фінансової установи:
- міжнародна пластикова карта або дебетова карта, якщо на них зазначено термін дії і він ще не закінчився, або
- виписка з банківського рахунку не досягли 6 місяців
3) Нефінансовий документ:
- рахунок за комунальні послуги або
- завірена копія свідоцтва про народження або
- податкова декларація за останній рік або
- завірена копія судового документа, наприклад свідоцтво про розлучення, судова ухвала щодо визнання шлюбу недійсним або паперу про усиновлення.

Тобто якщо Ви вирішите займатися цими документи, виникнуть додаткові витрати на нотаріуса. При цьому центри сертифікації не гарантують, що сертифікат буде виданий. Крім того на сайті сертифікат не відрізнятиметься від простого, різниця тільки в назві компанії всередині сертифіката, а, на жаль, не всі користувачі знають, де це переглянути.

Тому краще всього замовити сертифікат з перевіркою тільки домену, а для того, щоб відвідувачі бачили, що сайт захищений, додатково додати друк захисту.

Проте, серед простих сертифікатів також є різниця.
Наприклад, Thawte вважається вищим класом, так як більш серйозно перевіряє замовника, ніж Comodo. У той же час Comodo більш популярний, тому що значно дешевше.

Вирішивши, що тяганина з документами і зайві витрати мені нафіг не потрібні, я зупинився на єдиному доступному для фізичної особи варіанті - простий SSL сертифікат з підтвердженням домену.

У процесі підготовки і покупки у мене виникали різні труднощі й питання, на щастя в кінці листа з техпідтримки був скайп чудової дівчини Юлії, яка погодилася мені допомогти і терпляче відповідала на всі мої запитання і допомагала вирішувати проблеми. А після покупки навіть допомогла перевірити валідність установки сертифіката, в результаті чого було виявлено серйозна проблема, але про це пізніше. Коротше кажучи, мені дуже сподобалося наше спілкування і я запропонував Юлії взяти участь в написанні даного поста.

Тому не буду тягнути і передаю слово Юлі, вона вам розповість про те, для чого використовуються SSL сертифікати, як проходить процес перевірки для різних типів SSL і в яких випадках їх краще застосовувати.

Дорогі читачі, буду рада, якщо надана нижче інформація виявиться Вам корисною і допоможе визначитися з SSL сертифікатом, коли з'явиться таке завдання. Тим більше, коли в світлі останніх подій (а саме після виявлення уразливості Heartbleed) почали ходити чутки про те, що в майбутньому наявність SSL сертифікатів на комерційних сайтах увійде в список факторів ранжирування і буде позитивно оцінюватися в пошуку Google. Офіційної заяви компанія не робила, хоча на конференції SMX West 2014 Метт Каттс висловив своє побажання бачити зашифроване з'єднання частиною нового алгоритму (прим. публікація про те на серч ). Нам же залишається поки стежити за новинами.

Почати хочу з того, що SSL сертифікати використовуються для захисту інформації, що передається в найрізноманітніших областях: при взаємодії з клієнтами (реєстрація і авторизація на сайті, передача даних від клієнта на сервер оплата кредитними картами), передача конфіденційної інформації у інтранеті, забезпечення безпечної комунікації між співробітниками, які працюють віддалено, захист додатків і поштових серверів. Крім захисної функції слід звернути увагу на той, що наявність SSL сертифікату на сайті позитивно впливає на довіру відвідувачів і може додатково мотивувати відвідувача вчинити певну дію на сторінці (наприклад, зареєструватися або завершити покупку).

Як Александр зауважив на початку статті, дійсно існує величезна кількість сертифікатів, тому ми їх розділили на підкатегорії, щоб було простіше зорієнтуватися.

З одного боку ми поділяємо SSL сертифікати в залежності від кількості що захищаються доменів:

1. 1 домен - захищає з'єднання з одним доменним ім'ям, наприклад, ви можете замовити його для домену my-site.ru або для поддомена pay.my-site.ru, і захищений буде саме той, що зазначений під час замовлення. Використовується для простих веб-сайтів або окремих розділів веб-ресурсів.
2. Домен і все його піддомени - SSL сертифікати типу Wildcard, які захищають доменне ім'я і все піддомени рівнем нижче. Замовляючи такий SSL сертифікат, важливо вказати назву сайту в форматі * .my-site.ru, тоді на місці зірочки зможе виявитися будь-який існуючий і майбутній піддомен Вашого веб-сайту.
3. Кілька доменів - Мультидоменні SSL сертифікат здатний заощадити Ваш час для замовлення, установки і управління, так як включає всі зазначені під час оформлення домени і / або піддомени. Найчастіше застосовується на поштових серверах або ж власниками декількох доменів.

З іншого боку існують різні типи валідації замовника для отримання того чи іншого сертифіката SSL, які згодом визначають рівні «престижу» сертифікатів:

1. Валідація домену - підходить для фізичних і юридичних осіб і полягає у підтвердженні замовлення по адміністративної електронній пошті або за допомогою http-запиту.
   Найкраще підходить для невеликих сайтів без онлайн оплати, для внутрішнього користування, для захисту iframe додатків, тобто в тих випадках, коли важливо забезпечити безпечну передачу даних, але користувачеві не обов'язково знати, який компанії належить захищений сайт.
2. Перевірка компанії - видається юридичним особам без проблем, для цього потрібно, крім підтвердження по електронній пошті, пройти валідацію по телефону. Особливих труднощів цей процес не становить, коли в замовленні, в даних про домен і в телефонному довіднику збігається назва і адреса компанії. Фізичним особам такі SSL сертифікати теоретично також видаються, але практично процедура досить складна, так як потрібно ряд документів, завірених нотаріусом.
   SSL сертифікат з перевіркою компанії містить назву фірми і використовується в тих випадках, коли необхідно не тільки захистити з'єднання, але і вказати, хто є власником сертифікату. Наприклад, це дуже важливо в разі сертифікатів розробника для підпису програмного коду, а також коли SSL сертифікат видається на IP адреса, або ж коли власник веб-сайту бажає дати можливість відвідувачам перевірити приналежність сайту своєї компанії (для цього потрібно клікнути на замок в адресному рядку і переглянути властивості SSL сертифікату).
3. Розширена перевірка компанії, крім перерахованих вище методів валідації електронною поштою і телефону, має на увазі перевірку юридичних документів компанії та вимагає офіційну заяву і угоду з центром сертифікації про випуск даного SSL сертифікату. Видаються SSL сертифікати EV (від Extended Validation - розширена валідація) виключно юридичним особам.
   Особливістю SSL сертифікатів з EV є фарбування адресного рядка браузера в зелений колір, крім того в ній з'являється назва компанії. Ці характеристики виділяють сайт серед конкурентів і привертають увагу відвідувачів, тому такий тип SSL сертифікатів ідеально використовувати для онлайн-магазинів, фінансових установ, платіжних систем, тобто в тих випадках, де довіру клієнтів має першорядне значення.

Для SEO-блогу було б також логічно порушити питання про те, як перехід на https: // впливає на ранжування сайту. Насамперед хочу зауважити, що ще в квітня 2013 Джон Мюллер (Google) повідомив, що сторінки, захищені SSL сертифікатом, ранжуються точно так же, як і прості сторінки http: //. Проте, щоб не виникло проблем з пошуковими системами, при установці SSL сертифікату необхідно врахувати наступні фактори:

1. Швидкість завантаження.
   Хостинг, на якому розташований Ваш сайт, повинен справлятися з додатковим навантаженням при SSL-з'єднанні, тому що швидкість завантаження є одним з факторів ранжирування в пошукових системах. Захищений SSL сертифікатом сайт вимагає більше ресурсів ніж звичайний, так як з'єднання по протоколу https шифрується. Тому важливо врахувати це явище за умови встановлення SSL сертифікату.
2. 301 редирект.
   Пошукові системи цінують унікальний контент на веб-сайті, тому важливо переконатися, що весь вміст сайту на http: // перенаправляється з використанням простого 301-го редіректу на еквівалентну сторінку з https: //. Якщо упустити цей момент і не налаштувати переадресацію, це може негативно позначитися на ставленні пошукових систем к сайту, тому що ці сторінки розпізнаються як два різних веб-сайту з однаковим контентом.
3. Інструменти для веб-майстрів.
   З тієї ж причини слід вносити в інструменти веб-майстрів версію сайту на https: // окремо в якості нового сайту.

Мабуть, це була основна інформація, яка може знадобитися при виборі і подальше використання SSL сертифікату. Звичайно ж, буває безліч нюансів та індивідуальних вимог, таких як захист версій сайту з www. і без, використання одного сертифіката на декількох фізичних серверах або підтримка високого рівня шифрування застарілими браузерами, але їх краще розглядати в кожному індивідуальному випадку, так само, як і питання установки і усунення помилок. Тому я і мої співробітники будемо раді відповісти на будь-які запитання читачів цього чудового блогу.

Спасибі велике Юлі за докладний опис видів сертифікатів та корисну інформацію. Сподіваюся, це вам стане в нагоді, коли питання із захистом вашого сайту стане актуальним. Можете задавати свої питання прямо в коментарях. Нагадаю, що Юля є представником компанії «Емарі» , Де я і купував свій сертифікат, так що рекомендую. Але мені хотілося б додати ще важливу річ.

Юля сказала, що в Google хочуть бачити наявність https в якості одного з факторів ранжирування, але і Яндекс не виняток. після скасування посилань для комерційних запитів в Москві (або не скасування, поки не зрозуміло досі) стало популярним говорити про, так звані, комерційні фактори. Вперше про них заговорили пару років назад (ще в 2011), але якось особливо активно стали згадувати не так давно. Так от крім таких очевидних моментів, як контакти, асортимент, детальна картка товару, доставка, онлайн-консультант, відсутність реклами і т.д. десь я чув про https протокол для кошика покупця або навіть для всього сайту магазину. Підтвердження цьому немає, але знати і пам'ятати про це по любому треба!

Тільки після того як я сам особисто зіткнувся з SSL сертифікатами і захистом даних я зрозумів, наскільки це дійсно важливо. І, якщо раніше я міг би сказати, що наявність https з'єднання там, де воно доречно, це бонус, то тепер я скажу інакше - відсутність https з'єднання там, де зберігаються особисті дані і відбуваються транзакції, це недолік! З усіх бірж тільки Сапа використовує https з'єднання (нехай і SSL сертифікат у них самоподпісанний і довіри не має, але, тим не менше), а з агрегаторів тільки seopult. Це провал ...

А у нас ось така ось краса в даний момент!

До речі, інформація на скріншоті про 500 безкоштовних перевірок на сервісі ще актуальна! Так що реєструйтеся і користуйтеся :)

Мабуть, на сьогодні все. Дякую за увагу, друзі.

До зв'язку!

З повагою, Олександр Алаев
Опубліковано: 20 мая 2014