SSL-сертифікат: що це таке, навіщо він потрібен і як його отримати

Використання захищеного HTTPS-з’єднання на інтернет-ресурсах вже стало стандартом сучасності. Згідно з дослідженням SerpWatch, сьогодні 95% сайтів у Chrome відкриваються за захищеним протоколом.

Наявність сертифіката не тільки захищає інформацію, передану між сервером і вашими відвідувачами, тим самим підвищуючи довіру до вашого ресурсу, а й допомагає вам займати кращі позиції в SERP.

Тому кожному власнику сайту потрібно визначитися з тим, який сертифікат йому підійде, як отримати SSL-сертифікат і перевести роботу свого інтернет-ресурсу на безпечний протокол вже зараз.  

У цій статті ми з’ясуємо що таке SSL, як працює https, які бувають сертифікати, а також як замовити та встановити SSL-сертифікат на свій сайт. 

Що таке HTTPS? 

Для передачі інформації між сайтом та відвідувачем використовується протокол HTTP (англ. HyperText Transfer Protocol – «протокол передачі гіпертексту»). HTTPS – це його захищена версія (HyperText Transfer Protocol Secure). Дані при передачі між клієнтом і сервером шифруються за допомогою спеціальних ключів-сертифікатів, щоб вони не могли бути прочитані третьою стороною. 

У такий спосіб нівелюється цілий ряд проблем кібербезпеки й забезпечується надійний захист інформації, що передається (персональних даних, емейлів, паролів, номерів кредитних карток). 

Що таке SSL? 

SSL (Secure Sockets Layer) – це протокол безпеки, який використовується для шифрування даних, що передаються між сайтом та браузером користувача. Цей спосіб захисту гарантує, що інформація, яку відвідувачі вводять на сайті, наприклад, паролі, номери кредитних карток або інші особисті дані, не може бути перехоплена третьою особою. 

Навіть якщо зловмисникам і вдасться перехопити повідомлення з вашими даними на шляху до сервера, то в результаті вони лише отримають набір рандомних символів. 

Яка різниця між SSL і TLS? 

Протокол SSL не оновлювався з SSL 3.0 у 1996 році й зараз вважається застарілим  попередником оновленого шифрування TLS (Transport Layer Security). Більшість сучасних веббраузерів SSL вже також не підтримують. 

Натомість TLS – це сучасний протокол шифрування, і насправді саме його пропонують постачальники SSL-сертифікатів. Просто через те, що багато людей досі називають TLS «шифруванням SSL», цей термін залишається на сторінках багатьох продуктів.

Що таке SSL-сертифікат?

SSL-сертифікат – цифровий сертифікат (набір файлів, встановлених на сервер), який підтверджує, що сайт є автентичним і що він забезпечує безпечне зʼєднання SSL (технічно TLS). 

Завдання сертифіката SSL полягає в тому, щоб ініціювати захищені сеанси з браузером користувача через протокол рівня захищених сокетів (SSL). Це безпечне з’єднання неможливо встановити без SSL-сертифіката, який у цифровому вигляді пов’язує інформацію про компанію з криптографічним ключем.

Іншими словами, SSL-сертифікат це як посвідчення вашого сайту про те, що він є безпечним для користувачів. 

За умови, що SSL дійсний і коректно встановлений, ваш сайт і його відвідувачі отримують такі переваги безпеки: 

• Автентифікація: підтвердження автентичності сервера, доки з’єднання дійсне.  
• Конфіденційність: дані, надіслані через SSL, зашифровані та видимі лише для сервера та клієнта.  
• Цілісність: цифрові підписи сертифікатів гарантують, що дані не були змінені під час передачі. 

Як перевірити SSL-сертифікат?  

Якщо Гугл не попередив вас про те, що зʼєднання незахищене, значить SSL-сертифікат на сайті таки є. Щоб перевірити, який саме ssl встановлено на сайті і чи він дійсний, клацніть на значок “Налаштувань” біля назви сайту. 

Далі оберіть пункт  “Зʼєднання безпечне”. 

Натисніть на “Сертифікат дійсний”. 

І, власне, на цьому кроці ви можете побачити всі дані про SSL-сертифікат, встановлений на сайт: яким центром сертифікації виданий, до якої дати діє. Якщо на сайті встановлений комерційний SSL, а не безкоштовний Let’s Encrypt, то на ньому можна вводити банківські дані та зберігати паролі.  

Альтернативний спосіб перевірки сертифіката – через “Інструменти розробника”. Натисніть F12 або комбінацію клавіш Ctrl+Shift+I та перейдіть на вкладку “Security”. Якщо ви бачите сповіщення “This page is secure (valid HTTPS)”, значить SSL на сайті дійсний.  

Чи є ризики, якщо на сайті не встановлено SSL? 

Попередження про небезпечне зʼєднання й зіпсутий UX. Якщо на сайті немає SSL, користувачі отримають ось таке сповіщення на весь екран про те, що зʼєднання небезпечне. Щоб все ж таки побачити контент такого сайту, людині потрібно буде натиснути кнопку “Розширені”. Це додає незручностей і точно викликає тривожні думки. 

Збільшення відсотка відмов і зниження конверсій. Обʼєктивно ні про яку довіру до сайту без SSL з боку користувача не може бути й мови. За різними даними, близько 83% користувачів йде із сайту без SSL, а за даними Global Sign, 85% онлайн-покупців відмовляються від покупки, коли виявляють, що сайт небезпечний.  

Шкода репутації сайту. Сайт без HTTPS набагато легше зламати й почати відображати на ньому протиправний контент. Це може стати приводом, через який на сайт можуть накластися санкції, а також заборона на рекламні кампанії. 

Зниження позицій у Google. Хоч нещодавно почали зʼявлятися заяви від представників корпорації про те, що відсутність SSL-сертифіката не сприяє деіндексації сайту в пошуковій видачі, його й досі визнають одним із факторів ранжування. 

Це якщо безпосередньо, а тепер занурмося в це питання трохи глибше. Якщо кожного разу відвідувачі не зможуть потрапити на ваш сайт через здоровенне сповіщення про небезпеку, вони з високою ймовірністю підуть на сайт конкурента. 

І коли таких сесій з підозрілим відсотком відмов буде забагато, алгоритм просто почне відсувати сайт все нижче від топу видачі. Адже з кожним новим апдейтом Google не втомлюється нагадувати нам про те, наскільки важливими для алгоритмів є безпека відвідувача. 

Дані користувачів можуть перехопити хакери. На сайтах без SSL-сертифіката зловмисники можуть без проблем підробити транзакційну сторінку й перехопити дані ваших користувачів (платіжні дані, логіни й паролі, особисту інформацію). 

Тож якщо на вашому сайті відбуваються транзакції, ви зобовʼязані відповідати стандартам безпеки в індустрії платіжних карток – PCI DSS (Payment Card Industry Data Security Standard). Однією з вимог, які висувають платіжні провайдери є якраз підтримка SSL-протоколу. 

Як працює SSL-сертифікат: типи шифрування 

В основі роботи SSL/TLS сертифікатів лежить гібридний метод шифрування, в якому використовуються всі переваги методів симетричного і асиметричного шифрування. 

При симетричному шифруванні один і той самий ключ використовується для шифрування і дешифрування даних. Метод ідеальний для шифрування великих об’ємів даних, потребує менше обчислювальної потужності й забезпечує високу продуктивність. 

Однак через те, що веббраузерів багато, а сервер з SSL-сертифікатом у мами один, останньому довелося б щоразу передавати ключ у відкритому вигляді, що неабияк небезпечно. Тож браузер генерує унікальний ключ для кожного сеансу.

При асиметричному методі використовується пара ключів – “відкритий, або публічний ключ” і “закритий, або приватний ключ” для шифрування і дешифрування. У цьому методі відкритий ключ є загальнодоступним і використовується для шифрування даних, водночас розшифрування виконується з використанням закритого ключа, який надійно зберігається на сервері. 

Тож коли користувач заходить на сайт, браузер створює унікальний симетричний ключ, зашифровує його відкритим, або публічним, ключем і передає серверу. Той звіряє закритий, або приватний, ключ із відкритим і розшифровує дані. 

Відповідно такий метод гарантує набагато більшу безпеку, а також автентифікацію – дані бачить і дешифрує саме той об’єкт, який мав їх отримати. Шахраї вже не можуть перехопити або підмінити особисті й платіжні дані користувачів: контакти, номери банківських карток, логіни, паролі, адреси електронної пошти тощо. 

Детальніше про симетричне й асиметричне шифрування  

Коротка схема роботи SSL-сертифіката:

1. Клієнт відкриває сайт. Браузер надсилає серверу запит на сторінку, і намагається встановити з ним безпечне зʼєднання по протоколу HTTPS. 

2. Якщо сертифікат є, ініціюється SSL/TLS Handshake (рукостискання між сервером і клієнтом). Сервер разом із запитом на вебсторінку надсилає файл сертифіката з публічним ключем. 

3. Браузер перевіряє сертифікат. Якщо сертифікат недійсний, браузер попередить користувача про небезпеку і може заблокувати доступ до сайту. 

Якщо сертифікат дійсний, браузер генерує попередній секретний ключ (Pre-Master Secret), шифрує цей секретний ключ публічним ключем і надсилає його на сервер. 

4. Сервер розшифровує цей секретний ключ своїм приватним ключем, створює спільний секретний ключ (Master Secret), яким потім будуть шифруватися передані дані. На цьому “Рукостискання SSL/TLS” завершується, клієнт із сервером безпечно обмінюються інформацією далі. 

Які бувають SSL сертифікати?

Сертифікати розрізняють за центром сертифікації, типом захисту та рівнем перевірки. Розгляньмо детальніше. 

За типом захисту SSL-сертифікати поділяють на:

1. Захист доменів (звичайні сертифікати)
2. Захист піддоменів (Wildcard-сертифікати)
3. Захист кількох доменів (SAN-сертифікати)
4. Сертифікати програмного коду (Code Signing)
5. Сертифікати з підтримкою IDN

Сертифікати різних рівнів перевірки  

1. DV-сертифікати з перевіркою домену – Domain Validation 
2. OV-сертифікати з перевіркою домену та компанії, якій він належить – Organization Validation
3. EV-сертифікати з перевіркою домену та роширеною перевіркою компанії – Extended Validation 

SSL-і різних типів захисту та рівнів перевірки можна придбати в офіційних центрах сертифікації, зокрема Certum, Comodo (після ребрендингу Sectigo), RapidSSL, GeoTrust і Thawte. 

Більше про відмінності SSL-сертифікатів різних типів і рівнів перевірки, їхні переваги й недоліки, читайте тут. 

Сертифікат і його вплив на позиції в пошукових системах

SSL – це не лише про безпеку, сертифікат впливає і на інші вагомі чинники, включаючи SEO-рейтинг сайту. Сучасні алгоритми пошукових систем аналізують ресурси на наявність встановленого сертифіката безпеки і ставлять сайти, що працюють за HTTPS, в пріоритет на тлі аналогічних.

Ще в грудні 2015 року Google анонсував, що буде віддавати перевагу HTTPS-посиланням, у такий спосіб підвищуючи у видачі сайти, які працюють за захищеним зʼєднанням HTTPS. 

А у 2019 Джон Мюллер з Google нагадав про те, що компанія використовує HTTPS як легкий фактор ранжування. Водночас він запевнив, що відсутність HTTPS не є чинником при прийнятті рішення про деіндексацію сторінки. 

Справді, наявність SSL не гарантує вам високі позиції в пошукових системах апріорі, однак досягнути їх без сертифіката практично неможливо. Якщо ви усвідомлено відмовляєтесь від SSL, будьте готовими до того, що ваш сайт втрачатиме свої позиції в пошукових запитах, а разом із цим суттєву частину трафіку.

Як встановити SSL-сертифікат на хостингу?

Ви вже обрали потрібний вам SSL-сертифікат і оплатили його. Тепер можна приступити до його налаштування. Залежно від панелі управління на вашому хостингу або сервері використовуйте наші інструкції з установки на cPanel або CWP.

Якщо вам зручніше використовувати текстові інструкції, то ось вони: встановлення через cPanel і через CWP. 

Як налаштувати роботу сайту по HTTPS? 

Після установки сертифіката на сервер залишилося налаштувати роботу скриптів вашого сайту за захищеним протоколом, а саме – переконатися, що весь контент завантажується за посиланнями з https. 

Інакше при зверненні до сайту користувачі побачать, що з’єднання не повністю захищене і/або постраждає вигляд сайту, якщо посилання на css-файли не будуть замінені. Найчастіше популярні CMS мають вбудований функціонал з переведення посилань на https. Для WordPress, наприклад, ви можете використовувати зручний плагін Really Simple SSL.

І останній штрих – встановити автоматичне перенаправлення всіх відвідувачів на https-версію вашого сайту. Для цього потрібно додати спеціальні налаштування в файл .htaccess на хостингу. У більшості випадків підходить такий варіант перенаправлення:

RewriteCond %{HTTPS} off

RewriteCond %{HTTP:X-Forwarded-Proto} !https

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

На завершення 

Тепер ви маєте SSL-сертифікат, тож ваш сайт відповідає всім вимогам безпеки.

Виникли питання або ви просто не хочете займатися цим самі? Зверніться до нашої техпідтримки, допоможемо згенерувати й встановити SSL безкоштовно. 

Підібрати SSL 

Наш телеграм

з важливими анонсами, розіграшами й мемами

Приєднатися