SSL-сертификат: что это такое, зачем нужен и как его получить

Использование защищенного HTTPS-соединения на сайтах уже стало стандартом современности. Согласно исследованию SerpWatch, сегодня 95% сайтов в Chrome открываются по защищенному протоколу.

Наличие сертификата не только защищает информацию, передаваемую между сервером и вашими посетителями, тем самым повышая доверие к вашему ресурсу, но и помогает вам занимать лучшие позиции в SERP. 

Поэтому каждому владельцу сайта нужно определиться с тем, какой сертификат ему подойдет, как получить SSL-сертификат и перевести работу своего интернет-ресурса на безопасный протокол уже сейчас.  

В этой статье мы выясним что такое SSL, как работает https, какие бывают сертификаты, а также как заказать и установить SSL-сертификат на свой сайт.

Что такое HTTPS?

Для передачи информации между сайтом и посетителем используется протокол HTTP (англ. HyperText Transfer Protocol – «протокол передачи гипертекста»). HTTPS – это его защищенная версия (HyperText Transfer Protocol Secure). Данные при передаче между клиентом и сервером шифруются с помощью специальных ключей-сертификатов, чтобы они не могли быть прочитаны третьей стороной. 

Таким образом нивелируется целый ряд проблем кибербезопасности и обеспечивается надежная защита передаваемой информации (персональных данных, емейлов, паролей, номеров кредитных карт).

Что такое SSL?

SSL (Secure Sockets Layer) – это протокол безопасности, который используется для шифрования данных, передаваемых между сайтом и браузером пользователя. Этот способ защиты гарантирует, что информация, которую посетители вводят на сайте, например, пароли, номера кредитных карточек или другие личные данные, не может быть перехвачена третьим лицом. 

Даже если злоумышленникам удастся перехватить сообщение с вашими данными на пути к серверу, то в результате они лишь получат набор рандомных символов.

Какая разница между SSL и TLS? 

Протокол SSL не обновлялся с SSL 3.0 в 1996 году и сейчас считается устаревшим предшественником обновленного шифрования TLS (Transport Layer Security). Большинство современных веб-браузеров SSL уже не поддерживают. 

В то же время TLS – это современный протокол шифрования, и на самом деле именно его предлагают поставщики SSL-сертификатов. Просто из-за того, что многие люди до сих пор называют TLS «шифрованием SSL», этот термин остается на страницах продуктов.

Что такое SSL-сертификат?

SSL-сертификат – цифровой сертификат (набор файлов, установленных на сервер), который подтверждает, что сайт является аутентичным и что он обеспечивает безопасное соединение SSL (технически TLS). 

Задача сертификата SSL заключается в том, чтобы инициировать защищенные сеансы с браузером пользователя через протокол уровня защищенных сокетов (SSL). Другими словами, SSL-сертификат – это как удостоверение вашего сайта о том, что он является безопасным для пользователей. 

При условии, что SSL действителен и корректно установлен, ваш сайт и его посетители получают следующие преимущества безопасности: 

• Аутентификация: подтверждение подлинности сервера, пока соединение действительно.  
• Конфиденциальность: данные, отправленные через SSL, зашифрованы и видны только для сервера и клиента.  
• Целостность: цифровые подписи сертификатов гарантируют, что данные не были изменены во время передачи. 

Как проверить SSL-сертификат?  

Если Гугл не предупредил вас о том, что соединение незащищенное, значит SSL-сертификат на сайте все-таки есть. Чтобы проверить, какой именно ssl установлен на сайте и действителен ли он, щелкните на значок «Настроек» возле названия сайта. 

Далее выберите пункт «Соединение безопасное». 

Нажмите на «Сертификат действителен». 

И, собственно, на этом шаге вы можете увидеть все данные о SSL-сертификате, установленном на сайт: каким центром сертификации выдан, до какой даты действует.

Если на сайте установлен коммерческий SSL, а не бесплатный Let’s Encrypt, то на нем можно вводить банковские данные и хранить пароли.  

Альтернативный способ проверки сертификата – через «Инструменты разработчика». Нажмите F12 или комбинацию клавиш Ctrl+Shift+I и перейдите на вкладку «Security». Если вы видите уведомление «This page is secure (valid HTTPS)», значит SSL на сайте действителен.  

Есть ли риски, если на сайте не установлен SSL? 

Предупреждение об опасном соединении и испорченный UX. Если на сайте нет SSL, пользователи получат вот такое уведомление на весь экран о том, что соединение небезопасно. Чтобы увидеть контент такого сайта, человеку нужно будет нажать кнопку «Расширенные». Это добавляет неудобств и точно вызывает тревожные мысли. 

Увеличение процента отказов и снижение конверсий. Объективно ни о каком доверии к сайту без SSL со стороны пользователя не может быть и речи. По разным данным, около 83% пользователей уходит с сайта без SSL, а по данным Global Sign, 85% онлайн-покупателей отказываются от покупки, когда обнаруживают, что сайт небезопасен.  

Вред репутации сайта. Сайт без HTTPS гораздо легче взломать и поместить на него незаконный контент. Это может стать поводом, из-за которого на сайт могут наложить санкции, включая запрет на рекламные кампании. 

Снижение позиций в Google. Хотя недавно начали появляться заявления от представителей корпорации о том, что отсутствие SSL-сертификата не приводит к деиндексации сайта в поисковой выдаче, его до сих пор признают одним из факторов ранжирования. 

Это если непосредственно, а теперь погрузимся в этот вопрос немного глубже. Если каждый раз посетители не смогут попасть на ваш сайт из-за оповещения об опасности, они с высокой вероятностью уйдут на сайт конкурента. 

И когда таких сессий с подозрительным процентом отказов будет много, алгоритм просто начнет отодвигать сайт все ниже от топа выдачи. Ведь с каждым новым апдейтом Google не устает напоминать нам о том, насколько важными для алгоритмов является безопасность посетителя. 

Данные пользователей могут перехватить хакеры. На сайтах без SSL-сертификата злоумышленники могут без проблем подделать транзакционную страницу и перехватить данные ваших пользователей (платежные данные, логины и пароли, личную информацию). 

Поэтому если на вашем сайте происходят транзакции, вы обязаны соответствовать стандартам безопасности в индустрии платежных карт – PCI DSS (Payment Card Industry Data Security Standard). Одним из требований, которые выдвигают платежные провайдеры, является как раз поддержка SSL-протокола. 

Как работает SSL-сертификат: типы шифрования 

В основе работы SSL/TLS сертификатов лежит гибридный метод шифрования, в котором используются все преимущества методов симметричного и асимметричного шифрования. 

При симметричном шифровании один и тот же ключ используется для шифрования и дешифрования данных. Метод идеален для шифрования больших объемов данных, требует меньше вычислительной мощности и обеспечивает высокую производительность. 

Однако из-за того, что веб-браузеров много, а сервер с SSL-сертификатом у мамы один, последнему пришлось бы каждый раз передавать ключ в открытом виде, что довольно опасно. Поэтому браузер генерирует уникальный ключ для каждого сеанса. 

При асимметричном методе используется пара ключей – «открытый (публичный) ключ» и «закрытый (приватный) ключ» для шифрования и дешифрования. В этом методе открытый ключ является общедоступным и используется для шифрования данных, в то же время расшифровка выполняется с использованием закрытого ключа, который надежно хранится на сервере. 

Соответственно такой метод гарантирует гораздо большую безопасность, а также аутентификацию – данные видит и дешифрует именно тот объект, который должен был их получить. Мошенники уже не могут перехватить или подменить личные и платежные данные пользователей: контакты, номера банковских карт, логины, пароли, адреса электронной почты и т.д. 

Подробнее о симметричном и асимметричном шифровании  

Краткая схема работы SSL-сертификата:

1. Клиент открывает сайт. Браузер отправляет серверу запрос на страницу, и пытается установить с ним безопасное соединение по протоколу HTTPS. 

2. Если сертификат есть, инициируется SSL/TLS Handshake (рукопожатие между сервером и клиентом). Сервер вместе с запросом на веб-страницу отправляет файл сертификата с публичным ключом. 

3. Браузер проверяет сертификат. Если сертификат недействителен, браузер предупредит пользователя об опасности и может заблокировать доступ к сайту. 

Если сертификат действителен, браузер генерирует предварительный секретный ключ (Pre-Master Secret), шифрует этот секретный ключ публичным ключом и отправляет его на сервер. 

4. Сервер расшифровывает этот секретный ключ своим приватным ключом, создает общий секретный ключ (Master Secret), которым затем будут шифроваться передаваемые данные. На этом «Рукопожатие SSL/TLS» завершается, клиент с сервером безопасно обмениваются информацией дальше. 

Какие бывают SSL сертификаты?

Сертификаты различают по центру сертификации, типу защиты и уровню проверки. Рассмотрим подробнее. 

По типу защиты SSL-сертификаты делят на:

1. Защиту доменов (обычные сертификаты)
2. Защиту поддоменов (Wildcard-сертификаты)
3. Защиту нескольких доменов (SAN-сертификаты)
4. Сертификаты программного кода (Code Signing)
5. Сертификаты с поддержкой IDN

Сертификаты различных уровней проверки  

1. DV-сертификаты с проверкой домена – Domain Validation 
2. OV-сертификаты с проверкой домена и компании, которой он принадлежит – Organization Validation
3. EV-сертификаты с проверкой домена и расширенной проверкой компании – Extended Validation 

SSL-и разных типов защиты и уровней проверки можно приобрести в официальных центрах сертификации, в частности Certum, Comodo (после ребрендинга Sectigo), RapidSSL, GeoTrust и Thawte. 

Больше об отличиях SSL-сертификатов разных типов и уровней проверки, их преимуществах и недостатках, читайте здесь. 

Сертификат и его влияние на позиции в поисковых системах

SSL – это не только про безопасность, сертификат влияет и на другие весомые факторы, включая SEO-рейтинг сайта. Современные алгоритмы поисковых систем анализируют ресурсы на наличие установленного сертификата безопасности и ставят сайты, работающие по HTTPS, в приоритет на фоне аналогичных.

Еще в декабре 2015 года Google анонсировал, что будет отдавать предпочтение HTTPS-ссылкам, таким образом повышая в выдаче сайты, которые работают по защищенному соединению HTTPS. 

А в 2019 Джон Мюллер из Google напомнил о том, что компания использует HTTPS как «легкий фактор ранжирования». В то же время он заверил, что отсутствие HTTPS не является фактором при принятии решения о деиндексации страницы. 

Действительно, наличие SSL не гарантирует вам высокие позиции в поисковых системах априори, однако достичь их без сертификата практически невозможно. Если вы осознанно отказываетесь от SSL, будьте готовы к тому, что ваш сайт будет терять свои позиции в поисковых запросах, а вместе с этим – существенную часть трафика.

Как установить SSL-сертификат на хостинге?

Вы уже выбрали нужный вам SSL-сертификат и оплатили его. Теперь можно приступить к его настройке. В зависимости от панели управления на вашем хостинге или сервере используйте наши инструкции по установке на cPanel или CWP.

Если вам удобнее использовать текстовые инструкции, то вот они: установка через cPanel и через CWP. 

Как настроить работу сайта по HTTPS? 

После установки сертификата на сервер осталось настроить работу скриптов вашего сайта по защищенному протоколу, а именно – убедиться, что весь контент загружается по ссылкам с https. 

В противном случае при обращении к сайту пользователи увидят, что соединение не полностью защищено и/или пострадает вид сайта, если ссылки на css-файлы не будут заменены. Чаще всего популярные CMS имеют встроенный функционал по переводу ссылок на https. Для WordPress, например, вы можете использовать удобный плагин Really Simple SSL.

И последний штрих – установить автоматическую переадресацию всех посетителей на https-версию вашего сайта. Для этого нужно добавить специальные настройки в файл .htaccess на хостинге. В большинстве случаев подходит такой вариант переадресации:

RewriteCond %{HTTPS} off
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 

В завершение 

Теперь у вас есть SSL-сертификат, так что ваш сайт соответствует всем требованиям безопасности.

Возникли вопросы или вы просто не хотите заниматься этим сами? Обратитесь в нашу техподдержку, поможем сгенерировать и установить SSL бесплатно. 

Подобрать SSL

Наш телеграм

с важными анонсами, розыгрышами и мемами

Присоединиться