партнерский материал

Что такое SSL-сертификат? Он мне вообще нужен?

11 карточек
1

Что это за сертификат такой?

Это цифровая подпись сайта, которая нужна для работы протокола защищенной передачи данных в сети. Проще говоря, она обеспечивает шифрованное соединение между пользователем и сайтом. То есть информация, которой они обмениваются, защищена от посторонних — провайдера, оператора, администратора вайфай-сети и прочих. Еще с помощью этого сертификата подтверждается подлинность сайта — пользователь может проверить, какой компании на самом деле принадлежит ресурс.

2

Как понять, защищенный сайт или нет?

Очень просто. Посмотрите на адресную строку (URL) этой страницы. Слева от нее (или на ней — это зависит от вашего браузера) можно увидеть зеленую надпись, которая означает, что это сайт компании Medusa Project. Там же есть маленький символ замочка — все защищенные сайты помечаются таким. Еще протокол http в начале адреса сменяется на https (дополнительная «s» значит secure, «защищенный»).

3

Зачем мне защищаться и шифроваться, если я не делаю ничего противозаконного?

Каждый пользователь, заходя на любой сайт, оставляет о себе много информации. Если на таком сайте не стоит SSL-сертификат, то данные, которые вводит пользователь, можно украсть. Поэтому прежде всего защищаться нужно интернет-магазинам, банкам, платежным системам, соцсетям, форумам — всем, кто обрабатывает персональные данные и проводит финансовые транзакции.

4

То есть такие защищенные сайты не могут взломать хакеры?

Нет, взломать сайт с SSL-сертификатом так же просто, как и без него. Тут дело в другом. SSL-сертификаты защищают не сайт от взлома, а информацию, которой он обменивается с пользователем, от перехвата. А еще они подтверждают, что вы имеете дело с авторизованным сайтом, который принадлежит конкретному владельцу. То есть вы можете быть уверены, что это не фишинговая страница и не сайт-клон.

5

Когда я ввожу свои логин и пароль на сайте, где нет сертификата, их могут украсть?

Да, в том числе. С незащищенного сайта можно перехватить финансовую информацию, данные вашего аккаунта, содержание переписки и прочее. Нешифрованную информацию может перехватить недобросовестный поставщик интернет-услуг, хостер сайта или же злоумышленник, который подключен вместе с вами к одной вайфай-сети. Если сайт не защищен, то интернет-провайдер может размещать на нем свою рекламу или же следить за посещением сайтов и собирать информацию, чтобы таргетировать рекламу и продавать эти данные сторонним компаниям. Браузеры, поисковики и в особенности компания Google по-своему борются с незащищенными сайтами: например, такие страницы понижают в поисковой выдаче. А еще перед переходом по ссылке на такой сайт может выводиться предупреждающий экран. Кроме того, SSL-сертификат не позволяет перенаправлять пользователей на подменный ресурс, а самим сайтам помогает не нарушать федеральный закон № 152.

6

Что это за закон такой и как его нарушают?

Это закон «О персональных данных». Если сайт собирает хотя бы минимальную информацию о пользователях, например ФИО и имейл, то он становится оператором персональных данных. По закону такой ресурс обязан соблюдать целый комплекс мер по защите этих данных, и установка SSL-сертификата — одна из них.

7

Ок, это один сертификат?

SSL-сертификатов несколько видов. Во-первых, они отличаются по количеству доменов и субдоменов, для которых они могут использоваться. Во-вторых, по тому, как именно сайт будет проверяться, — тут есть три варианта:

  • Первый — DV (domain validation) SSL — подтверждает домен, а также шифрует и защищает данные при передаче с помощью протокола https. Установить его себе на сайт могут как физические лица, так и организации. Выпускается он, как правило, почти мгновенно (точно не дольше 3 часов), после чего на сайте появляется значок замочка (см. пункт 2) и сайт становится защищенным.
  • Второй — OV (organization validation) SSL — кроме защиты информации гарантируется принадлежность домена конкретной организации. Сертификат выдается только юридическим лицам с подтвержденным номером телефона (перед его выпуском в организацию звонят). На сайте с таким сертификатом пользователь может найти информацию об организации — владельце сайта, обычно просто щелкнув по иконке замка. Выпускается он в течение 3 дней.
  • Третий — EV (extended validation) — то же, что и OV, только проверяется уже и налоговая, и коммерческая деятельность компании, причем более детально. На сайте рядом с URL появляется название компании. Выпускается в течение 5 дней.
8

Так, а где я могу получить SSL-сертификат?

В удостоверяющих центрах. Их около десятка на весь мир, но основную долю рынка занимают всего три. Распространением сертификатов занимаются также их партнеры. Один из крупнейших в России — компания Ru-Center, вместе с которой мы сделали эти карточки. Это официальный партнер нескольких удостоверяющих центров: Thawte, GeoTrust, Symantec, Comodo. Также компания предлагает SSL-сертификаты под собственным брендом.

9

Я слышал, что есть сертификаты, которые выдают просто так. Зачем тогда платить?

Во-первых, бесплатно поставляются только SSL-сертификаты типа DV (domain validation). Во-вторых, их перевыпуск зачастую платный. В-третьих, такой сертификат может не подойти для некоторых сайтов, например, для ресурсов в финансовой сфере. Однако они могут стать отличным решением в качестве тест-драйва с возможностью сэкономить на первый год.

10

Как понять, какой сертификат мне нужен?

Все зависит от количества доменов и степени необходимой проверки — от этого же зависит и цена сертификата (самый базовый обойдется в 3600 рублей в год). Выбрать нужный сертификат можно на сайте Ru-Center. Специально для читателей «Медузы» действует бессрочная скидка на все сертификаты 20% по промокоду MEDUZA. Бесплатные сертификаты Ru-Center тоже выдает, при покупке домена или хостинга (подробная информация о предложении здесь).

11

Установить SSL-сертификат, наверное, сложно?

Не очень, но если самим возиться с установкой времени нет, то лучше обратиться к профессионалам Ru-Center.

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.