Что такое SSL-сертификат? Он мне вообще нужен?
Что это за сертификат такой?
Это цифровая подпись сайта, которая нужна для работы протокола защищенной передачи данных в сети. Проще говоря, она обеспечивает шифрованное соединение между пользователем и сайтом. То есть информация, которой они обмениваются, защищена от посторонних — провайдера, оператора, администратора вайфай-сети и прочих. Еще с помощью этого сертификата подтверждается подлинность сайта — пользователь может проверить, какой компании на самом деле принадлежит ресурс.
Как понять, защищенный сайт или нет?
Очень просто. Посмотрите на адресную строку (URL) этой страницы. Слева от нее (или на ней — это зависит от вашего браузера) можно увидеть зеленую надпись, которая означает, что это сайт компании Medusa Project. Там же есть маленький символ замочка — все защищенные сайты помечаются таким. Еще протокол http в начале адреса сменяется на https (дополнительная «s» значит secure, «защищенный»).
Зачем мне защищаться и шифроваться, если я не делаю ничего противозаконного?
Каждый пользователь, заходя на любой сайт, оставляет о себе много информации. Если на таком сайте не стоит SSL-сертификат, то данные, которые вводит пользователь, можно украсть. Поэтому прежде всего защищаться нужно интернет-магазинам, банкам, платежным системам, соцсетям, форумам — всем, кто обрабатывает персональные данные и проводит финансовые транзакции.
То есть такие защищенные сайты не могут взломать хакеры?
Нет, взломать сайт с SSL-сертификатом так же просто, как и без него. Тут дело в другом. SSL-сертификаты защищают не сайт от взлома, а информацию, которой он обменивается с пользователем, от перехвата. А еще они подтверждают, что вы имеете дело с авторизованным сайтом, который принадлежит конкретному владельцу. То есть вы можете быть уверены, что это не фишинговая страница и не сайт-клон.
Когда я ввожу свои логин и пароль на сайте, где нет сертификата, их могут украсть?
Да, в том числе. С незащищенного сайта можно перехватить финансовую информацию, данные вашего аккаунта, содержание переписки и прочее. Нешифрованную информацию может перехватить недобросовестный поставщик интернет-услуг, хостер сайта или же злоумышленник, который подключен вместе с вами к одной вайфай-сети. Если сайт не защищен, то интернет-провайдер может размещать на нем свою рекламу или же следить за посещением сайтов и собирать информацию, чтобы таргетировать рекламу и продавать эти данные сторонним компаниям. Браузеры, поисковики и в особенности компания Google по-своему борются с незащищенными сайтами: например, такие страницы понижают в поисковой выдаче. А еще перед переходом по ссылке на такой сайт может выводиться предупреждающий экран. Кроме того, SSL-сертификат не позволяет перенаправлять пользователей на подменный ресурс, а самим сайтам помогает не нарушать федеральный закон № 152.
Что это за закон такой и как его нарушают?
Это закон «О персональных данных». Если сайт собирает хотя бы минимальную информацию о пользователях, например ФИО и имейл, то он становится оператором персональных данных. По закону такой ресурс обязан соблюдать целый комплекс мер по защите этих данных, и установка SSL-сертификата — одна из них.
Ок, это один сертификат?
SSL-сертификатов несколько видов. Во-первых, они отличаются по количеству доменов и субдоменов, для которых они могут использоваться. Во-вторых, по тому, как именно сайт будет проверяться, — тут есть три варианта:
- Первый — DV (domain validation) SSL — подтверждает домен, а также шифрует и защищает данные при передаче с помощью протокола https. Установить его себе на сайт могут как физические лица, так и организации. Выпускается он, как правило, почти мгновенно (точно не дольше 3 часов), после чего на сайте появляется значок замочка (см. пункт 2) и сайт становится защищенным.
- Второй — OV (organization validation) SSL — кроме защиты информации гарантируется принадлежность домена конкретной организации. Сертификат выдается только юридическим лицам с подтвержденным номером телефона (перед его выпуском в организацию звонят). На сайте с таким сертификатом пользователь может найти информацию об организации — владельце сайта, обычно просто щелкнув по иконке замка. Выпускается он в течение 3 дней.
- Третий — EV (extended validation) — то же, что и OV, только проверяется уже и налоговая, и коммерческая деятельность компании, причем более детально. На сайте рядом с URL появляется название компании. Выпускается в течение 5 дней.
Так, а где я могу получить SSL-сертификат?
В удостоверяющих центрах. Их около десятка на весь мир, но основную долю рынка занимают всего три. Распространением сертификатов занимаются также их партнеры. Один из крупнейших в России — компания Ru-Center, вместе с которой мы сделали эти карточки. Это официальный партнер нескольких удостоверяющих центров: Thawte, GeoTrust, Symantec, Comodo. Также компания предлагает SSL-сертификаты под собственным брендом.
Я слышал, что есть сертификаты, которые выдают просто так. Зачем тогда платить?
Во-первых, бесплатно поставляются только SSL-сертификаты типа DV (domain validation). Во-вторых, их перевыпуск зачастую платный. В-третьих, такой сертификат может не подойти для некоторых сайтов, например, для ресурсов в финансовой сфере. Однако они могут стать отличным решением в качестве тест-драйва с возможностью сэкономить на первый год.
Как понять, какой сертификат мне нужен?
Все зависит от количества доменов и степени необходимой проверки — от этого же зависит и цена сертификата (самый базовый обойдется в 3600 рублей в год). Выбрать нужный сертификат можно на сайте Ru-Center. Специально для читателей «Медузы» действует бессрочная скидка на все сертификаты 20% по промокоду MEDUZA. Бесплатные сертификаты Ru-Center тоже выдает, при покупке домена или хостинга (подробная информация о предложении здесь).
Установить SSL-сертификат, наверное, сложно?
Не очень, но если самим возиться с установкой времени нет, то лучше обратиться к профессионалам Ru-Center.