сертифікат безпеки: для чого це потрібно?

SSL (Secure Socket Layer) — протокол шифрування даних, якими обмінюються клієнт і сервер, — став найбільш поширеним методом захисту в Інтернеті. Колись він був розроблений компанією Netscape. Безпечний обмін забезпечується за рахунок шифрування і аутентифікації цифрового сертифіката. Цифровий сертифікат — файл, який унікальним чином ідентифікує сервери. Зазвичай цифровий сертифікат підписується і завіряється спеціалізованими центрами. Їх називають центрами сертифікації або засвідчувальними центрами.



Що таке SSL-сертифікат?
Багато хто напевно чули про SSL-сертифікати, але не всі чітко уявляють, що це таке і для чого вони потрібні. По суті, SSL-сертифікат — цифровий підпис вашого сайту, що підтверджує його автентичність. Використання сертифіката дозволяє захистити як власника сайту, так і його клієнтів. SSL-сертифікат дає можливість власнику застосувати до свого сайту технологію SSL-шифрування.

Таким чином, призначення сертифіката SSL — забезпечити безпечне з'єднання між сервером і браузером користувача, надійно захистити дані від перехоплення і підміни. Сертифікат використовується для шифрування даних та ідентифікації сайту за встановлення захищеного з'єднання HTTPS.

Інформація передається в зашифрованому вигляді, і розшифрувати її можна тільки за допомогою спеціального ключа, який є частиною сертифіката. Тим самим гарантується збереження даних, дотримання закону про персональних даних. Відвідувачі сайту вправі очікувати, що захист їх інформації, якщо вона важлива, буде забезпечена за допомогою SSL-сертифіката. Вони можуть покинути ваш сайт, якщо бачать, що він не захищений. Якщо сайт має SSL-сертифікат, то в рядку стану браузера відображається значок у вигляді замку.


Як працює HTTPS (схема дії SSL):

— Користувач заходить на захищений сайт;
— Виконується перевірка DNS і визначення IP-адреси хоста веб-сайту;
— Запис веб-сайту знайдена, перехід на веб-сервер хоста;
— Запит захищеного SSL-з'єднання з хоста веб-сайту;
— Хост відповідає валідним SSL сертифікатом;
— Встановлюється захищене з'єднання, передані дані зашифровані.


Захист для бізнесу і клієнтів
Яким сайтам потрібна захист SSL? Так практично всім. Особливо тим, які найбільшою мірою схильні до атак: ресурсів фінансових установ, великих брендів, сайтів, що працюють з персональними даними та платіжною інформацією.

SSL-сертифікати використовують не тільки банки і фінансові організації, платіжні системи і такі державні портали, як сайт Федеральної податкової служби (ФПС) і gosuslugi.ru, але також інтернет-магазини і навіть приватні особи та індивідуальні підприємці.

Яку вигоду дає використання SSL-сертифіката бізнесу? Оскільки при використанні сертифікатів та протоколу SSL прийняті і надіслані при відвідуванні сайтів дані шифруються, застосовується процедура аутентифікації, це дає користувачам впевненість в тому, що запроваджувані ними персональні дані, такі як номери телефонів та банківських карток, не потраплять не в ті руки. Завдяки своїй унікальності SSL-сертифікати також значно ускладнюють використання кібершахраями фішингових схем.

Власник сайту може не турбуватися про те, що дані клієнтів витечуть на бік в результаті перехоплення або атаки типу «людина посередині», і репутація бізнесу і навіть подальше існування компанії опиниться під загрозою.


1. Стандартний HTTP замінюється на HTTPS. Це говорить про те, що в з'єднанні між сервером і браузером використовується SSL.
2. Адресна рядок стає зеленою, показуючи, що на веб-сайті використовується Extended Validation SSL.
3. Жовтий замок з закритою дужкою означає, що з'єднання між сервером і браузером захищено. Якщо замок відкритий або відсутній, то з'єднання не використовує SSL.
4. У разі використання сертифіката Extended Validation SSL, в адресному рядку показується назва компанії.


SSL-сертифікат гарантує захист всієї інформації, якою сайт обмінюється з браузером користувача. І тим самим захищає ваш бізнес. Це особливо важливо при фінансових операціях, онлайнових транзакцій. Непрямі вигоди — зростання довіри до вашого бізнесу, збільшення продажів, захист ділової інформації.

У кінцевому рахунку SSL-сертифікат допомагає завоювати довіру клієнтів. Якщо вони знають, що їх інформація захищена, то з більшою ймовірністю захочуть мати справу з вашою компанією.


За даними дослідження, проведеного компанією GlobalSign, 84% користувачів не стали б робити покупки на сайті без захищеного з'єднання. 48% перевіряють перед введенням персональних даних, наскільки безпечний сайт.

Значок замка і букви HTTPS URL вашого сайту говорять про його безпеку. А зелена адресна рядок сайту з сертифікатом Extended Validation SSL — ще більш вірне свідчення надійності ресурсу. Відвідувачі будуть знати, що зайшли саме на той сайт, і вводиться ними інформація залишиться приватної.

Крім того, сайти, підтверджені сертифікатами, займають більш високі позиції в результатах видачі пошукових систем по порівнянні з конкурентами без SSL. У 2014 році компанія Google оголосила про те, що буде враховувати використання HTTPS (буква S як раз і означає застосування SSL-сертифіката) при ранжируванні сайтів. Тобто, якщо у сайту немає SSL-сертифіката, він не займе високі позиції в результатах пошукової видачі і не зможе залучити великого числа відвідувачів.

Де купити SSL-сертифікат?
Купують сертифікати зазвичай не безпосередньо у засвідчувального центру, а через партнерів. У Росії продажем сертифікатів відомих засвідчують центрів (УЦ), таких як Comodo, Geotrust, GoDaddy, GlobalSign, Symantec та інших, займається безліч компаній. Кореневі SSL-сертифікати цих УЦ встановлені в якості довірених у всіх популярних браузерах. Є й унікальні пропозиції. REG.RU, як партнер GlobalSign, що реалізує з цією компанією спільну програму з розвитку SSL, може запропонувати сертифікати цього головного УЦ — від базового до розширеного рівня.

Як правило, партнери мають договори з різними засвідчувальними центрами, що дозволяє підібрати оптимальний за ціною (в рублях) і характеристиками сертифікат, отримати знижки та допомога досвідчених фахівців при виборі сертифіката та встановлення його на сервер. Для ряду клієнтів важливий бренд, назва компанії у сертифікаті.


Щоб побачити детальну інформацію про SSL-сертифікат, користувачеві досить клацнути мишею на значку замку і вибрати в меню «Перегляд сертифіката». Браузери можуть відрізнятися, але сертифікат завжди містить одну і ту ж інформацію.

Не всі SSL-сертифікати платні. Наприклад, при реєстрації домену або купівлі хостингу, клієнти REG.RU можуть отримати SSL-сертифікат безкоштовно. Також приємний бонус доступний при підключенні до «Яндекс.Касі». Варто відзначити, що безкоштовний сертифікат видається на один рік.


За даними Netkraft, в 2015 році близько третини SSL-сертифікатів у світі було видано компанією Symantec, випередила GoDaddy на 10%. На першу трійку засвідчують центрів (CA) припадає понад 3/4 використовуваних в Інтернеті SSL–сертифікатів.

За нашими підрахунками, тільки з доменами другого рівня, в 2015 році в доменній зоні .RU використовувалося близько 144 тис. SSL-сертифікатів. Лише 30% з них валідними, тобто перевірені УЦ. Всі інші не гарантують захист від перехоплення даних. Обсяг продажів SSL-сертифікатів в Росії сягає близько 6,2 млрд руб. на рік. Згідно інформації Mozilla, за даними на грудень 2015 року, у світі на 40% сайтів і при 65% транзакцій використовувався HTTPS.


Видає SSL-сертифікат, що засвідчує центр — незалежна сторона, що перевіряє достовірність зазначених у сертифікаті відомості: дійсно доменне ім'я належить компанії або фізичній особі, на які вона зареєстрована; справжність сайту, для якого був випущений SSL-сертифікат і ін.

Рівні перевірки сертифікатів SSL
Існують сертифікати різних рівнів перевірки. Для захисту персональних даних користувачів підійде сертифікат із спрощеної перевіркою — DV (Domain validation). Сертифікат з перевіркою доменів — найнижчий і недорогий рівень. Він доступний фізичним та юридичним особам, видається власнику або адміністратору доменного імені і просто підтверджує це доменне ім'я.

Наступний рівень — сертифікат OV (Organization validation) для організацій, що застосовують для перевірки зв'язку між доменним ім'ям, власником домену і використовує сертифікат компанією. Тобто такий сертифікат засвідчує не тільки доменне ім'я, але й те, що сайт належить дійсно існуючої організації.

Для більш якісної перевірки компанії та її повноважень на придбання сертифікатів використовуються так звані сертифікати з розширеною перевіркою — EV (Extended validation). Це найпрестижніший вид сертифікатів. Такі сертифікати викликають найбільше довіри. Наприклад, DigiCert, один з провідних центрів, що засвідчують, продає сертифікати OV і EV. Партнери GlobalSign пропонують SSL-сертифікати різного рівня, включаючи найвищий.


Після установки сертифіката розширеної перевірки адресна рядок у браузері стає зеленою — це візуальний індикатор надійності сайту. У такому сертифікаті зазначено назву організації і назву засвідчувального центру, що випустив сертифікат.

Зелена адресна рядок — індикатор законності вашого бізнесу. Сертифікат з розширеною перевіркою не тільки забезпечує захист від шахрайських сайтів. Якщо сертифікати перевірки доменів передбачають тільки шифрування з'єднання, то сертифікати вищої категорії ще і дають вашим клієнтам впевненість у законності вашої підприємницької діяльності. При випуску EV-сертифіката проводиться дуже ретельна перевірка організації, включаючи перевірку її діяльності, відповідності офіційними документами, а так само прав на використання доменного імені. Тому підприємства, які застосовують сертифікати з розширеною перевіркою, користуються великим успіхом на ринку. Як уже зазначалося, щоб з'ясувати, який сертифікат ви використовуєте, клієнту достатньо клацнути мишею на значку замку в рядку браузера.

схема показує частки сертифікатів DV, OV і EV в основних засвідчувальних центрів. Сертифікати DV становлять близько 70% від сертифікатів всіх типів, на EV припадає менше 5%.

Бувають сертифікати для одного, декількох доменів (SAN) і сертифікати для всіх прямих піддоменів обраного домену (Wildcard).

SSL-сертифікати в Росії
За даними аналітичного сервісу StatOnline.ru з 3 286 782 сайтів в зоні .UA (на кінець лютого) лише близько 60 тис. (або приблизно 1,8%) ресурсів є SSL-сертифікати, перевірені засвідчувальними центрами. Інші використовують самоподписные, невалідні сертифікати, або взагалі відмовляються від такого виду захисту.

REG.RU і один з найстаріших міжнародних центрів, що засвідчують GlobalSign запустили програму популяризації захищеної передачі даних в Інтернеті. Вона розрахована як на власників інтернет-ресурсів, так і на рядових користувачів з Росії та СНД.

Разом з GlobalSign ми маємо намір сформувати культуру захищеної передачі інформації. Ключовий елемент програми — підвищення доступності технологій SSL і надання власникам сайтів актуальних інструментів захисту.

На SSL-сертифікати звернули увагу і в керівництві країни. інформації ЗМІ, в Росії може бути створений власний державний засвідчувальний центр для їх видачі. Як повідомляється, така робота вже йде. Але для цього доведеться зобов'язати виробників браузерів встановлювати в свої продукти спеціальний кореневий сертифікат.

Так у чому цінність HTTPS і SSL? Навіщо це потрібно, коли відвідувачам сайту не потрібно вводити конфіденційну інформацію або здійснювати платежі? Хоча б для того, щоб піднятися вище в результатах пошуку. Та й довіра користувачів — фактор, який не можна скидати з рахунків. Технічно доповнити сайт SSL нескладно, так і фінансово це необтяжливо. SSL-сертифікат — простий і економічний спосіб захистити ваш сайт і онлайн-транзакції, зробити його більш безпечним для користувачів. Сьогодні SSL став однією з найбільш важливих заходів забезпечення безпеки сайтів і визнаним у всьому світі галузевим стандартом.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.