1. Що таке SSL-сертифікат SSL-сертифікат дозволяє формувати надійне з'єднання між користувачем і сервером....
2. Весь інтернет-маркетинг за 19 тижнів!
3. Для чого ще потрібен SSL-сертифікат
4. Види SSL-сертифікатів
5. Сертифікати по доменах
6. Купівля SSL-сертифіката
7. Як безпечно перейти на HTTPS
8. Перевірка SSL-сертифіката

Що таке SSL-сертифікат

SSL-сертифікат дозволяє формувати надійне з'єднання між користувачем і сервером. При з'єднанні з сайтом браузер визначає, чи відповідають дані відвідуваного сайту даним, зазначеним у сертифікаті. Якщо немає - з'явиться попередження.

Сертифікат також дозволяє передавати введену клієнтом інформацію (логін-пароль, платіжні дані) в зашифрованою формі по протоколу HTTPS. Сам сайт при цьому не захищається від вірусів або хакерських атак, але персональних даних користувачів безпеку гарантується.

Важливо: сьогодні використовуються в основному TLS-сертифікати - це той же SSL, тільки більш пізня версія. Однак назва SSL вживається частіше.

Навіщо сайту протокол HTTPS

В першу чергу, до сайту, захищеному HTTPS-протоколом, більше довіри - до мінімуму знижений ризик його підміни шахраями і крадіжка введених даних. Фактором ризику в цьому випадку можуть бути лише віруси на пристрої користувача або ж несумлінність власника сайту, який може сам присвоїти дані клієнтів.

Весь інтернет-маркетинг за 19 тижнів!

Cossa рекомендує: онлайн-курс по інтернет-маркетингу від Ingate - digital-агентства з 17-річним досвідом.

• 17 навчальних блоків з ключових питань інтернет-маркетингу
• підтримка менторів
• диплом
• Стажування в топових агентствах Росії
• Допомога в працевлаштуванні

Реклама

Безпека сайту підтверджує браузер

Хоча основною цільовою аудиторією такого протоколу є збирають платіжні реквізити інтернет-магазини, сьогодні він необхідний і всім іншим: ви просто будете втрачати відвідувачів, які віддадуть перевагу безпечний сайт вашому.

Для чого ще потрібен SSL-сертифікат

1. Краще ранжування в пошукових системах. Хоча ні Яндекс, ні Google не називають протокол прямим фактором ранжирування, але всіляко його рекомендують. До того ж, його наявність побічно впливає на поведінкові фактори, а значить - і на позиції сайту в пошукових системах.
2. Онлайн-оплата. При спробі підключити оплату через Яндекс.Деньги, сервіс запитує сертифікат, без якого операції не проводяться. Згідно тенденціям, скоро ці вимоги стануть вельми масштабними і будуть прописані в умовах практично всіх платіжних систем.
3. Захист при вході в адмін-панель. Дані про сайт не зможуть вкрасти при вході в адмінку через громадську Wi-Fi мережу.
4. Відсутність зайвої реклами. У сайт на HTTP (особливо це стосується перегляду з мобільних) неважко вбудувати рекламу без відома власника. Захищений протокол виключає цю можливість.

Що про це думають Google, Mozilla і Яндекс

Офіційна позиція Google: вага сайтів з SSL-сертифікатами не збільшується. Однак з липня 2018 року в версії Chrome 68 все HTTP-сайти позначаються як небезпечні.

Не варто забувати, що браузером від Google користується більше половини користувачів рунету. А якщо ви даєте рекламу в Google AdWords, то через відсутність сертифікату її покази можуть бути обмежені.

Другий за популярністю браузер - Mozilla Firefox - також позначає сайти на HTTP як ненадійні. Разом з Chrome це означає, що вже більше 70% всіх користувачів отримають привід не довіряти такому сайту.

Яндекс не висловлюється категорично за шифрування з'єднання, однак, як і Google, вже давно перевів всі свої продукти на захищений протокол. Частка захищених сайтів в топі Яндекса поки людина не перемагає (близько 50% проти 70% в Google), але помітна тенденція на зростання. Такими темпами скоро в топ пошукових систем без HTTPS буде вже не потрапити.

Види SSL-сертифікатів

Розглянемо доступні в 2018 році SSL-сертифікати. Вони діляться на підвиди за методом перевірки і по сертифікується доменів.

Сертифікати по доменах

1. Unified Communications / SAN. Такий сертифікат дозволяє захистити різні домени, що належать одній компанії.
2. Wildcard SSL. Цей сертифікат дійсний як для основного домену, так і для другорядних піддоменів (sub1.aevrika.ru, sub2.aevrika.ru, sub3.aevrika.ru і подібних) і майданчиків на розподілених серверах.
3. Single Certificate. Такий тип сертифіката дійсний тільки для одного домену, вказаного при оформленні замовлення.

Сертифікати по способу перевірки

1. Domain Validation (DV) здійснює валідацію домену. Цей сертифікат з перевіркою домену стверджує обслуговуючий сервер. Простіше кажучи, він гарантує, що користувач буде здійснювати покупку саме на тому сайті, на який він і переходив. Однак для проведення комерційних операцій Domain Validation вважається надійним лише умовно, тому що не містить достовірних відомостей про власника сайту. Такий сертифікат не захищає від дій зловмисників і підходить тим майданчикам, на яких сувора гарантія безпеки не є ключовим фактором.
2. Organization Validation (OV) здійснює валідацію домену та організації. Такий сертифікат, крім доменного імені, засвідчує також і організацію, яка володіє зазначеним веб-сайтом. Справжність компанії проходить перевірку відразу за кількома показниками. При оформленні протоколу HTTPS юридична особа повинна надати провайдеру всі необхідні реєстраційні дані.
3. Extended Validation (EV) здійснює розширену валідацію домену та організації. Така серйозна перевірка забезпечує високий рівень довіри не тільки з боку користувачів, але і інших майданчиків. Extended Validation буде оптимальним вибором для сайтів, які потребують суворої конфіденційності - наприклад, мають справу з великими фінансовими транзакціями. При цьому розширена перевірка є не разовою, а періодичної: такий підхід дозволяє захистити користувачів від підміни даних навіть з боку недобросовісного власника сайту.

Платити чи не платити?

Отримання SSL-сертифіката безкоштовно

Найпопулярнішим безкоштовним сертифікатом на сьогоднішній день є Let's Encrypt. Отримати його можна:

• у свого хостинг-провайдера (найзручніший спосіб - налаштувати сертифікат можна буде прямо в адмін-панелі сайту);
• вручну на SSL For Free ;
• через відкритий протокол ACME (так можна буде автоматизувати процеси верифікації та перевипуску).

Сьогодні в Let's Encrypt доступний базовий Domain Validation, а також Wildcard, тому захистити можна буде все піддомени сайту.

Ми рекомендуємо отримувати безкоштовний SSL-сертифікат тільки для тих сайтів, де немає онлайн-оплати.

Купівля SSL-сертифіката

Звичайно, платні сертифікати набагато надійніше своїх безкоштовних аналогів і є необхідними в першу чергу інтернет-магазинах і будь-яким сервісів з онлайн-оплатою.

Який вибрати?

• Платний Domain Validation забезпечує базовий захист і відрізняється від безкоштовного тим, що в такому випадку компанія-емітент зазвичай дає фінансові гарантії безпеки.

  Важливо: якщо у вас стоїть стороння платіжна система (Робокасса, Яндекс.Деньги або інша), то у неї є свій EV для платіжних операцій, тому більшості інтернет-магазинів буде цілком достатньо базового DV.

• Великої компанії краще подбати про більш високий ступінь захисту і придбати Organization Validation. Для отримання такої валідації юридичній особі потрібно відправити в обраний сервіс завірені документи на компанію.
• Extended Validation найчастіше замовляють тільки дуже серйозні компанії (банки, страхові організації, платіжні системи). Пояснюється це тим, що для отримання сертифіката потрібен великий пакет документів, а вартість в кілька разів перевищує ціну Organization Validation. Є тут і іміджевий момент: з EV-сертифікатом в браузері буде відображатися назва компанії.

  

Купити SSL-сертифікат можна в авторизованому сервісі сертифікації. Важливо, щоб він був не тільки відомим і надійним, але і російськомовним - це, зокрема, прискорить спілкування зі службою підтримки. З популярних: comodo.com (Є російськомовна версія сайту) і firstssl.ru (Російський реселлер сертифікатів від зарубіжних постачальників - Thawte, Symantec, Comodo і інші).

Важливо: для кириличних сайтів (в домені .рф) у сертифіката повинна бути опція IDN (Internationalized Domain Names).

Як безпечно перейти на HTTPS

Для коректного переходу на HTTPS потрібно:

• замовити обраний тип SSL-сертифіката у хостинг-провайдера або компанії-емітента;
• встановити сертифікат на сервер;
• налаштувати адмінку для початку роботи з HTTPS;
• замінити адреси на безпечні HTTPS в технічних файлах типу robots.txt і sitemap.xml, а також в 301-редирект;
• замінити адреси на всіх сторінках, на яких використовуються скрипти, мультимедійні матеріали, лічильники і консультанти (в іншому випадку навіть при наявності сертифіката такі сторінки будуть вважатися небезпечними);
• після перенесення подати заявку в Яндекс.Вебмастере, щоб почався процес переиндексации і було перевизначити головне дзеркало сайту;
• ще раз перевірити, що на сайті не залишилося внутрішніх абсолютних посилань на HTTP (виправити, якщо такі посилання знайдені).

Найкраще довірити покупку і установку SSL-сертифіката вашому SEO-підряднику. Тимчасової втрати позицій в пошуковій видачі, швидше за все, не уникнути, але правильна схема дій дозволить звести їх до мінімуму і швидше відновити.

Приклад проекту, який ми переносили на HTTPS: після завершення робіт з перенесення (відзначено червоною рискою) позиції просіли на півтора місяці, потім почався активний ріст

Однак все одно потрібно бути готовим до того, що на період близько місяця або трохи більше трафік з пошуку може різко впасти, тому рекомендується планувати перехід на час низького сезону у вашому бізнесі.

Перевірка SSL-сертифіката

Переконатися, що установка SSL-сертифіката пройшла коректно, можна тут .

Якщо ви бачите помилки (червоні зони), зверніться до SEO-фахівця для їх усунення.

Не забувайте, що отримати безкоштовно або купити SSL-сертифікат можна на певний термін (зазвичай це рік або два), після чого його необхідно продовжувати. Якщо вчасно цього не зробити, сайт буде недоступний.

Думка редакції може не збігатися з думкою автора. Ваші статті надсилайте нам на [email protected] . А наші вимоги до них - ось тут .