SiteSecure

Защита интернет-бизнеса от потерь и простоев

Нужен ли моему сайту SSL-сертификат?

Максим ЛагутинМаксим Лагутин,28 апреля 2015, 09:19

Вот уже несколько лет в России наблюдается рост активности по использованию SSL-сертификатов. А после официального заявления Google, что он будет отдавать преимущество в поисковом рейтинге сайтам с SSL-сертификатами, тем более. Поэтому пришло время задуматься: а нужен ли моему сайту SSL-сертификат?

Любое действие в интернете – это обмен данными. Каждый раз, когда вы отправляете электронное письмо, открываете страницу в социальной сети или осуществляете он-лайн платеж, ваш компьютер посылает запрос нужному серверу и получает ответ. «Транспортом» для передачи данных, с помощью которого браузер загружает на ваш компьютер или смартфон информацию, является известный многим протокол HTTP. Этот «транспорт» обладает определенным недостатком – информация абсолютно не защищена и не зашифрована. Поэтому, в момент перемещения, информация может быть перехвачена злоумышленником.

Желая обеспечить сохранность и конфиденциальность пользовательских данных, некоторые сервисы используют протокол для передачи данных HTTP с криптографическим SSL-соединением (HTTPS). Для этого необходимо предварительно установить цифровой SSL-сертификат.

метод перехвата - человек посередине

Что такое SSL-сертификат

Цифровой SSL-сертификат (Secure Socket Layer) – это файл, своего рода электронный паспорт, который позволяет серверу и клиенту проверять подлинность друг друга, а затем устанавливать соединение и передавать информацию в зашифрованном виде. Все сертификаты имеют ограничение по сроку действия и их нужно периодически обновлять.

Этот вид протокола был разработан в 1996 году компанией Netscape и вскоре стал наиболее популярным методом обеспечения защищенного обмена данными через Интернет. Во время SSL-соединения обмен данными защищен благодаря двум составляющим:

  • Аутентификация
    Центр сертификации проводит проверку подлинности организации, затем создает и подписывает цифровой сертификат для этой организации.
  • Шифрование
    Информация преобразовывается в нечитаемый для всех вид, кроме конкретного получателя. Получатель расшифровывает информацию при помощи индивидуального электронного ключа, который известен только владельцу сертификата. Это в некоторой степени гарантирует достоверность и конфиденциальность информации, что очень важно для электронной коммерции.

Существует три вида SSL-сертификатов, которые отличаются степенью проверки и стоимостью:

  1. Сертификаты, которые подтверждают только доменное имя (Domain Validation — DV)
  2. Сертификаты, которые подтверждают домен и организацию (Organization Validation — OV)
  3. Сертификаты, с расширенной проверкой (Extendet Validation — EV)

Последний SSL-сертификат пользуется наибольшим доверием. При входе на сайт, где установлен такой сертификат, в адресной строке браузера посетителя появится зеленая строка, в которой будет указано название организации, получившей сертификат:

пример отображения SSL сертификата

Важно учитывать, что наличие иконки замка в браузере перестал быть 100% гарантией безопасности сервера

Кто использует SSL-сертификаты

Всем организациям, которые работают с персональными данными, а также компаниям, которые принимают платежи через интернет, важно шифровать и защищать данные. Поэтому к использованию SSL-сертификатов прибегают:

  1. Интернет-магазины
  2. Сервисы с регистрацией пользователей
  3. Банковские и платежные системы
  4. Налоговые службы
  5. Почтовые серверы
  6. Компании-разработчики программных продуктов

От чего защищает SSL-сертификат

Многие из нас, сидя в кафе или на улице, безмятежно посещают интернет-страницы, используя публичные точки доступа Wi-Fi. А желая что-то подправить на своем сайте, заходим на него через FTP-соединение. И в том, и в другом случае соединение не является безопасным и риск перехвата наших данных и паролей очень велик.

Заинтересованные в этом хакеры или блуждающие по сети вирусы могут взломать сайт и поместить на нем вирусный код. Обнаруживая вирусы и шеллы, поисковики блокируют сайт и размещают его в черном списке. Это оборачивается большими усилиями на «лечение» сайта, потерей времени, денег и репутации сайта. Согласно нашему исследованию, которое проводилось в 2014 году, после взлома сайта в 10% случаев приходится полностью переделывать сайт.

Более того, если данные клиентов будут перехвачены, для владельца сайта могут наступить неприятные последствия – от потери клиентов и их жалоб, до штрафов и наказания за несоблюдение закона о защите персональных данных (Федеральный закон № 152-Ф3, статья 24).

Также, очень важно защищать соединение, если на сайте есть разделы с ограниченным доступом, например CRM система, бэкофис фирмы, админка интернет-магазина с заказами.

Поэтому SSL-сертификат – это необходимая мера для защиты сайта.

Как понять, нужен ли SSL-сертификат моему сайту

Чтобы ответить на этот вопрос, необходимо проанализировать следующее:

  1. Выполняет ли мой сайт какие-либо бизнес-функции: регистрация клиентов, прием платежей и заказов?
  2. Является ли он средством коммуникации между сотрудниками, есть ли бэкофис?
  3. Стремлюсь ли я продвигать сайт в поисковых системах, регулярно поддерживая и обновляя его?

Если на какой-то из этих вопросов вы ответили «Да», то вам однозначно необходим SSL-сертификат.

Почему в третьем случае необходим SSL-сертификат? При установке и правильной настройке сертификата, доступ к вашему сайту будет проходить по защищенному протоколу HTTPS. А подобное соединение повышает рейтинг сайта в Google, согласно официальному заявлению компании Google в августе 2014 года.

Как приобрести и установить SSL-сертификат

SSL-сертификат можно приобрести в Центрах сертификации (их предлагают на разный срок: от года до нескольких лет). Видов сертификатов много и все они сильно отличаются в стоимости. Опытному веб-мастеру требуется не так много времени для правильной установки сертификата на сайт, но сама по себе установка сертификата автоматически не гарантирует полной безопасности сайта. Нужно не только убедиться в том, что сертификат установлен без ошибок и правильно используется, но и в том, что сайт не имеет других брешей или проблем, которые сведут эффект от SSL-сертификата к нулю. Поэтому надежнее обратиться к специалисту по безопасности сайтов, который установит сертификат, предварительно проверив сайт на отсутствие заражений и проблем.

Если вы вкладываете средства в развитие и продвижение своего сайта, а особенно если привлекаете через него клиентов и обрабатываете их регистрационные данные, то на сайт очень важно установить SSL-сертификат.

Но по данным исследования SiteSecure на многих сайтах сертификат установлен с ошибками или используется неправильно. 

На каждом хорошо оптимизированном безопасном сайте, о котором заботится его владелец, должен быть SSL-сертификат для защиты сайта и шифрования ценных данных.


Подключите бесплатно свой сайт к мониторингу доступности и безопасности, чтобы повысить его защиту и первым узнавать об угрозах безопасности.

Подключить сайт