Нужен ли SSL-сертификат и как его получить

Статью подготовила Виктория Федосеенко, редактор ISPsystem.

С 2014 года Google убеждает владельцев сайтов подключать защищенное соединение, устанавливая SSL/TLS-сертификат. Но не все с этим согласны. Разберем все «за» и «против» и расскажем, как его получить.

Google настаивает на HTTPS

HTTPS был внесен в стандарты интернета в 2000 году. Но пик интереса к теме пришелся на конец 2013 – начало 2014 годов. Тогда появились новости о намерении Google учитывать HTTPS в поисковой выдаче. В августе 2014-го компания подтвердила слухи, опубликовав статью в блоге вебмастеров. В ней был четкий посыл: HTTPS – фактор ранжирования, потому что обеспечивает безопасность передачи данных.

Для сообщества вебмастеров и владельцев сайтов новость от Google должна была стать сигналом: хочешь быть в топе выдачи – подключай защищенное соединение. Но были оговорки: пока фактор учитывается в менее чем 1 % всех запросов и даже там имеет меньший вес, чем, например, уникальность контента. Хотя и было сказано, что со временем фактору могут придать большее значение, массового перехода на HTTPS не случилось.

Позже компания стала действовать через Google Chrome.

• С января 2017 года браузер начал помечать HTTP-страницы, которые собирают пароли и данные кредитных карт, как небезопасные.
• В октябре 2017 года вышел Chrome 62, который считает небезопасными HTTP-страницы, собирающие любые данные – адреса почты, логины и др. А в режиме «Инкогнито» – вообще все сайты без SSL.
• В июле 2018 года выйдет Chrome 68, который будет отмечать все HTTP-сайты как ненадежные. Исследования показали, что люди не замечают, что знака нет или вовсе «слепнут» к подобным предупреждениям. С июля маркировка будет выглядеть следующим образом:

В целом движение за переход на HTTPS исходит от CA/Browser Forum, куда входят центры сертификации, производители браузеров и других приложений, работающих с SSL/TLS.

Формальность или необходимость

По состоянию на март 2019, Google Chrome используют 48.2 % пользователей рунета, поэтому веб-мастерам приходится считаться с мнением Google. При этом многие из них не согласны с IT-гигантом.

Основные аргументы «против»:

1. не все страницы в интернете содержат или собирают чувствительные данные, перехват которых может быть болезнен для посетителей;
2. влияние HTTPS на ранжирование страниц в поиске, судя по всему, несущественно;
3. подключение HTTPS требует покупки SSL/TLS-сертификата, что некоторых людей наводит на мысли об очередном вымогательстве денег.

Поэтому многие веб-мастеры просто игнорируют рекомендации компании.

Аргументы от Google

Считать HTTPS необходимым только для сайтов, которые обрабатывают конфиденциальные данные – заблуждение. Так думают в Google. Вот главные аргументы.

Безопасность

Опасен перехват любых данных. Каждый незащищенный HTTP-запрос может раскрывать информацию об интересах и поведении пользователей. Агрегируя действия на разных сайтах, злоумышленники делают выводы об их поведении и намерениях, а также раскрывают личности.

Еще один момент. Внедрившись в соединение между сайтом и пользователем, злоумышленник может не только украсть, но и подменить информацию. Это как если бы почтальон открывал письма и переписывал их. Хакеры добавляют на HTTP-страницы вирусы, рекламу порно-сайтов или нелегальных товаров. Пользователь думает, что это и есть ваш сайт. HTTPS защищает от подобных историй.

Следование трендам

Протокол нужен для «прогрессивных веб-приложений» – сайтов, которые на десктопе работают как стандартные веб-страницы, а на мобильном или планшете – как приложения. Они надежны, быстро загружаются, работают офлайн.

Поэтому в Google уверены, что HTTPS – будущее интернета. С 2015 года его можно обеспечить бесплатно с помощью Let's Encrypt – центра сертификации, спонсируемого Google и другими компаниями.

Выводы

SSL нужен, если вы:

• собираете конфиденциальные данные пользователей (пароли, данные банковских карт);
• хотите снять часть возражений покупателей перед покупкой;
• не хотите, чтобы незащищенностью вашего сайта воспользовались мошенники;
• работаете над SEO и для вас важны все, даже минимальные факторы повышения в выдаче.

Как выбрать SSL-сертификат

Существует несколько видов SSL-сертификатов. Подробнее о них уже писали, поэтому пройдемся тезисно. Выбор зависит от того, владеет сайтом физ- или юрлицо, а также от количества сайтов и поддоменов.

Владелец сайта

От владельца зависит уровень проверки, который необходимо пройти сайту для получения SSL-сертификата.

Физическое лицо

Если ресурсом владеет физическое лицо, то на него можно установить только сертификат вида Domain Validation (DV). Этот сертификат подтверждает право владения доменом и больше ничего. Для проверки нужна почта на домене сайта. Бесплатные DV-сертификаты выдает доверенный центр Let’s Encrypt.

Организация

Если сайтом владеет компания, может быть несколько вариантов:

• Сайт-визитка компании или организации. На сайте не собирают никакие платежные данные. Существует только для информирования. В таком случае подойдет сертификат с уровнем проверки Domain Validation. Он шифрует данные, избавляет от заглушки с надписью «небезопасно» в браузере, и – все.
• Сайты банков, платежных систем, сетевых гипермаркетов или СМИ. На сайте собирают деньги или данные, которые дают доступ к деньгам. Чтобы получить доступ к деньгам, мошенники могут его скопировать. Поэтому нужен сертификат с проверкой организации – Extended Validation (EV). Его может получить только реальная организация-владелец сайта, ее название и вид деятельности будет указан в сертификате. В строке браузера появится зеленая полоска с названием компании.
• Небольшой интернет-магазин, сайт благотворительного фонда, форум. Сайт неинтересен мошенникам, но клиенты могут пожелать удостовериться в существовании организации. Здесь нужен сертификат с проверкой организации – Organization Validation (OV). Название организации будет отражено в сертификате, в строке браузера появится зеленый замочек.

Наличие SSL-сертификатов показывает не только Google Chrome. Его отображают также «Яндекс.Браузер», Microsoft Edge, Firefox, Safari, Opera.

Число сайтов и поддоменов

• Один сайт и несколько поддоменов (Wildcard, WC) – *bestsite.ru, *forum. bestsite.ru, *blog.bestsite.ru и др.
• Несколько сайтов (Multi Domain, MD) – *bestsite.ru, *bestsite.com, *perfectsite.ru. Если сайтов два или три, бывает выгоднее купить несколько SSL с поддержкой одного домена: сложнее устанавливать и продлевать, зато в несколько раз дешевле.

Цена SSL зависит от его типа. Самые дешевые сертификаты (от 1 тыс. рублей) – DV с поддержкой одного домена. Самые дорогие (от 22 тыс. рублей) – мультидоменные с расширенной проверкой организации.

Как выбрать удостоверяющий центр

Вы прошлись по пунктам выше и получилось, что вам нужен мультидоменный SSL-сертификат с уровнем проверки OV. Осталось выбрать, где его купить. SSL выдают удостоверяющие центры (УЦ). Они подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи.

Список всех доверенных удостоверяющих центров опубликован на сайте CA/Browser Forum. Топ-10 центров выдачи SSL можно посмотреть на сайте w3tech.com. С точки зрения пользователя существенное различие между удостоверяющими центрами только одно – цена на SSL-сертификаты. Исходя из своего опыта можем сделать несколько замечаний, но они не подтверждены никакими исследованиями. Предупреждаем, это только наши мысли.

Цена не показатель

С SSL-сертификатами не так, как с хлебом или машиной: дороже не значит качественней. Все доверенные удостоверяющие центры выпускают SSL-сертификаты по установленным стандартам, поэтому смысла доплачивать за бренд нет. Большая разница в цене объясняется скорее маркетинговой политикой удостоверяющих центров: кто-то нацелен на корпоративных клиентов, кому-то интересны только западные рынки, а кто-то хочет продавать как можно больше и поэтому снижает цену до минимума. Поэтому выбирать по цене – разумно. Также разумно использовать для сравнения цен сайты посредников (вроде «ЛидерТелекома», FirstSSL или ISPsystem): нередко SSL-сертификаты там дешевле, чем у прямых продавцов.

Бренд не гарантирует надежность

Удостоверяющий центр может утратить доверие или просто развалиться. Так уже случалось. При этом именитое название ничего не гарантирует. Недавно доверие утратило подразделение Symantec, занимающееся выдачей SSL-сертификатов. При этом компания Symantec – один из лидеров в области производства ПО – продолжила существовать. Покупатели сертификатов от Symantec не потеряли деньги: с декабря 2017 года SSL группы Symantec выпускает DigiCert. Их по-прежнему можно покупать и устанавливать.

Замечание про Comodo

Еще одно замечание из нашего опыта. Сегодня Comodo является самым популярным удостоверяющим центром в мире. Этот УЦ выдает сертификаты быстро, здесь одни из самых дешевых сертификатов и быстрая выдача. При этом сертификаты с проверкой организации или расширенной проверкой выдаются только после покупки DUNS-номера. Из-за этого сертификат обходится в несколько раз дороже. У других УЦ подобного требования нет.

Возможно есть и другие особенности, которые нам неизвестны. Если есть что сказать о различиях удостоверяющих центров – пишите в комментариях, обсудим.

Как получить SSL-сертификат

Процесс получения зависит от места покупки. Универсальная история выглядит примерно так:

1. Выбрать SSL на сайте посредника или в УЦ.
2. Ввести необходимые данные. Обязательно: домен и адрес почты, телефон контактного лица. Для получения DV-сертификатов этого достаточно. Для OV или EV понадобятся сведения и документы, подтверждающие юридическое существование организации и соответствие деятельности заявленной (ИНН, выписка из ЕГРЮЛ, упоминание в общедоступных справочниках вроде nalog.ru.
3. Получить на почту письмо активации, проследовать по ссылке.
4. Пройти проверку (от 20 минут до нескольких суток или даже недель, в зависимости от типа SSL). В это время УЦ может запросить дополнительные документы.
5. Получить на почту файлы сертификата. Установить.

Как установить SSL

SSL-сертификат устанавливается в файлах конфигурации веб-сервера (Apache или Nginx). Инструкции по установке высылает центр сертификации. Процесс упрощается, если вы используете панель управления веб-сервером – ISPmanager, CPanel, Plesk и другие. Инструкции по установке найдете в документации разработчиков панелей.

После настройки SSL-сертификата необходимо разобраться с поисковиками. Сначала добавьте доступный по новому протоколу сайт в список своих сайтов в «Яндекс.Вебмастере» и настройте зеркало сайта, следуя рекомендациям «Яндекса». После добавьте новый адрес в Google Search Console, согласно рекомендациям Google. Настройте редирект с HTTP на HTTPS для домена в панели управления веб-сервером.