SSL-сертификат: зачем нужен и где его взять
Пользователи неохотно оставляют данные банковских карт на вашем сайте? Не торопитесь перекрашивать кнопки — возможно, они вам просто не доверяют
SSL — это протокол, который создает безопасное соединение между пользователем и сервером, на котором находится сайт. Если не вдаваться в технические сложности, он особым образом шифрует информацию, которую вводит пользователь, например, номер банковской карты, личные данные и пароли. При использовании SSL данные пользователя передаются в закодированном виде по HTTPS. Их все еще можно перехватить (как и в случае со стандартным HTTP), но уже сложнее расшифровать.
Вот какую информацию получает пользователь, когда заходит на защищенный сайт. Да, у нас есть SSL-сертификат =)
Чтобы ваш сайт передавал данные по протоколу HTTPS, нужно получить SSL-сертификат.
Что дает SSL-сертификат владельцу сайта и пользователю
Устанавливая SSL-сертификат, владелец сайта получает только одну вещь — доверие пользователя. Сам сертификат не дает ему ничего, так как безопасность сайта для владельца не повышается — он не становится более защищенным от DDoS или хакерских атак. Правда, небольшой плюс есть — протокол HTTPS защитит вас, если вы будете заходить в админ-панель сайта в публичной Wi-Fi сети, например, в кафе.
А вот для пользователей SSL-протокол полезен. Вероятность того, что человек не потеряет данные на сайте, использующем безопасное соединение, намного выше. Конечно, есть риск, что сам владелец сайта неблагонадежен и ворует данные, либо что у пользователя на компьютере есть вирус, который может украсть персональную информацию. Но в целом риск потерять свой аккаунт или данные банковской карты все равно ниже.
Кроме того, SSL-сертификат — признак того, что сайт подлинный. Двойники и фишинговые сайты часто работают по протоколу HTTP.
А вот для пользователей SSL-протокол полезен. Вероятность того, что человек не потеряет данные на сайте, использующем безопасное соединение, намного выше. Конечно, есть риск, что сам владелец сайта неблагонадежен и ворует данные, либо что у пользователя на компьютере есть вирус, который может украсть персональную информацию. Но в целом риск потерять свой аккаунт или данные банковской карты все равно ниже.
Кроме того, SSL-сертификат — признак того, что сайт подлинный. Двойники и фишинговые сайты часто работают по протоколу HTTP.
Что будет, если не подключить SSL-сертификат
На самом деле, ничего страшного не случится. Протокол HTTPS появился еще в 2000 году, но популярен он стал только в 2013–2014. До этого сайты обходились без SSL. Самое неприятное — перестанут доверять технически подкованные пользователи. Если человек беспокоится за свою безопасность, то из двух интернет-магазинов при прочих равных он скорее предпочтет ресурс с SSL-сертификатом, так как вводить там свои персональные данные потенциально безопаснее.
У первого сайта сертификат есть, у второго — нет. Первый вызывает больше доверия.
Отношение Google к HTTPS
А августе 2014 года компания Гугл официально подтвердила — наличие SSL-сертификата стало фактором ранжирования. Но на деле этот фактор учитывался только в 1% запросов, да и там не играл ключевую роль — можно было делать качественный контент и все равно оставаться в топе даже с сайтом на HTTP. В ожидании того, что фактор станет более значимым, вебмастеры переводили сайты на HTTPS, но в апреле 2017 года Гугл объявил в Твиттере, что вес фактора увеличен не будет.
Это переписка в Твиттере сотрудников Гугл, в которой сказано, что от идеи увеличивать ранжирование защищенных сайтов в компании отказались
Однако отношение Гугл к HTTPS все равно осталось особым, так что они решили действовать через браузер Гугл Хром. С 62 версии браузер помечает маленьким восклицательным знаком все HTTP-сайты, собирающие любые данные, в том числе, логины и пароли. А в июле 2018 планируется обновление, после которого все HTTP-сайты будут отмечаться как ненадежные, и значок этот будет более заметен. А пока сайты на HTTPS выделяются в адресной строке зеленым цветом.
Сверху то, как выглядит пометка о ненадежности соединения сейчас, снизу — как будет в июле 2018
Игнорировать это не стоит — браузером Google Chrome пользуются 55% пользователей Рунета. Так что внимание к «ненадежным сайтам» без SSL-сертификата однозначно возрастет.
Кому обязательно нужен SSL-сертификат
SSL нужен в первую очередь интернет-магазинам, которые собирают данные банковских карт. Пригодится он и крупным компаниям, которые хотят выделяться среди конкурентов и произвести на пользователя хорошее впечатление. Хорошим тоном будет использование SSL-сертификата на сайте, где собираются логины и пароли —там, где есть аккаунты и авторизация пользователей.
У известных интернет-магазинов, вроде iHerb, есть SSL-сертификаты
Также сертификат все-таки рекомендуется, если вы хотите учитывать все факторы, влияющие на SEO-продвижение, даже самые минимальные.
Небольшие сайты-визитки, портфолио, небольшие информационные сайты, личные страницы — все они могут обойтись и без SSL-сертификата. Но если с них вы планируете получать обратную связь и заказы, то лучше всего получить сертификат, тем более, что сделать это можно бесплатно.
Небольшие сайты-визитки, портфолио, небольшие информационные сайты, личные страницы — все они могут обойтись и без SSL-сертификата. Но если с них вы планируете получать обратную связь и заказы, то лучше всего получить сертификат, тем более, что сделать это можно бесплатно.
Как получить SSL-сертификат
Бесплатно
Бесплатно выдаются только SSL сертификаты с проверкой домена. Все, что они делают — защищают соединение между пользователем и сервером. Это означает, что злоумышленники могут скопировать ваш сайт, оформить уже свой сертификат и выдавать себя за вас. Кроме того, иногда браузер не считает бесплатные сертификаты гарантом безопасного соединения и предупреждает об этом пользователя. Особенно это касается сайтов, которые продают товары и услуги, то есть собирают данные банковских карт.
Бесплатный сертификат можно получить у специальной организации, например, Let’s Encrypt. Некоторые хостинги сотрудничают с организациями, выдающими SSL-сертификаты, и позволяют оформить защищенное соединение для своего сайта прямо в админ-панели. Оформление занимает всего пять минут.
Бесплатного сертификата хватит небольшому сайту, который собирает только некоторые персональные данные, например, логины и пароли. Интернет-магазину лучше обратить внимание на платные сертификаты.
Платно
Если вы хотите получить доверие пользователей, необходимый минимум — доменный сертификат с проверкой организации. В этом случае вам потребуется отправить запрос, заполнить документы о вашей организации, а возможно даже отправить переведенные копии документов, заверенные нотариусом, в сервис сертификации. Купить такой сертификат можно в специальной организации, например, FirstSSL. Цена — от 4,5 тысяч рублей в год.
Бесплатно выдаются только SSL сертификаты с проверкой домена. Все, что они делают — защищают соединение между пользователем и сервером. Это означает, что злоумышленники могут скопировать ваш сайт, оформить уже свой сертификат и выдавать себя за вас. Кроме того, иногда браузер не считает бесплатные сертификаты гарантом безопасного соединения и предупреждает об этом пользователя. Особенно это касается сайтов, которые продают товары и услуги, то есть собирают данные банковских карт.
Бесплатный сертификат можно получить у специальной организации, например, Let’s Encrypt. Некоторые хостинги сотрудничают с организациями, выдающими SSL-сертификаты, и позволяют оформить защищенное соединение для своего сайта прямо в админ-панели. Оформление занимает всего пять минут.
Бесплатного сертификата хватит небольшому сайту, который собирает только некоторые персональные данные, например, логины и пароли. Интернет-магазину лучше обратить внимание на платные сертификаты.
Платно
Если вы хотите получить доверие пользователей, необходимый минимум — доменный сертификат с проверкой организации. В этом случае вам потребуется отправить запрос, заполнить документы о вашей организации, а возможно даже отправить переведенные копии документов, заверенные нотариусом, в сервис сертификации. Купить такой сертификат можно в специальной организации, например, FirstSSL. Цена — от 4,5 тысяч рублей в год.
У сертификатов с подтверждением организации в адресной строке появляется замочек
Есть еще один интересный вариант — платный сертификат без проверки организации. Его можно получить за 5 минут для любого сайта. Зачем платить? Компания предоставляет гарантию — если данные с сайта будут украдены, вы получите денежную компенсацию.
Для крупных компаний с сайтом из нескольких поддоменов подходит Wildcard-сертификат. С ним не нужно покупать сертификаты отдельно для каждого направления — это экономит время и деньги. Получить такой можно на сайте хостинга REG.
Самый крутой сертификат — с расширенной проверкой. Для этого выполняется полная проверка компании, заполняются специальные документы, сверяются все данные фирмы. Ставить такой сертификат нужно самым серьезным организациям, которые имеют дело с крупными суммами денег, например, банками. Стоят такие сертификаты от 10,5 тысяч рублей, в зависимости от объема страховки.
Самый крутой сертификат — с расширенной проверкой. Для этого выполняется полная проверка компании, заполняются специальные документы, сверяются все данные фирмы. Ставить такой сертификат нужно самым серьезным организациям, которые имеют дело с крупными суммами денег, например, банками. Стоят такие сертификаты от 10,5 тысяч рублей, в зависимости от объема страховки.
У сертификатов с полным подтверждением в адресной строке высвечивается название организации
А как у вас обстоят дела с SSL? Может, самое время задуматься о приобретении сертификата? Как вариант — хотя бы с подтверждением организации. Тогда и доверие пользователей возрастёт в разы, ведь им будет гораздо безопаснее вводить данные банковских карт на вашем сайте. Д — доверие, все дела:)