Полный гайд по https. Как выбрать SSL в 2023 году?

SSL сертификат – это цифровой шифр (код), который при установке на сайт образует протокол https. Это делает любое взаимодействие между сайтом и браузером пользователя защищенным. У сайта появляется безопасное соединение по протоколу https (вместо http) и иконка замочка в адресной строке.

Безусловно, SSL нужен любому сайту в интернете. Помимо безопасного обмена данных с сайтом, наличие протокола https и печати доверия у сайта показывает, что ресурс настоящий, а не фишинговый. Это также демонстрирует, что пользователь может вводить свои данные на сайте без страха их кражи злоумышленниками. Все известные человечеству браузеры в 2023 году поддерживают этот протокол с учетом, что SSL выпустил признанный издатель. Это значит, что сайт по устаревшему и небезопасному http протоколу будет ущемлен.

– Сайт помечается как небезопасный. Как минимум это иконка открытого замочка в адресной строке. В худшем случае – предупреждение, что переход на сайт не защищен и не рекомендован. Преодолевать такую ошибку умеют/хотят не все пользователи. Закрыть небезопасный сайт куда проще.

– В своей выдаче поисковики опустят незащищенный сайт ниже конкурентов с протоколом https. Такой алгоритм поисковых систем работает с 2017 года для сайтов без SSL.

– Безопасный протокол обеспечивает конфиденциальность и целостность передаваемых данных. Например, при вводе персональных данных пользователя на сайте, при авторизации и тем более оплате. Доступ к корпоративным данным, почтовым серверам также защищают установкой сертификата шифрования SSL, чтобы злоумышленники не перехватили передаваемую информацию.

– Если сайт взаимодействует с внешними сервисами, маркетплейсами, рекламными системами, то наличие протокола https может быть обязательным условием для сотрудничества.

Сертификат можно приобрести, получить бесплатно или создать самостоятельно. Рассмотрим эти варианты по мере роста надежности.

– Самоподписанный SSL – это сертификат на базе открытого кода OpenSSL, изданный и заверенный ключом своего создателя. Может использоваться для защиты сайта или IP-адреса, как правило, для самостоятельного пользования или внутренних нужд небольших компаний. Неудобство самоподписанного SSL в том, что он не подходит для публичных веб-ресурсов. Поисковики не доверяют источнику, выдавшему подобный сертификат, поэтому помечают такой сайт как небезопасный.

– Бесплатный SSL – это решение для персональных блогов, частных сайтов и коммерческих организаций. Можно бесплатно получить такой сертификат сроком на 90 дней, а затем продлить его. Из минусов бесплатного SSL: поддерживается только стартовый уровень защиты, отсутствуют финансовые гарантии, подтверждается только доменное имя. Такой вариант не рекомендован для организаций, коммерческих сайтов, интернет-магазинов, ресурсов, запрашиваемых персональные данные посетителей.

– Коммерческий SSL – это сертификат, выданный удостоверяющим центром на домен или на организацию. В процессе выпуска заявитель проходит поверку на право управлять сайтом. 99% известных браузеров доверяют уполномоченным центрам сертификации, помечая сайты как безопасные. Коммерческие SSL обладают разным уровнем защиты, финансовыми гарантиями защиты, печатью доверия, определенными опциями, которых нет у бесплатных аналогов. Коммерческие сайты, интернет-магазины, онлайн-сервисы, банки и платежные системы используют данный вид сертификатов.

Существует несколько центров сертификации, которые выдают SSL. Все центры проводят проверку прав на защищаемый домен, а в случае если сайт принадлежит компании, то еще и удостоверяются в существовании организации. Весной 2022 года из России ушли многие мировые фирмы: Sectigo (ранее Comodo), GoGetSSL, Thawte, RapidSSL, GeoTrust и Digicert (ранее Symantec). Однако есть удостоверяющий центр, который продолжает выпускать SSL для российского рынка – это GlobalSign.

Сертификаты бывают нескольких видов и могут обладать разными опциями. Выпустить сертификат можно на частное лицо или на организацию. Это зависит от того, на кого зарегистрирован домен.

DV (Domain Validation) — для подтверждения домена. Данный тип сертификата можно получить как физическому лицу/ИП, так и компании. Для выпуска SSL проверка будет проводиться только по доменному имени администратора, которому принадлежит адрес сайта. Как правило, это email-адреса: admin@, administrator@, webmaster@.

OV (Organization Validation) — для подтверждения домена и компании-владельца. Сертификат доступен для выпуска только при условии, что защищаемый домен зарегистрирован на организацию. При оформлении SSL потребуется предоставить запрашиваемые данные об организации, а также подтвердить почту администратора домена.

EV (Extended Validation) — для расширенного подтверждения домена и компании-владельца. В браузере данный вид сертификата выглядит как зеленая строка с названием компании (в зависимости от конкретного веб-приложения). EV сертификат обеспечивает максимальную степень доверия к ресурсу, но для его выпуска нужно пройти самую тщательную проверку. Центр сертификации может дополнительно запросить DUNS-номер или прохождение face-to-face проверки у нотариуса.

Для удобства защиты и администрирования сайтов были разработаны специальные опции для сертификатов. Каждый SSL может обладать одной или несколькими опциями.

WildCard или WC – поддержка поддоменов основного сертификата. Крайне удобная опция, которая распространяется на ваш домен, а также неограниченное количество всех его поддоменов одной вложенности. Например: example.com и *.example.com. Где подстановочный знак (*) – любой адрес без ограничений. Однако если вы хотите защитить следующую вложенность домена как *.*.example.com, то потребуется дополнительный SSL или опция SAN.

SAN (Subject Alternative Names) – поддержка дополнительных доменных имен в рамках одного сертификата. Количество дополнительных имен, условия защиты и стоимость альтернативных доменов отличается в зависимости от конкретного SSL. Опция доступна не всем сертификатам, но может быть использована при необходимости. Это не только сэкономит средства на приобретении дополнительного SSL, но и облегчит управление ресурсом в рамках одного защищенного протокола.

IDN (Internationalized Domain Names) – немного устаревшая, но еще встречающаяся аббревиатура. Такая метка означает, что сертификат поддерживает национальные алфавиты. В нашем случае это домены в зоне .РФ. Единственный центр сертификации, работающий в России на начало 2023 года, GlobalSign, предлагает все свои SSL с поддержкой этой опции.

Время выдачи сертификата зависит от разных факторов: от метода проверки и вида самого сертификата. Так, например, сертификат на физическое лицо с проверкой домена выпускается от 5 минут, а оформление сертификата для юр. лиц займет не менее трех суток. Если вам необходим EV-сертификат с расширенной проверкой, то время проверки займет от 5 до 10 рабочих дней, так как центру сертификации необходимо удостовериться в законности владения доменом и компанией.

В настоящее время все SSL-сертификаты, оформляемые из России, проходят ручную проверку, из-за чего срок выпуска может быть увеличен на несколько дней.

Актуальный период работы – один год. Даже если вы смогли приобрести сертификат сразу на несколько лет, то это не убережет вас от его перевыпуска через 12 месяцев. Процедура будет схожа с его получением, а именно: нужно оплатить стоимость SSL и заново пройти процесс проверки в зависимости от типа сертификата.