Что такое сертификат безопасности сайта (SSL) и почему он важен бизнесу.

Вот уже 2020 год, и сайты с сертификатом безопасности, де-факто, стали обязательными, почти для всех видов сайтов.

В этой статье я вам подробнее расскажу, что такое сертификат безопасности для веб-сайта и почему этот сертификат нужен вам (если вы веб-мастер). И какой сертификат вам нужен, если у вас сайт компании.

В некотором смысле сертификат безопасности веб-сайта похож на удостоверение личности.

В обоих случаях вы используете его для подтверждения личности. Сертификат безопасности полезен не только для того, чтобы помочь веб-браузерам ваших пользователей распознать ваш веб-сайт, но и для того, чтобы помочь самим пользователям определить, что сайт на самом деле является вашей страницей, а не поддельным сайтом самозванца. Это похоже на переход на сайт Сбербанка — вы ведь должны быть уверены, что находитесь на официальном сайте банка? Идентификация важна.

Но почему идентификация так важна? Вероятно, это как-то связано с тем фактом, что киберпреступность каждый год бьёт рекорды и если говорить про мировую статистику, то в 2019 году, она обошлась компаниям и потребителям в сумму около 1,5 триллиона долларов.

Кража личных данных также растет беспрецедентно. И да, преступники просто обожают создавать поддельные веб-сайты, чтобы они выглядели как вполне себе нормальный сайт, внушая ложное чувство безопасности посетителям.

Неужели действительно нужно перечислять ещё причины? Окей, перечислю ещё парочку.

• Сертификат безопасности веб-сайта также помогает вам обеспечить безопасное зашифрованное соединение между клиентами и сервером. В сочетании с преимуществом аутентификации это означает, что пользователи могут чувствовать себя спокойно, комфортно и безопасно, передавая такому сайту чувствительную информацию (в первую очередь, данные пластиковых карт).
• Ну и наконец, это просто помогает в продвижении вашего веб-сайта. Изначально Гугл заявил о том, что сертификат безопасности будет влиять на ранжирование веб-сайтов. А потом и Яндекс. Правда Яндекс вроде как официально не заявлял о том, что сертификат безопасности влияет на ранжирование, но вот если посмотреть в панели вебмастера Яндекс, то мы увидим красноречивую надпись, что подключение защищено. Что как-бы на что-то намекает))

Что такое сертификаты безопасности веб-сайтов?

По сути, сертификат безопасности веб-сайта — это цифровой штамп одобрения от третьей доверенной в отрасли стороны, известной как центр сертификации (ЦС). В частности, это цифровой файл, содержащий информацию, выпущенную центром сертификации, которая указывает, что веб-сайт защищен с помощью зашифрованного соединения.

Сертификат безопасности веб-сайта также известен как сертификат SSL (или, точнее, сертификат TLS), сертификат HTTPS и сертификат сервера SSL. Это то, что позволяет отображать этот изящный замок в строке веб-адреса. Итак, независимо от того, как вы предпочитаете их называть, цель сертификатов SSL важна — защищать веб-сайты, подтверждать личность и приносить счастье и радость людям во всем мире.

Хорошо, последняя часть на счет радости во всем мире, немного натянута. Но в каком-то смысле это тоже правда. Если люди используют безопасные веб-сайты для ведения бизнеса или совершения покупок, то они должны быть уверены, что вы приняли необходимые меры для обеспечения безопасности их информации, и тогда они, с большей вероятностью вернутся, чтобы снова одарить вас своим посещением. Это делает ваших посетителей счастливыми, а ваш сайт это делает прибыльным (в какой бы области вы не работали). В общем, все выигрывают.

Но как все это работает?

Если сильно не вдаваться в технические подробности (на которые одной статьи явно мало будет), вы используете безопасный сертификат для подтверждения, что ваша организация, это ваша организация (а не сайт хакера), и что между посетителем и вашим сайтом установлено зашифрованное соединение, с помощью процесса, известного как рукопожатие TLS.

С точки зрения непрофессионала, это похоже на те «секретные» рукопожатия, которые вы делали со своими друзьями в детстве — только вы, и ваши близкие друзья, знаете ту комбинацию щелчков пальцами, рукопожатий, и других движений, которые могли бы идентифицировать вас в вашем тесном кругу общения.

С технической точки зрения, в этот момент совершаются целый ряд действий, которые позволят установить безопасное подключение. Эти действия включают:

• Обмен наборами шифров и параметрами, чтобы выяснить, какие криптографические функции поддерживают обе стороны,
• Аутентификация одной или обеих сторон в обмене, и
• Обмен ключами и создание симметричных ключей сеанса.

После завершения рукопожатия именно через это безопасное соединение пользователи могут передавать свою информацию на ваш сайт, при этом злоумышленники и другие не смогут расшифровать любые перехваченные данные. (Да, даже очень могущественное американское АНБ не сможет расшифровать эти данные).

Это довольно крутой процесс, и многие страны, отрасли и учреждения считают, что сертификат необходим для защиты целостности и конфиденциальности данных. Но что происходит, когда сертификат получают не те люди?

Другая сторона сертификатов безопасности веб-сайтов: почему безопасность не всегда равна защищенности.

Подождите, но ведь я только что говорил, что сертификат SSL делает ваш сайт более безопасным? Да, это так. Однако то, что веб-сайт защищен, еще не означает, что он безопасен. Под этим я подразумеваю то, что веб-сайт может использовать базовый сертификат SSL, но при этом оставаться вредоносным. Это потому, что плохие парни тоже используют шифрование.

Фактически, Рабочая группа по борьбе с фишингом (APWG — Anti-Phishing Working Group) сообщает, что более половины фишинговых веб-сайтов в мире теперь используют протокол HTTPS. Киберпреступники используют фишинговые веб-сайты, чтобы обманом заставить пользователей предоставить свою информацию. Они делают это с помощью сертификатов SSL с проверкой домена (DV — domain validated), которые являются самым основным типом доступных сертификатов SSL.

Теперь, как вы можете знать или не знать, вам не нужно платить за некоторые сертификаты SSL. Это связано с тем, что некоторые центры сертификации (ЦС) выдают сертификаты бесплатно, например, Let’s Encrypt, который бесплатно выдает сертификаты безопасности на домен.

Безусловно, такой сертификат лучше, чем полное отсутствие сертификата. Более того, если у вас обычный информационный веб-сайт, форум, или блог, то по большому, вам больше ничего и не нужно. Например, сайт Life-Webmaster.ru как раз имеет безопасный сертификат от Let’s Encrypt. Но ведь, я у вас не собираюсь спрашивать данные ваших пластиковых карт, или спрашивать другую чувствительную информацию. Хотя, вы можете оставить хороший комментарий))

Но ситуация меняется, когда дело доходит до веб-сайтов фирм и других юридических лиц.

Аутентификация и доверие: сертификаты безопасности веб-сайтов помогают людям узнать, кем вы являетесь

Когда дело доходит до проверки личности организации, коммерческие центры сертификации имеют более высокие стандарты проверки, чем их бесплатные аналоги. Конечно, они тоже продают сертификаты на домен, но коммерческие центры сертификации также предоставляют сертификаты SSL для проверки организации (OV — organization validation) и расширенной проверки (EV — extended validation). Оба этих сертификата предлагают формы проверки бизнеса: OV — это промежуточный уровень проверки, когда проверяется само наличие фирмы. А EV, как и указано в названии, требует наиболее обширной проверки.

Для выдачи сертификата EV SSL, например, центр сертификации обычно должен потратить несколько дней на изучение вашей организации, просмотр записей и подтверждение того, что ваша организация является законной, а не просто какой-то фирмой однодневкой, создающей фишинговый сайт.

Хотя это может показаться огромной болью для вас, как владельца веб-сайта, но это действительно означает, что вы должны быть в состоянии доказать, используя законную документацию и каналы, что ваш веб-сайт является подлинным и что вы настоящая, устоявшаяся организация.

Для получения дополнительного доверия клиентов, очень важно максимально упростить возможность определения легитимности веб-сайта. И использование сертификата безопасности веб-сайта — один из наиболее эффективных способов помочь в этом.

Как использовать сертификат безопасности веб-сайта для проверки информации организации

Пока что я рассказал о самом сертификате безопасности веб-сайта. Но если кто-то хочет проверить информацию о сертификате SSL, как он это сделает?

На веб-сайте, который вы хотите проверить, посмотрите на строку веб-адреса и убедитесь, что там есть замок, который означает, что шифрование SSL включено. Затем, чтобы просмотреть идентифицирующую информацию самого сертификата безопасности веб-сайта, вам нужно:

Кликнуть на замок, чтобы открыть раскрывающееся меню. В Google Chrome это отобразит информацию о сертификате, которая выглядит следующим образом:

Теперь кликните Сертификат, чтобы просмотреть дополнительную информацию. Откроется окно с двумя вкладками. На вкладке «Общие», которая отображается автоматически, будет показано, что сертификат был выдан на сайт. (в моем примере, на сайт https://www.mvideo.ru/.

Здесь показано, на какой сайт выдан сертификат, на какую организацию, кем выдан, и срок действия сертификата.

Вот и всё. Как видите, проверить сертификат безопасности обычным пользователем, это дело буквально пары секунд. Но эта информация покажет посетителям вашего сайта, что это действительно ваш сайт, и что они могут спокойно находится на вашем сайте.

А если вы обычный пользователь, то обязательно проверяйте эту информацию. Фишинг, дело распространенное, и не нужно игнорировать эту проблему. Часто можно оказаться на сайте мошенников, а не на официальном, законном сайте.

Ну а если у вас остались ещё вопросы, то задавайте их в разделе с комментариями.

(1 оценок, среднее: 5,00 из 5)

Загрузка...