Сертификат безопасности сайта – стандарт передачи и шифрования данных, применяемый в веб-пространстве для защиты конфиденциальной информации пользователей. Проверяется браузером при посещении веб-страниц, формально отображает репутацию ресурса и подсказывает, безопасно ли делиться логинами и паролями, не возникнет ли проблем в работе.
Аналогией сертификатов за пределами интернета выступают документы. Вот пример: если полицейский представляется устно и скрывает удостоверение от посторонних глаз, то сразу поверить в честность намерений сотрудника Министерства внутренних дел достаточно сложно. Сертификаты выполняют схожую роль: если не представлены, то портят репутацию сайта, но, если доступны исключают проблемы с безопасностью.
Различают три типа сертификатов:
- Domain Validated, DV. Удостоверение начального уровня. Выпускается моментально, подтверждает исключительно доменное имя. Часто присваивается автоматически или вручную через панель управления провайдера или регистратора домена. Присваивается Domain Validated по ссылке, передаваемой на электронную почту. В качестве подтверждения владения сайтом необходим адрес e-mail, указанный в WHOIS.
- Organization Validation, OV. Стандартный SSL-сертификат. Выдается в случае предоставлении гарантийного письма, доказывающее принадлежность домена организации.
- Extended Validation, EV. Расширенное удостоверение, более авторитетное, но обойдется дороже. Правила подключения строго регламентированы: предстоит продемонстрировать целую коллекцию документов, а после пройти ряд проверок. Вторая особенность Extended Validation, кроме сложности присваивания, связана с ежегодной проверкой правовой, физической, операционной деятельности организации. Весь процесс порой растягивается на долгие недели.
Подробнее о HTTPS
HTTPS (Hyper Text Transfer Protocol Secure) – обновленный и улучшенный протокол HTTP, подтверждает факт защиты через SSL-сертификат, шифрующий информацию, передаваемую от пользователя через браузер к сайту и обратно. Информация о протоколе отображается в поисковой строке: название веб-ресурса должно начинаться с https://. Если буква «s» потерялась, то стоит насторожиться: возможно, мошенники пытаются перехватить передаваемые данные.
Вдвойне опасно использовать публичные Wi-Fi точки, подключаясь к http://. Логи о посещении, активности, введенных паролях, собирается и передается третьим лицам. А вот беспроводные сети с https:// вполне безопасны: даже если мошенники перехватят сигнал, расшифровать содержимое не выйдет.
Принцип действия
SSL-шифрование основано на применении PKI-систем, применяющих ассиметричный метод шифрования передаваемой информации с помощью приватных и публичных ключей. Алгоритм действия вполне предсказуемый: при подключении к веб-странице сайт пересылает информацию о SSL браузеру вместе с публичным ключом для инициации безопасной интернет-сессии. Переданные данные анализируются, расшифровываются приватным ключом, а после – выводит результат о пройденной проверке и возможности приступить к работе. Если процесс нарушен ошибкой, то сначала необходимо разобраться, не возникнет ли проблем с утечкой конфиденциальной информации.
Стоит ли посещать сайты, если появляется ошибка об отсутствии SSL
Вебмастера не рекомендуют игнорировать веб-ресурсы с ненастроенными сертификатами безопасности. Необходимо проверить детали: возможно, выданное ранее удостоверение не продлилось автоматически из-за внутренних ошибок регистратора (или прочих посредников). Альтернативная причина – расхождения во времени и дате, выставленных на сервере и на компьютере (проблема возникает, если время выставляется вручную, а не синхронизируется с дата-центром по сети).
Если ошибки связаны с отклонением сертификата безопасности, то в таких случаях стоит насторожиться: возможно, владелец SSL-удостоверения пытался мошенническим путем завладеть конфиденциальной информацией пользователей, но не смог обойти проверку систем безопасности, а потому остался со своеобразным клеймом, отображаемым в браузере при посещении веб-страниц. Остерегаться стоит и ресурсов с сертификатами, выданными не доверенными организациями (теми, которые не представлены ни в одном официальном списке). Не стоит сразу делиться логинами, паролями, данными банковских карт, если в браузере перечеркнут значок напротив пункта «Безопасное соединение».
Как присвоить сайту сертификат
Сервисов, предоставляющих доступ к удостоверениям безопасности, в сети предостаточно: GoDaddy, Comodo, Norton, Global Sign. Но напрямую к международным поставщикам российские вебмастера обращаются редко: чаще – к посредникам. Хостеры, провайдеры, регистраторы – услуга доступна почти везде, да еще с поддержкой на русском языке, региональными ценами, возможностью автоматической интеграции сертификата.
С удостоверением российского образца возникнут проблемы: на территории РФ центры не предоставляют «интернет-документы» доверенного образца, а потому тратить время и ресурсы на подобные инструменты бессмысленно. Проще воспользоваться подключением SSL проверенного формата от давно представленных на рынке сервисов: так с репутацией сайта точно не возникнет проблема, а аудитория и случайные пользователи не отвернутся на половине пути.