Главное Авторские колонки Вакансии Образование
arrow-right Created with Sketch. Вашкевич Александр 2 855 7 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Глобальный обзор SSL-сертификатов: зачем нужен, какой выбрать и как установить

В январе 2017 мы проснулись в обновленном Интернете – Google начал помечать сайты без SSL-сертификата как небезопасные. Поисковик и раньше давал преимущества в ранжировании для ресурсов, доступных по HTTPS, но теперь корпорация всерьез взялась за внедрение защищенного соединения.
Мнение автора может не совпадать с мнением редакции

Не скажу, что против такого подхода. Да, теперь при разработке сайта приходится думать не только о домене и хостинге, но еще и о сертификате. Но если знать, где найти подходящий SSL и как прикрутить его к серверу, то процесс перехода на HTTPS становится быстрым и практически безболезненным.

Зачем оно вообще нужно?

Для безопасности. Незащищенное соединение легко поддается даже примитивным способам атак вроде анализа трафика. Из-за этого человек, прослушивающий ваш канал, может без особых проблем получить и расшифровать передаваемые пользователями логины, пароли, платежные данные и прочие конфиденциальные сведения.

В лучшем случае клиент просто потеряет свой аккаунт, в худшем – скомпрометирует информацию о своей карте или электронном кошельке, а в самом худшем вы полностью потеряете доступ к своему сайту, приложению или серверу.

Существенно снизит риск таких инцидентов SSL-защита соединения, которая и добавляет букву S к вашему HTTP. Это значит, что передача данных зашифрована приватным ключом, который знает только клиент и сервер.

Это спасет от многих угроз. Расшифровка кодированных данных требует много времени и ресурсов, реализация атаки человек посредине, когда к каналу незаметно подключается третья сторона, становится сложнее. Для обеспечения конфиденциальности HTTPS-соединения достаточно 95% интернет-сервисов. Задуматься о более надежной защите стоит только если приходится ворочать суммами, близкими к банковским.

По данным Actual Insights, пользователи не спешат совершать покупки на сайтах без HTTPS. И правильно делают!

Бесплатные сертификаты

Выдача SSL – коммерческая криптографическая услуга. Она требует от центра сертификации мер по обеспечению защищенности и конфиденциальности выдаваемых ключей, поэтому не удивительно, что такой продукт – платный. Но, тем не менее, есть реальные способы подключить HTTPS, не тратя денег.

Самоподписанный сертификат. Для сервера, работающего на UNIX, можно создать собственный сертификат, не подписанный каким-либо доверенным центром. Это обеспечит должный уровень защищенности, но для наших целей не годится: Google не доверят такому HTTPS-соединению, а браузеры будет спрашивать посетителей, могут ли они доверять этому сертификату. Большинство не разбирающихся в технологиях людей растеряются и покинут ресурс, а разбирающиеся с уверенностью нажмут нет.

Впрочем, для других целей такой самоподписанный SSL-ключ очень полезен. Например, если необходимо установить защищенное соединение с в локальной сети или зашифровать работу программистов на удаленном тестовом сервере.

Бесплатный сертификат. Существуют центры, выдающие сертификаты без взимания платы. Наиболее известны три из них – StartSSL, WoSign и Let’s Encrypt. К первым двум обращаться не стоит – осенью 2016 эти компании были пойманы на том, что выдавали SSL-ключи задним числом, предположительно, чтобы помогать в осуществлении взломов. Теперь браузеры Chrome и Firefox выдают предупреждение, если посещаемый сайт подписан сертификатами этих центров.

Впрочем, от таких инцидентов не застрахованы и доверенные центры. Буквально недавно появилась новость, что Google забанит 30 тыс. сертификатов Symantec EV-уровня (одни из самых дорогих). Причина: компания выдавала SSL-ключи без личной встречи с владельцем домена и проверки документов.

А вот Let’s Encrypt – вполне валидный выбор. Он обеспечивает высокий уровень шифрования 2048-битным ключом и признан доверенным всеми популярными и не очень браузерами. К сожалению, бесплатность налагает ряд ограничений:

  • Сертификат нельзя установить на поддомены, включая www.
  • Нужно продлять каждые 90 дней. Это не сложно, но достаточно надоедливо.
  • Для установки на Windows-хостинг или почтовый сервер придется поплясать с бубном или раскошелиться на ящик пива знакомому сисадмину.
  • Сертификат выдается как есть. Если Let’s Encrypt допустит утечку данных или компрометацию ключей, на какую-либо компенсацию не стоит рассчитывать.

А это график роста популярности Let’s Encrypt. Правда, среди фишинговых сайтов. Безопасность соединения этот сертификат гарантирует, а вот доверие - нет.

Условно-бесплатные сертификаты. Некоторые хостинг-провайдеры и регистраторы доменов предлагают своим клиентам дополнительно получить сертификат бесплатно. Изучив популярных хостеров России, Беларуси и Украины, нетрудно заметить, что чаще всего под этой чудо-сделкой имеется ввиду и так бесплатный Let’s Encrypt.

Удалось найти только одну компанию – REG.RU - которая вместе с доменом или хостингом дарит на год реальный платный сертификат DomainSSL от центра GlobalSign. Он поддерживает поддомены и популярные серверные платформы, имеет гарантийные обязательства. Этот вариант мы и выбрали для нашего сервиса: он сочетает бесплатность и широкий набор возможностей.

Возможно, вы знает других провайдеров, предлагающих в подарок реальные платные сертификаты. Напишите об этом в комментариях, интересно было бы сравнить их предложения с услугами REG.RU.

Платные сертификаты

Если нет желания использовать Let’s Encrypt или приобретать услуги на REG.RU, то можно заказать сертификат у одного из аттестованных центров. Наибольшей популярностью и доверием пользуются:

  • Comodo.
  • GoDaddy.
  • TrustWave.
  • GlobalSign.
  • Thawte.
  • Symantec (хотя в свете последних новостей…).

ТОП-8 центров выдачи SSL по версии Netkraft

Все эти компании, кроме выпуска SSL, разрабатывают другие продукты в сфере информационной безопасности: антивирусы, межсетевые экраны, DLP-системы. Если вам необходим сертификат не только для удовлетворения требований Google, то лучше остановиться именно на платном варианте. На что обратить внимание при выборе:

Защита поддоменов. Указывает, можно ли подтвердить сертификатом только основной домен, либо все принадлежащие ему адреса более низкого уровня. Полезно, если часть контента сервиса вынесена на домен вроде app.domain.com. Обычно такие SSL содержат в названии тарифа термин Wildcard.

Стоимость. Большинство центров предлагают тарифы разного ценового уровня, которые подойдут как начинающему стартапу, так и крупной организации. Исключение составляет только Symantec, чьи ключи обойдутся минимум в 20 тыс. рублей в год.

Доступ физическим и юридическим лицам. Некоторые сертификаты можно приобрести только для официально зарегистрированной компании. В таком случае потребуется дополнительное повреждение бизнес-уровня владельца ключа. SSL, предназначенные частным клиентам, обычно можно купить и для юр. лица.

Поддержка IDN. Если ваши вкусы специфичны и вы предпочитаете кириллические домены, то необходимо удостоверится, что эта услуга доступна, иначе HTTPS не заработает.

Поддержка EV. Как бы центры сертификации не расписывали преимущества этой услуги, единственное, что она реально делает – окрашивает строчку браузера в зеленый цвет. Если бизнес часто сталкивается с фишингом и мошенническом, то стоит подумать о покупке такого SSL. В противном случае – не важная функция.

Думаете, посетители не проверяют наличие SSL-сертификата? В GlobalSign считают иначе.

Как подключить

После заказа выпуска сертификата вы получите данные для его установки. В них входит:

  • Непосредственно сам сертификат.
  • Корневой сертификат.
  • Промежуточный сертификат.
  • Запрос на получение сертификата.
  • Приватный ключ.

В зависимости от используемых платформ процесс установки сертификата будет отличаться. Здесь я опишу только основные шаги, а также те моменты, которые в инструкциях часто опускают:

  1. Для начала потребуется создать файлы .crt и .key. Обратите внимание, что для Apache и Nginx они конфигурируются по-разному!
  2. Далее необходимо загрузить получившиеся файлы на сервер. Предпочитаю для этого использовать клиент FileZilla и SSH-протокол.
  3. Следующий шаг – изменение конфигурации сервера. Необходимо прописать пути до созданных ранее файлов и назначить машину на 443 порт. Он должен быть открыт для входящих соединений, иначе сайт не загрузится.
  4. Если используете Nginx, рекомендую сразу же прописать в конфигах редиректы 301 для ссылок с HTTP и WWW. Для Apache сконфигурируйте файл .htaccess.
  5. Перезапустить сервер.

На этом все. Теперь сервис передает всю информацию через защищенный протокол HTTPS.

+6
В избр. Сохранено
Авторизуйтесь
Вход с паролем