+7(343) 344-34-20
г. Екатеринбург, ул. Горького,
дом 65, офис 296
Online-заказ

Зачем вам SSL/TSL-сертификат?

2 Августа 2018

О необходимости перехода на протокол HTTPS говорится давно, Google грозится понижать в выдаче позиции игнорирующих его, почти все популярные браузеры проверяют наличие сертификатов у сайтов и предупреждают пользователей об опасности перехода, обнаружив протокол HTTP. Значит, каждому нужно немедленно заказывать SSL/TSL-сертификат? Разберем в статье.

Что это такое?

Напомним: протокол HTTPS разработан как замена протокола HTTP, ставшего небезопасным для передачи данных. В новом варианте данные надежно шифруются, и перехват их злоумышленниками по схеме «человек посередине» (MitM) практически исключается.

Сертификат SSL/TSL нужен для перехода на протокол HTTPS. Он подтверждает, что сайт проверен, его владелец тот, за кого себя выдает, а значит, пользователи могут спокойно доверять ему свои данные: электронные адреса, пароли, платежные реквизиты и другую конфиденциальную информацию. Получить сертификат можно в одном из сертификационных центров.

Мнение Google

Эта компания начала агитировать за переход на HTTPS, и сегодня ее позицию поддерживают многие. Заботясь о безопасности пользователей, с июля 2018 Google Chrome помечает сайты, использующие протокол HTTP и собирающие данные пользователей, как «небезопасные» и предлагает людям решить, готовы ли они продолжать взаимодействие с таким ресурсом. Кроме этого:

  • браузер Chrome требует от сертификационных центров включения выданных после 30 апреля 2018 г. сертификатов в журналы Certificate Transparency, иначе сертификат будет считаться неподтвержденным, а пользователи поисковика получат предупреждение об ошибке;
  • для поисковой системы Google протокол передачи данных все-таки стал одним из факторов ранжирования;
  • реклама в Google Ads для сайтов без сертификатов может быть ограничена по количеству показов.

«Опасность» сайтов определяет не только Chrome, Яндекс.Браузер и Mozilla Firefox тоже помечают подозрительные, с их точки зрения, сайты. Требование работать по протоколу HTTPS предъявлено и к мобильным приложениям.

Итак, если безопасность пользовательских данных и репутация в поисковых системах важны, следует получить SSL/TSL-сертификат. На выбор предлагаются простой Domain Validation для владельцев блогов и небольших сайтов, а также варианты для организаций - Organization Validation и  Extended Validation.

Подробнее о выборе и переходе на протокол HTTPS мы рассказывали в этих статьях: http://promoteh.ru/articles/https/ и http://promoteh.ru/articles/_aview_b344

Мнение противников SSL/TSL

Несмотря на то, что идея обеспечения безопасности данных выглядит разумной, необходимость получения сертификата нравится не всем. Если не рассматривать теории заговора, неизбежно возникающие, когда некую технологию пропагандирует одна корпорация, аргументы противников перехода таковы:

  • Стоимость. Сегодня существуют бесплатные и условно-бесплатные сертификаты, но преимущественно в категории Domain Validation, то есть не подходящие для организаций и интернет-магазинов. В большинстве случаев продление и таких сертификатов будет платным.
  • Бесполезность. Если на сайте не проводятся платежи, получение сертификата выглядит избыточным действием. Зачем защищать то, чего нет и не предвидится, особенно, если при необходимости можно подключить сторонний платежный сервис?
  • Потеря позиций. Переход на протокол HTTPS технически непрост и требует аккуратности и внимательности. Цена ошибки – долговременная потеря позиций в поисковой выдаче. Но даже если все сделано правильно, на какое-то время сайт все равно «просядет».
  • Протокол только один из факторов. Если во всем остальном сайт не вызывает вопросов у поисковых систем, можно не опасаться проблем с ранжированием. А если платежи не проводятся, то и причин помечать сайт «небезопасным» у браузеров нет.

Это справедливо отчасти: за сертификат действительно нужно платить, но не всегда много, а позиции в выдаче при смене протокола неизбежно теряются, но после восстанавливаются обратно. И если на сайте не собираются никакие данные, защищать, разумеется, нечего (не считая cookie и других сведений о поведении пользователей).

Но как будут вести себя поисковики и браузеры в дальнейшем, пока неизвестно. Сейчас проверяются сайты, имеющие формы для заполнения данных, даже если это просто регистрация или подписка, но «знак опасности» получают не все. Проблемы с ранжированием во многом зависят от тематики. И все-таки, если Google и коллеги захотят перевести на HTTPS всех, они найдут способ это сделать.

Не надуманные проблемы сертификации

Надо признать, что получение и использование сертификата действительно связано с некоторыми сложностями. Проблемы постепенно устраняются, но на сегодняшний день нужно учесть следующее:

  • Наличие сертификата не означает, что сайт защищен от взлома. Да, то, что пользователь передает на сайте, надежно шифруется. Но на этом все: от хакерских атак все равно нужно защищаться проверенными способами.  
  • Сайт становится «опасным» при неподтвержденном сертификате. Если сертификат забыли продлить, или выдавший его центр утратил доверие, при переходе на сайт пользователь увидит предупреждение. Поэтому нельзя просто один раз получить сертификат, выполнить переход на HTTPS и успокоиться.
  • Не все центры сертификации известны браузерам. Следует избегать покупки сертификата у сомнительных компаний. Если браузер не узнает его, то и доверять сайту не начнет. Лучше обращаться в центры из списка CCADB и к их официальным партнерам.
  • Злоумышленники могут получить «левый» сертификат. И перехватить данные, представившись вашим сайтом – никакое шифрование здесь не поможет. Для предотвращения таких ситуаций Google и требует включения сертификатов в журналы Certificate Transparency, но насколько надежна такая система, пока неясно.
  • Центр сертификации может закрыться. Возможно и такое: в последние несколько лет вокруг компаний, выдающих сертификаты, периодически возникают локальные и достаточно масштабные скандалы из-за недостаточно качественной проверки покупателей. Но такой риск неизбежен, когда речь идет об использовании чьих-то услуг.

На самом деле, особых поводов для паники нет: нужно только не покупать первый попавшийся сертификат и следить за его своевременным продлением. А защита сайта от хакеров – обязательное условие работы в сети, и сертификаты здесь ни при чем.

Вывод

Так нужен ли вам SSL/TSL-сертификат? Если вы собираете хоть какие-то данные пользователей, да. Но можно обойтись самым простым и дешевым вариантом Domain Validation. Если вы получаете платежи – да. Здесь понадобится уже более серьезные сертификаты, но и цена безопасности выше. Если же вы просто ведете блог и не собираете подписчиков – выбор за вами. Только стоит периодически проверять, не помечают ли браузеры сайт как «небезопасный».


Зачем вам SSL/TSL-сертификат?

 
ссылка на эту статью:

Обратная связь

Нажимая "отправить" я соглашаюсь на обработку моих персональных данных
Положение об обработке персональных данных