В последнее время мы все чаще слышим такие слова, как HTTPS и сертификат SSL. Давайте разберемся, что это такое и нужно ли оно для вашего сайта. Обычные сайты передают информацию таким образом, что она может быть перехвачена злоумышленниками. После установки на сайт так называемого сертификата SSL данные будут передаваться в зашифрованном виде. Современные браузеры отмечают сайты без сертификатов SSL как небезопасные, а поисковая система Google понижает их в рейтинге.
Все интернет-магазины, открытые на сервисе Shop2You, можно защитить сертификатом SSL. Прочитав эту статью, вы сможете выбрать подходящий тип сертификата, и узнаете, что нужно делать после его установки.
Как работает сертификат SSL
Сертификат SSL (Secure Socket Layer) представляет собой электронный документ (текстовый файл), в котором хранится доменное имя. Также туда может быть добавлено имя владельца, адрес, юридические реквизиты и другая информация. Пример файла с данными сертификата SSL показан на рис. 1.
После установки на сайт сертификата SSL данные между сервером и браузером пользователя будут передаваться в зашифрованном виде при помощи протокола HTTPS. При этом зашифровывается содержимое страниц сайта и его адрес, информация, которую вводит пользователь на сайте (логины, пароли, адреса электронной почты, номера кредитных карт и т.д.).
Для защиты сайта интернет-магазина и получения преимуществ в рейтинге поиска Google мы можем установить на сайт вашего интернет-магазина бесплатный сертификат Let's Encrypt или, если это нужно, сертификат SSL другого типа
Если сайт не использует сертификат SSL, то браузеры отмечают его как небезопасный. Увидев предупреждение, посетитель может отказаться от просмотра сайта.
Еще одна веская причина установить сертификат SSL заключается в том, что Google повышает в поисковом рейтинге сайты, работающие с протоколом HTTPS. В Яндексе пока утверждают, что сертификат SSL не дает преимуществ в ранжировании сайта Яндексом. Однако ситуация может измениться в любое время, так что лучше подготовиться заранее.
Типы сертификатов SSL для защиты сайтов
Чтобы вы могли осознанно подойти в выбору типа сертификата SSL, который будет защищать ваш сайт и сделает его доступным по протоколу HTTPS, кратко рассмотрим отличия между сертификатами различных типов.
Все сертификаты SSL, предназначенные для защиты сайтов, можно разделить на следующие типы:
- самоподписанные сертификаты;
- сертификаты с подтверждением доменного имени DV (Domain Validation);
- сертификаты с подтверждением домена и организации OV (Organization Validation);
- сертификаты с расширенной проверкой EV (Extended Validation)
Еще есть сертификаты, защищающие несколько доменных имен, или поддомены заданного домена, однако в этой статье мы не будем их рассматривать.
Самоподписанные сертификаты
Самоподписанный сертификат SSL создается непосредственно владельцем домена, или администратором сервера по заданию владельца домена. Такой сертификат выпускается бесплатно, но для него не выполняется никаких подтверждающих проверок. Тем не менее, самоподписанный сертификат выполняет шифрование данных при просмотре сайта.
Казалось бы, почему не использовать самоподписанные сертификаты, если их создание ничего не стоит?
Дело в том, что браузеры не будут доверять самоподписанному сертификату, т.к. его может выпустить кто угодно. При попытке просмотра HTTPS-сайта с самоподписанным сертификатом SSL пользователь увидит предупреждение, после чего, скорее всего покинет сайт.
Сертификаты DV с подтверждением доменного имени
Сертификаты SSL с подтверждением доменного имени DV выпускаются удостоверяющими центрами CA (Certification authority). Их можно купить в компаниях, специализирующихся на выпуске сертификатов, у регистраторов домена и в хостинговых компаниях.
При запросе сертификата DV необходимо подтвердить владение доменом. Существует несколько способов такого подтверждения.
Например, от вас могут потребовать создать определенный ящик электронной почты в проверяемом домене. На этот ящик будет отправлено сообщение, содержащее ссылку для подтверждения выпуска сертификата. Другой вариант может заключаться в добавлении заданного поля в запись DNS проверяемого домена. И, наконец, еще один способ проверки заключается в размещении определенного файла в корневом каталоге сайта, который будет защищен сертификатом SSL.
Сертификат типа DV подтверждает только доменное имя. Он выдается очень быстро и без предъявления каких-либо документов
Обратите внимание, что при выдаче сертификата c подтверждением только доменного имени от вас не потребуют никаких документов. Соответственно, такой сертификат может гарантировать только то, что посетитель просматривает сайт, защищенный этим сертификатом, а не какой-либо другой, например, фишинговый.
Сертификаты OV с подтверждением домена и организации
Есть возможность получить сертификат SSL типа OV, подтверждающий не только доменное имя, но и название организации (юридического лица). Чтобы получить такой сертификат, необходимо предоставить юридические документы, и дождаться, когда они будут проверены. Сертификаты с подтверждением домена и организации стоят дороже, чем сертификаты с подтверждением только домена, а их выпуск длится дольше.
Сертификаты с расширенной проверкой EV
Максимальную степень защиты обеспечивают сертификаты SSL с расширенной проверкой EV. Такие сертификаты выдаются только юридическим лицам после тщательной проверки их деятельности. Эти сертификаты стоят дороже и выпускаются дольше, чем сертификаты с подтверждением домена и организации.
Выбираем сертификат SSL для сайта интернет-магазина
Для сайта магазина точно не подойдет самоподписанный сертификат, так как браузер будет выдавать посетителям предупреждающее сообщение. Остается выбрать между сертификатами, которые подтверждают только доменное имя, домен и организацию, а также сертификатом с расширенной проверкой.
Разница будет в степени предоставляемой защиты, в ценах и сроках выпуска сертификата.
Определите цель приобретения сертификата
Прежде всего определите цель, с которой вы приобретаете сертификат. Если это только повышение рейтинга в поиске Google, то нет смысла тратить время и деньги на получение сертификатов с проверкой организации и расширенной проверкой. Сертификат с проверкой только доменного имени типа DV можно получить очень недорого, или вообще бесплатно.
Если цель приобретения сертификата SSL — повышение рейтинга в поисковой системе Google, достаточно установить сертификат только с проверкой доменного имени. Такой сертификат можно получить бесплатно
В том случае, когда нужно повысить доверие посетителей к сайту вашего магазина, имеет смысл рассмотреть возможность приобретения сертификатов с проверкой организации или с расширенной проверкой.
Сравните стоимость приобретения сертификатов SSL различных типов
Один из важных факторов при выборе типа сертификата SSL — это его стоимость. В табл. 1 мы привели стоимость приобретения сертификата на один год для компаний REG.RU и GlobalSign на момент публикации этой статьи.
Таблица. 1. Сравнение стоимости сертификатов различных типов
Как видите, затраты на домены с проверкой организации и расширенной проверкой довольно ощутимые. Кроме того, вам нужно будет платить за выпуск сертификатов каждый год (или каждые два года), а потом менять установленный на сервере сертификат.
Но есть и хорошая новость!
Относительно недавно появилась возможность получения бесплатных сертификатов SSL с проверкой доменного имени у регистратора Let's Encrypt. Такой сертификат выпускается только на 3 месяца, но мы настраиваем на SAAS-сервисе интернет-магазинов Shop2You его автоматическое обновление. Поэтому вы не будете платить за перевыпуск и переустановку сертификата Let's Encrypt каждый год.
Оцените визуальный эффект от установки сертификата
Для оценки визуального эффекта от установки сертификата SSL на сайт интернет-магазина давайте посмотрим, как будет выглядеть адресная строка в различных браузерах при использовании сертификатов разных типов.
В табл. 2 мы привели внешний вид символа замка, который появляется в адресной строке браузера при посещении сайтов, защищенных сертификатами различных типов.
Таблица 2. Значок замка в адресной строке браузера
Браузеры Firefox, Internet Explorer и Opera новых на момент публикации статьи версий показывают символ замка зеленого цвета, а Chrome — серого. Для сертификата с расширенной проверкой в адресной строке дополнительно показывается название компании, которой принадлежит сайт (на примере сайта компании ИКЕА).
Браузер Samsung Internet в смартфоне с операционной системой Android для сертификата любого типа показывает замок серого цвета.
Как видите, визуальный эффект от установки более дорогих сертификатов не так уж и велик, а в мобильных устройствах и вовсе незаметен. Посетитель сайта скорее всего не сможет с первого взгляда определить, какой же тип сертификата установлен на сайте, и что он подтверждает, кроме доменного имени сайта.
Настойчивый пользователь мобильного устройства, конечно, узнает тип сертификата. Для этого сначала необходимо коснуться (тапнуть) значок замка в адресной строке. Далее нужно воспользоваться ссылкой просмотра сертификата, и открыть в окне данные сертификата. Только после этого станет видно, что подтверждается не только доменное имя, но и организация (рис. 2).
Лишь немногие захотят выполнять так много действий для того, чтобы убедиться, что сертификат принадлежит той или иной организации. Поэтому в большинстве случаев будет достаточно установить сертификат SSL только с проверкой домена, или же с проверкой организации.
Действия после установки сертификата
Для установки сертификата SSL на сайт вашего магазина Shop2You оставьте заявку в разделе поддержки административного сайта магазина. Мы установим сертификат и сообщим вам об этом в заявке.
Сразу после установки сертификата сайт будет доступен одновременно по протоколам HTTP и HTTPS. Теперь необходимо отредактировать контент сайта и настроить редирект HTTP-страниц сайта таким образом, чтобы этот редирект вел на соответствующие HTTPS-страницы.
Редактирование контента сайта
Зачастую одной установки сертификата SSL недостаточно для того чтобы браузер определил сайт как безопасный. Безопасными должны быть и все ресурсы, которые используются на страницы. Например, если у вас на сайте размещена фотография, то она должна загружаться также в безопасном режиме по протоколу HTTPS.
Если в содержимом страниц сайта сохранятся ссылки вида "http://", то браузер будет выдавать предупреждение посетителю о наличии на странице смешанного контента (рис. 3).
Тут имеется в виду, что на странице есть контент, доступный и по протоколу HTTP, и по протоколу HTTPS. Предупреждение показывается, т.к. это небезопасно с точки зрения защиты передаваемых данных — злоумышленники могут заменить незащищенные блоки данных.
Браузер может не показывать посетителю части страницы, доступные по протоколу HTTP. Если это, например, файлы стилей CSS или изображения товаров, внешний вид страницы будет сильно искажен.
Чаще всего такая ошибка возникает, если при вставке изображения с помощью тега img в параметре src был указан протокол HTTP.
Если в текстах сайта есть ссылки, написанные по-старому, то при переходе по такой ссылке ошибки не произойдет. Однажды посетив страницу сайта по протоколу HTTPS, браузер навсегда запомнит это, и все другие страницы будет также открывать по безопасному протоколу. Однако наличие таких ссылок приведет к лишней переадресации, поэтому мы рекомендуем заменить и внутренние ссылки с вида "http://" на "https://".
Все эти замены мы делаем при переключении на протокол HTTPS. После того как сайт переключен на использование безопасного протокола, все ссылки, добавляемые в тексты сайта, должны использовать протокол HTTPS. В противном случае будет появляться описанное выше сообщение об ошибке.
Включение редиректа со страниц HTTP на страницы HTTPS
По вашей заявке мы можем включить редирект всех страниц, доступных по протоколу HTTP, на страницы, доступные по протоколу HTTPS. На самом деле это те же самые страницы, а редирект с HTTP на HTTPS включается для всего сайта сразу.
Однако не торопитесь включать редирект.
Если ваш сайт продвигается силами SEO-оптимизатора, поручите ему выполнить все необходимые действия, и сообщить вам, когда нужно включать редирект. Если такого специалиста у вас нет, вы можете поручить работу по сопровождению перевода сайта на протокол HTTPS нашему специалисту, или выполнить ее самостоятельно.
При самостоятельном переводе рекомендуем ознакомится с руководством "Деликатный переезд (или рекомендации Яндекса по переезду на HTTPS)" от Яндекса. Обратите внимание, что эта инструкция содержит ссылки на другие документы, с которыми тоже необходимо ознакомиться.
Что же потребуется сделать?
Поисковая система Яндекс воспринимает сайт, доступный одновременно по протоколам HTTP и HTTPS, как два разных сайта. Прежде всего, вы должны сообщить поисковому роботу через Яндекс.Вебмастер о новом сайте, доступном по протоколу HTTPS. Затем внесите изменения по инструкции от Яндекса и через Яндекс.Вебмастер отправьте заявку на переезд сайта, доступного через HTTP.
Далее нужно ожидать, когда HTTP-сайт и HTTPS-сайт будут склеены. Этот процесс не быстрый, и может занять несколько недель. Когда он завершится, в поиске будут доступны только страницы HTTPS-сайта.
Подведем итоги
Если вы посмотрите, какие сертификаты используют самые известные интернет-магазины, банки и социальные сети, то окажется, что практически нигде не устанавливаются сертификаты с расширенной проверкой. Во многих случаях установлены самые недорогие сертификаты с проверкой только доменного имени или с проверкой организации.
Причина понятна. Это и тенденция на снижение визуального эффекта от установки более дорогих сертификатов, и все большее распространение мобильных устройств, где визуальный эффект практически отсутствует. В будущем Google и вовсе планирует отказаться от показа значка с замком. Вместо этого браузеры Google будут показывать предупреждение при посещении сайтов, не защищенных сертификатом SSL.
В тоже время даже бесплатные сертификаты от Let's Encrypt обеспечивают защиту данных и отсутствие "дискриминации" поисковой системой Google в поисковом рейтинге.
После установки на сайт сертификата SSL выполните рекомендации из предыдущего раздела этой статьи. Это позволит сохранить позиции сайта в поиске в процессе его перевода на протокол HTTPS.