Стоит ли доверять этому сайту? А если я оплачу здесь, то мои данные не украдут? Не хочу, чтобы мошенники получили доступ к моей почте.
Что такое HTTP и HTTPS?
Почти весь интернет работает на HTTP (HyperText Transfer Protocol). То есть с его помощью реализуется классическая схема «клиент — сервер». Клиент посылает запрос на файлы, сервер его обрабатывает и отправляет ответ клиенту. Достаточно топорная, простая схема взаимодействия. Но ее большой минус — протокол не зашифрован. Поэтому любой умелец может перехватить запрос или ответ и подменить их.
Чтобы избавиться от этой проблемы, был придуман HTTPS (HyperText Transfer Protocol Secure). По факту это тот же HTTP, но уже защищенный шифрованием. То есть злоумышленник не сможет вклиниться в цепочку «клиент — сервер». Соответственно, доверие к сайтам, использующим HTTPS, выше.
При чем здесь SSL-сертификаты?
SSL (Secure Sockets Layer) — это криптографический протокол, который обеспечивает безопасность соединения. Сертификат подтверждает, что сайт работает по защищенным протоколам. Клиент и сервер обмениваются сертификатами и ключами, чтобы сравнить их и удостовериться, что они совпадают. Если так и есть, то открывается частный канал, по которому передается зашифрованная информация от сервера клиенту и наоборот.
Можно представить эту передачу в виде общения полицейского и гражданина. Допустим, полицейский просит войти в квартиру к человеку. В подобной ситуации гражданин попросит предъявить документы — служебное удостоверение. Вдруг это просто переодетый мошенник, который хочет заполучить личные данные человека. Документ докажет, что этому человеку можно верить. Но и полицейский должен проверить, что пришел к нужному гражданину, поэтому просит показать паспорт. Если все совпадает и все в порядке, то полицейский может войти. Кроме того, так как общение проходит в личной квартире человека, доступ злоумышленников к ней ограничен, поэтому за сохранность информации, озвученной в ней, можно не переживать.
SSL-сертификат должен шифровать данные, определять подлинность веб-ресурса и сохранять целостность передаваемой информации. При установленном сертификате в адресной строке появляется значок «замочка», который указывает, что сайту можно доверять. Помимо этого, подключение идет уже по HTTPS.
Кем выдаются сертификаты?
SSL-сертификаты предоставляются специальными сертификационными центрами. Например, Спринтхост сотрудничает с Comodo. Подобные центры котируются браузерами и вызывают у них доверие.
Существуют самоподписанные сертификаты. Их можно бесплатно сгенерировать на веб-сервере. Но у них есть большой минус — им не доверяют браузеры, о чем и предупреждают посетителя сайта.
Возвращаясь к примеру с полицией, допустим, вместо служебного удостоверения полицейский показывает написанный от руки документ, указывающий, что человек в форме действительно служитель закона. К такому удостоверению будет много вопросов и мало доверия, поэтому хозяин квартиры вряд ли откроет дверь.
Виды сертификатов
SSL-сертификаты бывают разных типов. О самоподписанных и выдаваемых центрами мы уже упомянули выше.
Различия сертификатов также заключается в типе валидации (подтверждения):
- Domain Validation (DV) — простое подтверждение владения доменом. Такой вид подходит для небольших сайтов и доступен как физическим лицам, так и юридическим. Помимо бесплатного сертификата, DV является самым простым типом защиты;
У полицейского только личное удостоверение, в котором указано, что он служитель закона.
- Organization (Business) Validation (OV) — в этом случае проверку проходит не только домен, но и владеющая им компания. Это тип подразумевает более сложный и жесткий процесс валидации, при котором центр может запросить документы фирмы, выписки из банка, юридический адрес, номер телефона, по которому будет подтверждена заявка на выпуск сертификата. OV подойдет владельцам онлайн-магазинов, требующие еще большего доверия к работе сайта. Этот вид доступен только для юридических лиц;
Полицейский еще показывает название службы, ее адрес и номер телефона.
- Extended Validation (EV) — самый надежный тип сертификата, подходящий для владельцев крупного бизнеса, которые следят за своей репутацией. Для получения EV нужно предоставить целый пакет документов, также будет совершен звонок по телефону, который будет служить дополнительным этапом проверки. Получив такой сертификат, в адресной строке будет указана страна нахождения компании, сама строка окрасится в зеленый цвет. Доверие к таким сайтам максимальное. Этот тип также доступен только для юридических лиц.
У полицейского шикарное удостоверение, в котором есть абсолютно вся информация о его службе, опыте работы, адресе организации, номере телефона, — все это выделено зеленым цветом.
Помимо этих типов, существуют сертификаты на один домен или на домен и его поддомены. В последнем случае используется Wildcard. Его отличие заключается только в том, что действие сертификата распространяется на поддомены основного домена. Но здесь стоит учитывать, что на субдомены третьего уровня сертификаты уже не распространяются.
Зачем нужен SSL-сертификат?
SSL-сертификат нужно установить на даже самый маленький сайт. Таким образом можно повысить доверие его посетителей и защитить их личные данные. Шифрование позволяет производить оплату на сайте, оставлять свои контакты и не бояться, что их кто-то перехватит. Да, возможность взлома сайта все еще присутствует, но при защищенном соединении подключение третьего лица крайне маловероятно.
Не стоит забывать, что красивый «замочек» и выделение адресной строки зеленым делает дизайн сайта более привлекательным. Такому ресурсу хочется больше доверять, чем тому, где «замочек» перечеркнут, а перед попаданием на сайт появляется окно с предупреждением о возможности утечки данных.
В Спринтхост можно легко, в один клик установить себе как платный, так и бесплатный SSL-сертификат. Кроме того, в Базе знаний есть инструкция о переходе с HTTP на HTTPS после установки сертификата, там же есть информация об SSL-сертификатах Comodo. Если возникнут вопросы, то техподдержка оперативно поможет с их решением.