Как за каменной стеной

Немного основ интернет–безопасности

Давайте начнём с самого начала. Когда пользователь заходит на сайт, тем самым он инициирует соединение с сервером, на котором сайт расположен. После этого начинается передача информации (причём — в обе стороны, это важно), которая обеспечивается http — протоколом передачи гипертекста. Однако у этого протокола есть один существенный недостаток: он никак не защищает данные, которые передаёт. А значит, их не составит труда перехватить. И на первый взгляд это может показаться несерьёзной проблемой: ну увидит злоумышленник, с кем вы в соц.сетях переписывались, что с того? Неприятно, но не критично. А теперь представьте, что пользователь регистрировался на сайте с использованием своих реальных данных. Представьте, что он вводил данные своей банковской карты. Представьте, что входил он на сайт банка, где хранятся все его (и не только его деньги). Не говоря уже о том, что незащищённостью данных могут воспользоваться не только мошенники, но и недобросовестные интернет–провайдеры, и даже сам хостер сайта может собирать и использовать полученную от посетителей информацию. И угроза становится действительно серьёзной.

И тут в игру вступает https — расширение стандартного протокола, где s значит secure, то есть, защищённый. Как же работает https? Он не позволит злоумышленнику украсть данные пользователя? О нет, это как раз то, чего он не делает. Данные вообще очень сложно защитить от перехвата. Но зачем тогда нужен https, в чём его функция? Всё очень просто: если мы не можем обеспечить неприкосновенность информации, то сделаем так, чтобы для похитителей она оказалась бесполезна. То есть, зашифруем её! Именно это и делает https: накладывает данные на криптографические протоколы, которые не позволяют посторонним получить оригинальную информацию. И вот наконец мы добрались до SSL, ведь это тот самый криптографический протокол. Он зашифровывает передаваемые данные и создаёт ключ для их расшифровки, который получают только пользователь и сервер. Конечно, теоретически можно подобрать ключ самостоятельно, но он настолько длинный, что на подбор единственного ключа могут уйти годы. Не очень выгодное занятие.

Муки выбора

Вот мы и пришли к тому, что для защиты вашего сайта шифрованием на его веб–сервер необходимо установить SSL–сертификат. Теперь осталось лишь выбрать, какой из них более всего вам подходит. Для этого нужно определиться с двумя факторами:

1. Насколько серьёзная вам нужна защита, что в свою очередь зависит от размера и рода деятельности компании. Дело в том, что SSL–сертификат не выдаётся просто так. Сначала и сайт, и компания проходят тщательную проверку, и чем крупнее организация, тем большие гарантии безопасности ей нужны, и тем дотошнее будет проверка. Поэтому существует три разных вида протоколов SSL:

• Extended Validation (EV). Самый серьёзный сертификат, который надёжно защитит и государственную организацию, и банк, и крупный холдинг. Взамен от вас потребуют всю подноготную вплоть до права на коммерческую деятельность. К тому же, нужно будет запастись терпением: средняя продолжительность проверок — около двух недель.
• Organization validation (OV). Идеальный вариант для среднего и малого бизнеса. Если через ваш сайт не проходят многомилионные денежные транзакции, но на нём всё ещё регистрируются люди и периодически что–то покупают — это ваш выбор. Для этого сертификата от вас потребуют только права на доменное имя и регистрацию компании, а также запас терпения на три дня. К слову, в отличие от EV, OV доступен не только для юридических, но и для физических лиц.
• Domain validation (DV). Самый простой из всех сертификатов (памятка: “самый простой” не равно “ненадёжный”), наиболее подходящий для личных сайтов, блогов и маленьких магазинчиков. Этот вид SSL может предоставляться вовсе бесплатно (хотя и с платным перевыпуском), к тому же не требует документов на проверку, а время получения не превышает трёх часов.

2. Иногда даже крупная компания обходится всего одним сайтом, и тогда проблем не возникает. Но что, если в её распоряжении находятся несколько доменов и сабдоменов? К примеру, различные сайты для нескольких видов продуктов в пределах одной компании. Или внутренний мессенджер и корпоративная почта. Защищать всё по отдельности влетит в копеечку. Для таких случаев были созданы два дополнительных типа сертификатов:

• MDC (Multi–Domain Certificate). Как следует из названия, он может распространяться на несколько доменов одновременно (до 100 за раз, если быть точными), при этом не важно, находятся они на одном или нескольких серверах.
• WildCard (согласны, довольно странное название на фоне остальных). Подходит для организаций с одним доменом и множеством сабдоменов 1–го уровня.

4 причины почему

Теперь, когда вы стали почти профи в области интернет безопасности, давайте поговорим о том, зачем вам необходим SSL–сертификат. А это действительно необходимость, а не прихоть. Помимо очевидной (забота о безопасности данных посетителей), этому есть ещё как минимум три причины. 

Федеральный закон ФЗ № 152 “О персональных данных” гласит, что каждый сайт, на котором собирается информация о пользователях (даже просто имейл) автоматически попадает в категорию операторов персональных данных. И если, будучи в этой категории, сайт не принимает мер по защите данных, у его владельцев будут серьёзные проблемы.

Даже хорошему SEO–специалисту будет значительно сложнее продвигать сайт без подтверждённого сертификата безопасности. Всё потому, что поисковые системы тоже заботятся о пользователях интернета и намеренно опускают такие ресурсы в поисковой выдаче. Если ваша цель — топ–10 в выдаче, а не пачка санкций, вы знаете, что делать.

И наконец, криптографический протокол не просто обеспечивает защиту, он её показывает. Взгляните на строку браузера прямо сейчас и увидите замок рядом с адресом сайта. Пользователи буквально видят, что об их безопасности позаботились, за что ресурс сразу получает определённый кредит доверия. Ещё ни одной компании не помешала хорошая репутация.

Надеемся, что после этой статьи вы приняли правильное решение и решились на покупку. Что на самом деле проще сказать, чем сделать, ведь описанные нами проверки — только вершина айсберга. Купленный SSL–сертификат надо ещё активировать, а после этого установить на сайт, что требует неплохой технической подготовки и желательно опыта. И в этом случае вы можете самостоятельно зарыться в многочисленные руководства и инструкции. Или обратиться к мастерам из NewShift, которые быстро, безболезненно и с хирургической точностью проведут всю необходимую настройку и подготовку.