Сертификат безопасности (SSL): что это, и какова его роль в продвижении сайта
МануалыСайты с защищённым соединением имеют больше шансов попасть в топ, чем те, которые использует небезопасное. Первые внушают больше доверия посетителям, особенно когда дело касается запросов персональных данных. Чтобы предотвратить утечку информации, поисковые системы рекомендуют владельцам сайтов регистрировать сертификаты безопасности SSL. О том, что такое SSL-сертификат, и как его выбрать, я расскажу в посте.
1. Что такое сертификат безопасности сайта
Secure Socket Layer или SSL — это технология, которая обеспечивает безопасное соединение по протоколу HTTPS с использованием шифрования данных. SSL создает частный аутентифицированный канал, который обеспечивает надёжную транспортировку запросов и сообщений от браузера к серверу. Протокол HTTPS исключает вероятность кражи данных пользователей, что особенно важно при оформлении покупок в интернете.
Например, пользователь вводит в форму на сайте свои данные: логин и пароль. По протоколу HTTP они передаются на сервер в неизменном виде. Если злоумышленник перехватит соединение — получит логин и пароль посетителя в открытом виде. При наличии защищенного соединения HTTPS эти же данные кодируются так, что злоумышленник не сможет расшифровать и привести их в читабельный вид.
2. Как наличие протокола шифрования влияет на ранжирование сайта в поисковых системах
В отчёте Google указано, что количество сайтов с защищённым соединением растёт по всему миру.
По статистике Google практически все сайты уже перешли на шифрованное соединение.В Яндекс утверждают, что использовать защищённое соединение необходимо для создания качественного ресурса. Сайты на HTTP, которые собирают личные данные пользователей, будут блокироваться.
Чаще всего люди, увидев уведомление о незащищённом сайте, закрывают его и не возвращаются, — это негативно сказывается на поведенческих факторах. Поэтому для завоевания доверия посетителей и лояльного отношения поисковых систем нужно получить сертификат безопасности сайта.
В работе SSL сертификата участвуют приватный и публичный алгоритмы образования ключей. Публичный используется при запросе к сайту со стороны браузера. Он содержит информацию о компании, её расположении, доменном имени. Если при передаче данные шифруются публичным ключом, для их расшифровки потребуется приватный.
Стоит отметить, что не все сертификаты гарантируют 100% безопасность, поэтому некоторые из них браузеры не признают.
3. Разновидности SSL-сертификатов
Сертификаты отличаются между собой по уровню проверки домена и компании, которой он принадлежит. От этого фактора зависит стоимость сертификатов. Основные виды:
- SSL-сертификат с подтверждением доменного имени (Domain Validation). Для получения такого сертификата необходимо обратиться в один из центров сертификации. Он проверит домен и в большинстве случаев сразу же автоматически выдаст сертификат. Для подтверждения домена нужно получить письмо и кликнуть по ссылке. Письмо может быть отправлено только на почтовый адрес домена с логином admin, administrator, hostmaster, postmaster, webmaster или на адрес, который указан в Whois. После регистрации сертификата в браузерной строке появляется знак в виде замочка.
- SSL-сертификат с проверкой домена и компании, которой он принадлежит (Organization Validation). В этом случае центр сертификации проверяет данные компании через государственные базы, справочники и звонки по указанным номерам.
Чтобы посмотреть данные сертификата, нажмите на замок слева от домена в браузерной строке.
- Сертификаты с расширенной проверка данных компании (Extended Validation). Эти сертификаты доступны только юридическим лицам. Они гарантируют максимальный уровень безопасности соединения. После подачи запроса центр сертификации проверяет права компании на домен, официальные документы, которые подтверждают право на осуществление деятельности. Этот процесс занимает до двух недель. После авторизации компании ей присваивается сертификат EV.
Также существуют бесплатные SSL-сертификаты, но стоит учесть, что они не подходят для сайтов, на которых есть приём платежей, а за перевыпуск бесплатного SSL-сертификата всё равно придётся платить.
Обычно сертификат защищает один сайт. Если нужно защитить соединение нескольких доменов — используйте Wildcard или SAN сертификаты. Первый подходит для одного домена и его поддоменов, второй используется для защиты до 5 доменов, которые расположены на одном сервере.
Как получить сертификат безопасности сайта
Получение сертификата безопасности может происходить двумя способами: через поставщиков услуг (которые самостоятельно устанавливают сертификаты на сайты своих клиентов) либо через обращение в центр сертификации. Самые известные центры сертификации:
- Comodo,
- DigiCert,
- GlobalSign,
- Geotrust,
- Symantec,
- Trustwave,
- RapidSSL.
Их поддерживают 99% браузеров, поэтому можно выбрать любой центр из этого списка.
Для защиты соединения сайта иногда достаточно сформировать CSR-запрос о генерации сертификата и оплатить его. Вы также можете купить сертификат безопасности веб-сайта у независимого представителя. Некоторые из них обладают большим опытом продажи сертификатов, поэтому смогут быстро решить проблемы с установкой и работой HTTPS-протокола.
После установки сертификат сайта проверяется через специальные сервисы, например, SSL Checker и SSL Server Test. Убедиться в наличии сертификата безопасности также можно через браузерную строку. При незащищённом HTTP-соединении браузер выдаёт предупреждение. При нажатии на него появляется сообщение о том, что соединение не защищено.
Если сертификат подключён, отображается замок, при нажатии на который открываются соответствующие данные.
4. Как установить SSL-сертификат
Если вы запросили сертификат у посредника, который не устанавливает ключи безопасности, — придётся это сделать самостоятельно. Потребуется доступ к хостинг-панели вашего сайта и сгенерированные ключи. Следуя инструкциям от провайдера, добавьте приватный и публичный ключи на сервер, затем проверьте работоспособность сертификата.
Если инструкции по установке нет, скопируйте сформированный ключ в текстовый файл и сохраните на компьютере. В результате у вас должен быть приватный ключ и отдельный CSR-запрос с данными о компании, которые вы заполнили на этапе формирования этого запроса. Иногда выдаётся дополнительно публичный ключ, который тоже нужно сохранить, хотя для загрузки на сервер он не нужен.
После выпуска сертификата вы получите еще несколько файлов с расширениями .CRT и .CA-BUNDLE. Первый — файл сертификата, второй — цепь сертификатов. Далее в зависимости от типа хостинг-панели необходимо загрузить все файлы на сервер и проверить отображение сертификата в адресной строке. Если возникла проблема с сертификатом безопасности сайта, обратитесь в поддержку хостинга.
Подводим итоги
Сертификат безопасности SSL создаёт безопасное соединение сайта с браузером. Он шифрует данные по протоколу HTTPS при передаче информации на сервер.
Допускается несколько уровней защиты сайта: подтверждение домена — DV, проверка организации и домена — OV, проверка организации, ее деятельности, документации и права на владение доменом — EV. Самописные сертификаты не признаются браузерами.
Наличие сертификатов безопасности напрямую влияет на ранжирование сайтов. Эту информацию подтверждают Яндекс и Google. Для создания сертификата нужно сформировать запрос CSR к центру сертификации либо его представителю, получить ключи и добавить их на сервер через хостинг-панель.