Callback
  • От места на рынке к магазину

  • -

  • От магазина к торговой сети

  • -

  • От торговли к производству

Что нужно знать владельцу интернет-магазина об SSL-сертификатах 17.01.2019

Клиенты не спешат делать покупки в вашем интернет-магазине? Скорее всего они не верят в безопасность и подлинность вашего сайта, а виной этому — отсутствие SSL, протокола для формирования надёжного соединения между юзером и сервером.

Не углубляясь в технические нюансы, можно сказать, что SSL шифрует введённую клиентом информацию начиная от платёжных данных и заканчивая паролями, а затем передаёт её по протоколу HTTPS в зашифрованной форме. Персональные данные при этом всё равно можно перехватить, но расшифровать на порядок дольше и сложнее.

Чтобы сайт работал через защищённый протокол HTTPS, его владельцу необходимо получить SSL-сертификат.


Зачем протокол владельцу сайта

Наличие сертификата на сайте заметно повышает кредит доверия, хотя сам протокол не гарантирует высокого уровня защиты от хакерских или вирусных атак. Помимо доверия юзеров, SSL-сертификат обеспечивает и ещё один бонус — защиту при входе в админ-панель через общественную Wi-Fi сеть.

Хотя основной целевой аудиторией такого протокола являются собирающие платёжные реквизиты интернет-магазины, не помешает он и всем остальным типам организаций, которые желают произвести должное впечатление на потенциальных клиентов. К тому же, в современном интернет-мире отсутствие SSL-сертификата на любом сайте, где есть возможность авторизации, считается дурным тоном. Таким образом, стать обладателем протокола в интересах практически любого владельца сайта, особенно учитывая, что сделать это можно быстро и совершенно бесплатно.

Важным аспектом является и то, что современные юзеры всё осознаннее относятся к безопасности и обращают внимание на наличие зелёного ярлыка у доменного имени сайта. Для чего нужен SSL-сертификат рядовому пользователю? В отличие от владельцев сайта, обычным юзерам сертификация весьма полезна. Защищённые сайты HTTPS протоколом гарантированно предотвращают кражу введённых потенциальным клиентом данных.

Фактором риска в этом случае могут быть лишь вирусы на устройстве пользователя или же недобросовестность владельца сайта, который может незаметно присвоить данные клиентов. Более того, SSL-сертификат является показателем подлинности сайта, поскольку его фишинговые аналоги и двойники обычно используют привычный HTTP.
Владельцу коммерческого сайта также следует помнить, что при попытке подключить оплату через некоторые платёжные системы, сервисы запрашивает сертификат, без которого операции не проводятся. Согласно тенденциям, скоро эти требования станут весьма масштабными и будут прописаны в условиях практически всех платёжных систем.


Можно ли не покупать SSL-сертификат

Самый большой недостаток отсутствия сертификата заключается, пожалуй, в том, что доверие технически грамотных юзеров будет меньше. Пользователь, который печётся о безопасности данных своей банковской карты, для совершения покупки скорее предпочтёт магазин с SSL-сертификатом – в таком интернет-магазине личные данные оставлять безопаснее

Что об этом думает Google

В 2014 году представители Google официально заявили, что наличие протокола HTTPS будет положительно сказываться на ранжировании, однако в действительности всё оказалось не так. Этот фактор в ранжировании был учтён лишь в 1% запросов, да и то не являлся основным.

В надежде повышения значимости сертификации для ранжирования вебмастера активно осуществляли перевод сайтов с HTTP на HTTPS, однако в 2017 году Google подтвердил, что вес сайтов с SSL-сертификатами увеличен не будет.

Однако компания решила не обходить HTTPS стороной и проявить лояльность как минимум в собственном браузере. В Google Chrome все сайты без протокола HTTPS, которые занимаются сбором личных данных, помечены небольшим восклицательным знаком, а сайты с SSL-сертификатами — выделены зелёным в адресной строке.

Также в 2018 году было введено обновление, вследствие которого при помощи заметного значка все HTTP-сайты будут заявлены ненадёжными. Хотя нововведение нельзя назвать масштабным, игнорировать его не стоит, ведь браузером от Google пользуется более половины юзеров из Украины и других стран СНГ.

Виды, особенности и отличия SSL-сертификатов

Рассмотрим доступные в 2018 году SSL-сертификаты. Они делятся на подвиды по методу проверки и по сертифицируемым доменам.

Сертификаты по доменам

  • Unified Communications. Такой сертификат обычно используется для всех доменов и/или серверов.
  • Wildcard SSL. Этот сертификат действителен как для основного домена, так и для второстепенных поддоменов (sub1.torgsoft.ua, sub2.torgsoft.ua, sub3.torgsoft.ua и т.д.) и площадок на распределённых серверах.
  • Single Certificate. Такой тип сертификата действителен только для одного домена, указанного при оформлении заказа. При этом поддомены сайта защите не подлежат. К примеру, домен torgsoft.ua будет под защитой, а его поддомены (sub.torgsoft.ua) — нет.


Сертификаты по способу проверки

  • Domain Validation (DV) осуществляет валидацию домена. Этот сертификат с проверкой домена утверждает обслуживающий сервер. Проще говоря, он гарантирует, что юзер будет совершать покупку именно на том сайте, на который он и переходил. При всём этом для проведения коммерческих операций Domain Validation считается надёжным лишь условно, поскольку не содержит достоверных сведений о владельце сайта. Такой сертификат чаще всего идёт в ход на тех площадках, на которых строгая гарантия безопасности не является ключевым фактором.
  • Organization Validation (OV) осуществляет валидацию домена и организации. Такой  сертификат с проверкой компании помимо доменного имени удостоверяет также и организацию, которая владеет указанным веб-сайтом. Подлинность компании проходит проверку сразу по нескольким показателям. При оформлении протокола HTTPS юридическое лицо должно предоставить провайдеру все необходимые регистрационные данные. Следует отметить, что именно OV-сертификаты сейчас являются самыми популярными среди владельцев сайтов.
  • Extended Validation (EV) осуществляет расширенную валидацию домена и организации. Такая серьёзная проверка обеспечивает высокий уровень доверия не только со стороны пользователей, но и других площадок.
  • Extended Validation будет оптимальным выбором для сайтов, которые нуждаются в строгой конфиденциальности. Сюда относятся практически все веб-площадки, работа которых связана с финансовыми транзакциями. Изюминка этого типа сертификатов заключается  в том, что подобная расширенная проверка является не разовой, а периодической. Такой подход позволяет защитить пользователей от подмены данных со стороны недобросовестного владельца сайта.

Все перечисленные протоколы гарантируют качественное шифрование трафика между браузером пользователя и сайтом. К тому же, они включают в себя дополнительные опции:

  • SAN — валидация доменов по установленному при получении сертификата списку (для экономии можно получить валидацию сразу нескольких доменов);
  • WildCard — валидация домена и его поддоменов (для экономии можно получить валидацию сразу нескольких поддоменов).

Как менялась надёжность сертификатов

Когда SSL-сертификаты только начали заполнять просторы интернета, сервисы сертификации осуществляли более серьёзную проверку, куда обязательно была включена и проверка данных компании. Гораздо позже, вследствие коммерческой заинтересованности обеих сторон, появился Domain Validation, который вынудил вендоров создать упрощённую верификацию и выпускать сертификаты с минимальной проверкой. В противовес удобству и простоте такой подход сыграл на руку злоумышленникам. Теперь воры интернета пользуются небольшим доверием к домену сайта и проводят махинации, поскольку браузер не предостерегает юзеров о вероятных проблемах с кражей данных на веб-сайте.

В подобных ситуациях в битву вступает Extended Validation. Наличие такого сертификата говорит о том, что и сайт, и компания прошли глубокую валидацию. Браузер подтверждает эту информацию, размещая Green Bar (зелёный ярлык) непосредственно в левой части адресной строки, поэтому юзерам уже не нужно проводить собственное расследование и проверять подлинность домена или организации-владельца сайта. Примечательно, что такую опцию поддерживают все браузеры и операционные системы.

Как безопасно перейти на HTTPS

При переходе на HTTPS необходимо учесть ряд требований. Владельцу сайта нужно:

  • посоветоваться с seo-подрядчиком для предотвращения потери позиций в поисковой выдаче;
  • заказать выбранный тип SSL-сертификата у хостинг-провайдера или компании-эмитента;
  • установить сертификат на сервер;
  • настроить админку для начала работы с HTTPS;
  • заменить адреса набезопасные HTTPS на всех страницах, на которых используются скрипты, медиа-материалы, счётчики и консультанты (в противном случае, даже при наличии сертификата страницы будут считаться опасными);
  • заменить адрес в технических файлах типа robots.txt и sitemap.xml, а также в 301-редиректах.


Прежде чем получить или купить SSL-сертификат, рекомендуем изучить информацию о центре сертификации и удостовериться в его надёжности и ответственности, а для минимизации риска от перехода нужно строго следовать приведённой выше инструкции.

Платить или не платить?

Получение SSL-сертификата бесплатно
Бесплатно можно получить лишь сертификаты с минимальной проверкой. Такой SSL-сертификат осуществляет проверку только одного домена, таким образом открывая злоумышленникам прямой доступ к сайту. Мошенники с лёгкостью делают копию (двойник) оригинального сайта, оформляют новый, собственный сертификат и позиционируют себя как оригинальный сайт. К тому же, браузер зачастую не считает бесплатные DV качественными сертификатами и всё равно в момент соединения предупреждает юзера об опасности.

Если все же владелец сайта не хочет проходить ряд обязательных операций для получения действительно надёжной защиты, он может заказать бесплатный сертификат у одной из специальных организаций. Такой организацией может являться популярная Let’s Encrypt или же хостинг-провайдер. Мы рекомендуем получать сертификат у провайдеров, поскольку они позволяют заказать и настроить защищённое соединение непосредственно в админ-панели, что займёт у владельца сайта не более 10 минут.

Покупка SSL-сертификата
Конечно же, платные сертификаты гораздо надёжнее своих бесплатных аналогов. В то время как некоммерческому сайту, который занимается лишь сбором логинов и паролей, Domain Validation может хватить, то заботящемуся о своей репутации и надёжности интернет-магазину без тщательной проверки и платного сертификата не обойтись.

В таком случае Organization Validation — необходимый минимум. Купить OV SSL-сертификат можно в сервисе сертификации, например, в этом www.ssl.com.ua/. Для получения такой валидации юридическому лицу нужно отправить в выбранный сервис заверенные нотариусом бумаги.

Крупным организациям-владельцам сайтов с большим количеством поддоменов выгодно и удобно получать Wildcard-сертификаты, наличие которых исключает необходимость докупать отдельный сертификат под каждое направление. Таким образом, Wildcard сэкономит предпринимателю и время, и деньги.

Самым надёжным сертификатом считается Extended Validation с углублённой проверкой, но его чаще всего заказывают только очень серьёзные компании (банки, страховые организации). Объясняется это тем, что для получения сертификата требуется большой пакет документов, а стоимость зависит от страховки и в несколько раз превышает цену Organization Validation.

Как проверить корректность SSL-сертификата

Проверку SSL-сертификата на своём сайте можно осуществить при помощи специализированных сервисов. Посмотреть, корректно ли прошла установка SSL-сертификата на сайте, можно по этой ссылке:
https://www.ssllabs.com/ssltest/analyze.html

Количество зелёных элементов пропорционально надёжности сайта.

Источники:
https://surfingbird.ru/surf/pereezd-sajta-na-https-dostupno-ob-ssl-tls--8XFb6aFD9
https://aevrika.ru/blog/pereezd-sajta-na-https-dostupno-ob-ssl-tls-sertifikatah/
https://www.cossa.ru/trends/220711/
https://www.cossa.ru/trends/220704/

Комментарии
Отзывов нет

Добавить комментарий

Добавить комментарий
Ваш отзыв отправлен. Его опубликуют после проверки администратором