HTTPS для інтернет-магазину: що потрібно захистити
Інтернет-магазин має працювати через HTTPS на всіх сторінках: від каталогу до оформлення замовлення. Для цього потрібен чинний TLS-сертифікат, правильне налаштування вебсервера та автоматичне продовження. Сертифікат захищає дані під час передавання, але не усуває вразливості сайту, не підтверджує добросовісність продавця і не захищає сервер від шкідливого програмного забезпечення.
Короткий алгоритм для власникаПризначте відповідального за домен, хостинг і сертифікат. Увімкніть HTTPS для всього сайту, автоматичне продовження та сповіщення про помилки. Залиште протоколи TLS 1.3 і TLS 1.2. Захистіть облікові записи реєстратора, хостингу, CDN і системи керування сайтом багатофакторною автентифікацією. Передавайте введення реквізитів картки сертифікованому платіжному надавачу. Перевіряйте конфігурацію після кожної зміни сайту.
Що означають SSL, TLS та HTTPS
TLS — протокол, який створює захищене з’єднання між браузером покупця та сервером сайту. Він забезпечує конфіденційність переданих даних, захищає їх від непомітної зміни в дорозі та дає браузеру змогу перевірити, для якого домену видано сертифікат. Саме TLS використовується в HTTPS. Назва «SSL-сертифікат» залишилася в побуті, хоча протоколи SSL 2.0 і SSL 3.0 застаріли та не повинні застосовуватися. Це пояснює актуальна настанова OWASP щодо TLS.
Під час відкриття адреси https:// сервер надсилає браузеру сертифікат із відкритим ключем, доменними іменами, строком дії та даними центру сертифікації. Браузер перевіряє ланцюжок довіри, відповідність домену, строк дії та статус сертифіката. Після цього сторони погоджують ключі сеансу й шифрують обмін.
Що HTTPS захищає
- логіни, паролі, контактні дані та вміст замовлення під час передавання;
- сеансові файли cookie, якщо сайт правильно встановлює для них атрибути
Secure,HttpOnlyіSameSite; - від непомітної підміни сторінки або відповіді сервера в незахищеній мережі;
- зв’язок браузера з доменом, зазначеним у сертифікаті.
Чого HTTPS не захищає
| Ризик | Чому сертифіката недостатньо | Що потрібно додатково |
|---|---|---|
| Фішинговий магазин | Зловмисник може отримати дійсний сертифікат для схожого домену. | Перевірка точної адреси, захист бренду, моніторинг підроблених доменів і повідомлення клієнтів. |
| Злам сайту або системи керування | HTTPS так само зашифровано доставить покупцю шкідливий код, доданий на зламаний сайт. | Оновлення платформи й модулів, контроль змін, мінімальні права, журналювання та резервні копії. |
| Крадіжка пароля адміністратора | TLS захищає передавання пароля, але не допомагає, якщо пароль виманили, повторно використали або викрали з пристрою. | Унікальні паролі, менеджер паролів, багатофакторна автентифікація та окремі облікові записи. |
| Шкідливий код на пристрої покупця чи працівника | Дані можуть бути викрадені до шифрування або після розшифрування. | Оновлення систем, захист кінцевих пристроїв і обмеження прав користувачів. |
| Компрометація платіжної сторінки | Сторонній скрипт може прочитати дані безпосередньо у браузері. | Контроль платіжних скриптів, політика безпеки вмісту, виявлення змін і коректна інтеграція з еквайром. |
Chrome відмовився від замка як загального символу довіри, оскільки HTTPS показує захищений канал, а не надійність власника сторінки. У матеріалі команди Chromium зазначено, що майже всі фішингові сайти також використовують HTTPS; із Chrome 117 замок замінено нейтральним значком налаштувань. Тому працівникам і покупцям потрібно перевіряти точне доменне ім’я, а не шукати «зелений замок». Джерело: An Update on the Lock Icon.
Чому це важливо для українського інтернет-магазину
Інтернет-магазин обробляє ім’я, номер телефону, адресу доставки, історію замовлень та інші відомості, які можуть бути персональними даними. Стаття 24 Закону України «Про захист персональних даних» зобов’язує володільців і розпорядників захищати такі дані від випадкової втрати, незаконної обробки, знищення та доступу. Закон визначає обов’язок захисту, але не встановлює для кожного магазину окремої вимоги купувати саме платний OV- або EV-сертифікат. Джерело: Закон України «Про захист персональних даних».
Український контекст потребує окремої уваги до фішингу. У березні 2026 року CERT-UA зафіксувала розсилання листів нібито від імені самої CERT-UA із закликом завантажити файл, а Держспецзв’язку в червні 2026 року повідомляла про численні кампанії з використанням скомпрометованих облікових записів і прийомів соціальної інженерії. Це підтверджені атаки на українські організації, а не повідомлення про атаку на конкретний магазин або програму. Джерела: повідомлення CERT-UA про UAC-0255 та огляд Держспецзв’язку про фішингові кампанії.
HTTPS не є посвідченням продавцяДійсний сертифікат для домену означає, що з’єднання з цим доменом захищене і центр сертифікації перевірив дані відповідно до типу валідації. Він не підтверджує якість товару, виконання замовлення, фінансовий стан компанії або відсутність шкідливого коду.
Який сертифікат обрати
Рівень перевірки власника
| Тип | Що перевіряє центр сертифікації | Коли доречний |
|---|---|---|
| DV Domain Validation |
Контроль над доменом. Дані про юридичну особу не перевіряються. | Більшість інтернет-магазинів, сайтів і службових піддоменів, особливо коли випуск і продовження автоматизовані. |
| OV Organization Validation |
Контроль над доменом та існування організації за правилами центру сертифікації. | Коли бізнес-процес, контракт або внутрішня політика потребують перевірених відомостей про юридичну особу в сертифікаті. |
| EV Extended Validation |
Розширену перевірку юридичної особи за окремими правилами. | Коли цього прямо вимагає політика організації чи партнера. EV не створює сильнішого шифрування і не дає сучасному магазину «зеленого адресного рядка». |
DV, OV та EV можуть використовувати однакові сучасні алгоритми шифрування. Різниця полягає в процедурі перевірки заявника і відомостях сертифіката. Безкоштовний DV-сертифікат від загальновизнаного центру сертифікації не шифрує слабше через відсутність ціни. Let’s Encrypt видає безкоштовні DV-сертифікати, але не видає OV та EV; приватний ключ створюється й зберігається на стороні власника сайту. Джерело: офіційний FAQ Let’s Encrypt.
Кількість доменів
- Сертифікат для одного імені покриває конкретне доменне ім’я, зазначене в полі SAN.
- Багатодоменний сертифікат містить кілька імен у полі SAN. Назви SAN і UCC часто описують той самий механізм, а не різну силу захисту.
- Wildcard-сертифікат покриває піддомени одного рівня, наприклад
*.example.ua, але зазвичай не покриває самexample.uaбез окремого запису. Один викрадений приватний ключ такого сертифіката створює ризик для всіх охоплених піддоменів. OWASP радить використовувати wildcard лише за обґрунтованої потреби та не ділити його між системами з різними рівнями довіри.
Строк дії та автоматичне продовження
Строки публічних TLS-сертифікатів скорочуються. За чинними базовими вимогами CA/Browser Forum сертифікати, видані з 15 березня 2026 року до 15 березня 2027 року, не можуть діяти довше 200 днів. З 15 березня 2027 року межа становитиме 100 днів, а з 15 березня 2029 року — 47 днів. Джерело: CA/Browser Forum TLS Baseline Requirements 2.2.2.
| Дата видачі | Максимальний строк | Практичний висновок |
|---|---|---|
| 15.03.2026–14.03.2027 | 200 днів | Ручне продовження вже створює значний ризик простою. |
| 15.03.2027–14.03.2029 | 100 днів | Потрібні автоматичний випуск, встановлення та перевірка. |
| З 15.03.2029 | 47 днів | Керування сертифікатами має бути повністю автоматизованим. |
Станом на липень 2026 року стандартні сертифікати Let’s Encrypt діють 90 днів, а окремий профіль дає змогу використовувати коротші сертифікати. Власник має контролювати не календарну дату купівлі, а роботу автоматичного клієнта ACME, успішне встановлення нового сертифіката та перезапуск або перечитування конфігурації вебсервера.
Основні сценарії атак і збоїв
| Сценарій | Що бачить працівник або покупець | Наслідок | Перша дія і відповідальний |
|---|---|---|---|
| Перехоплення HTTP або зниження з HTTPS до HTTP | Адреса починається з http://, браузер показує незахищене з’єднання або частина сторінки завантажується без захисту. |
Перехоплення чи зміна логіна, cookie, контактних даних і замовлення в дорозі. | Адміністратор переводить увесь сайт на HTTPS, налаштовує постійне перенаправлення та після перевірки вмикає HSTS. |
| Фішинговий сайт зі схожим доменом і чинним DV-сертифікатом | Сторінка схожа на магазин, HTTPS працює, але домен відрізняється символом, словом або доменною зоною. | Крадіжка паролів, платіжних даних або коштів. | Працівник фіксує URL і знімки екрана; власник повідомляє реєстратора, хостинг, платіжного партнера та Кіберполіцію. |
| Прострочений сертифікат, неправильне доменне ім’я або неповний ланцюжок | Браузер блокує сторінку попередженням про приватність чи недійсний сертифікат. | Покупці не можуть відкрити сайт або завершити оплату. | Адміністратор не радить обходити попередження, перевіряє випуск, SAN, повний ланцюжок і розгортання сертифіката. |
| Викрадення приватного ключа | Видимих ознак може не бути. | Зловмисник може використовувати ключ для видавання себе за сервер у сценаріях, де він контролює маршрут, DNS або інфраструктуру. | Адміністратор відкликає сертифікат, створює нову пару ключів на чистій системі та розслідує спосіб компрометації. |
| Злам домену, DNS, CDN або хостингу | Сайт може виглядати звично або вести на інший сервер; чинний сертифікат іноді також буде присутній. | Підміна сайту, пошти, платіжних реквізитів і перехоплення замовлень. | Власник блокує скомпрометований обліковий запис, залучає реєстратора й хостинг; адміністратор відновлює перевірені DNS-записи та змінює ключі доступу. |
| Зламаний модуль або сторонній JavaScript | Сайт відкривається через HTTPS без попереджень; покупець може побачити зайве поле, іншу платіжну форму або нічого підозрілого. | Вебскімінг: викрадення даних із форми у браузері до надсилання платіжному надавачу. | Адміністратор відключає скомпрометований компонент, зберігає докази, перевіряє зміни; власник сповіщає еквайра та виконує план реагування. |
Як правильно налаштувати HTTPS
- Складіть перелік імен. Додайте основний домен, варіант із
www, платіжні та службові піддомени, якщо вони справді використовуються. Не купуйте wildcard лише для зручності. - Випускайте сертифікат на сервері або через керовану платформу. Приватний ключ не слід передавати в месенджерах, поштою чи зберігати у спільній папці.
- Автоматизуйте повний цикл. ACME-клієнт має отримати новий сертифікат, встановити його, перечитати конфігурацію сервера й повідомити про помилку. Окремий зовнішній моніторинг повинен перевіряти фактичний сертифікат, який бачить покупець.
- Залиште сучасні протоколи. OWASP рекомендує використовувати за замовчуванням
TLS 1.3і підтримуватиTLS 1.2для сумісності.TLS 1.0,TLS 1.1, SSL 2.0 та SSL 3.0 потрібно вимкнути. Станом на липень 2026 року чинною опублікованою настановою NIST залишається SP 800-52 Rev. 2; NIST уже розпочав її перегляд у 2026 році. - Перенаправте HTTP на HTTPS. Використовуйте постійний серверний редирект
301або308. Укажіть HTTPS-адреси вcanonical, карті сайту таhreflang. Google віддає перевагу коректним HTTPS-сторінкам як канонічним, але HTTPS сам по собі не гарантує позицій у пошуку. Джерело: рекомендації Google щодо канонічних URL. - Приберіть змішаний вміст. Зображення, шрифти, стилі, скрипти, форми та запити API мають завантажуватися через HTTPS. Активний HTTP-вміст браузер може заблокувати, а його підміна дає змогу виконати сторонній код.
- Увімкніть HSTS після перевірки. Заголовок
Strict-Transport-Securityнаказує браузеру надалі використовувати HTTPS. Спочатку перевірте всі піддомени й почніть із малогоmax-age; помилкова конфігурація HSTS може зробити сайт недоступним. Настанови щодо перенаправлень, HSTS і захищених cookie наведені в посібнику web.dev з увімкнення HTTPS. - Захистіть панелі керування. Для реєстратора, DNS, CDN, хостингу, системи керування сайтом і пошти використовуйте окремі облікові записи, багатофакторну автентифікацію та мінімально потрібні права. Видаліть доступ звільнених працівників і колишніх підрядників.
- Контролюйте випуск сертифікатів. Журнали Certificate Transparency дають змогу побачити сертифікати, видані для ваших доменів, і виявити неочікуваний випуск. Принцип роботи моніторів описано на Certificate Transparency.
HTTPS і приймання платежів
Якщо магазин перенаправляє покупця на сторінку банку, еквайра або іншого платіжного надавача, TLS-з’єднання магазину захищає шлях лише до моменту переходу. Платіжна сторінка повинна мати власний чинний сертифікат, а адресу потрібно звіряти з документацією надавача. Магазин не повинен самостійно додавати поля для картки, зберігати CVV або передавати реквізити через власну базу, якщо така архітектура не погоджена з еквайром і не відповідає застосовним вимогам PCI DSS.
Національний банк України окремо попереджає про шахрайство під час онлайн-платежів і фальшиві інтернет-магазини. Для покупця це означає, що наявність HTTPS потрібно оцінювати разом із точною адресою сайту, способом оплати та перевіркою продавця. Практичні матеріали зібрані на офіційному ресурсі НБУ «ШахрайГудбай».
Чинною версією стандарту є PCI DSS 4.0.1. Вимоги до безпеки платіжних сторінок, що набрали чинності 31 березня 2025 року, зосереджені на авторизації скриптів, перевірці їхньої цілісності та виявленні несанкціонованих змін. Вони протидіють вебскімінгу, коли код у браузері копіює реквізити з форми. Джерело: PCI SSC: Payment Page Security and Preventing E-Skimming.
Редирект та вбудована форма мають різний ризикДля магазину, який повністю перенаправляє покупця на сайт платіжного надавача, обсяг контролів зазвичай менший, ніж для сторінки з вбудованою платіжною формою. Остаточну сферу PCI DSS і форму підтвердження відповідності визначають разом з еквайром або платіжним брендом. Роз’яснення щодо критеріїв SAQ A опублікував PCI Security Standards Council.
Що робити, якщо браузер показує помилку сертифіката
- Не просіть покупців обходити попередження. Тимчасово припиніть рекламний трафік і платежі, якщо безпечний шлях оформлення замовлення недоступний.
- Зафіксуйте помилку. Збережіть точний час, домен, текст помилки, знімок екрана, дані зовнішнього моніторингу та останні зміни на хостингу.
- Перевірте причину. Типові варіанти: строк дії минув; сертифікат випущено не для того імені; сервер віддає старий сертифікат; відсутній проміжний сертифікат; неправильний час на сервері; CDN і основний сервер мають різні конфігурації; автоматичне продовження виконалося, але вебсервер не перечитав новий файл.
- Виправте конфігурацію. Перевипустіть сертифікат за потреби, встановіть повний ланцюжок і перевірте кожен публічний домен з різних мереж.
- Перевірте оформлення замовлення. Пройдіть каталог, авторизацію, кошик, редирект до платіжного надавача, повернення після оплати, повідомлення та інтеграційні запити.
- Знайдіть організаційну причину. Виправте автоматизацію, додайте зовнішнє сповіщення, документуйте власника процесу й резервний контакт.
Що робити при компрометації ключа або вебсервера
- Обмежте доступ до ураженого вузла. Не видаляйте файли й журнали та не перевстановлюйте систему до фіксації доказів, якщо це не потрібно для припинення поточної шкоди.
- Збережіть докази. Зробіть знімок системи або диска, експортуйте журнали вебсервера, CDN, системи керування сайтом, DNS, панелі хостингу та автентифікації. Зафіксуйте час у єдиному часовому поясі.
- Відкличте сертифікат. Створіть новий приватний ключ на перевіреній системі й отримайте новий сертифікат. Просте продовження зі старим ключем не усуває компрометацію.
- Змініть пов’язані секрети. Змініть паролі й сеанси адміністраторів, ключі API, доступ до бази, SSH, панелі хостингу, CDN, реєстратора, DNS, пошти та репозиторію. Починайте з чистого пристрою.
- Перевірте сайт. Знайдіть нових адміністраторів, змінені файли, сторонні скрипти, планувальники завдань, вебоболонки, правила перенаправлення, змінені платіжні реквізити та неочікувані сертифікати в журналах CT.
- Відновлюйте лише з перевіреної копії. Копія має бути створена до проникнення та пройти перевірку на окремому середовищі. Після відновлення встановіть оновлення, усуньте початкову причину й лише потім повертайте сайт у роботу.
- Повідомте сторони, яких це стосується. Залучіть хостинг, розробника, еквайра, відповідального за персональні дані та юриста. Про кіберінцидент можна повідомити CERT-UA; про ознаки кримінального правопорушення або шахрайства — через систему електронних звернень Кіберполіції.
Чого не можна робитиНе ігноруйте попередження браузера. Не надсилайте приватний ключ у чат. Не випускайте новий сертифікат зі скомпрометованим ключем. Не очищуйте журнали до розслідування. Не відновлюйте сайт поверх ураженої системи. Не підключайте резервну копію до неперевіреного сервера.
Резервні копії та відновлення
Сертифікат не є резервною копією сайту. Для відновлення потрібні перевірені копії коду, бази даних, завантажених файлів, конфігурації вебсервера, DNS-записів, правил CDN, налаштувань інтеграцій і документованого процесу випуску сертифіката. Приватний ключ не варто без потреби розмножувати: у багатьох конфігураціях безпечніше створити новий ключ і перевипустити сертифікат.
Зберігайте щонайменше одну копію окремо від робочого сервера та його постійно доступних облікових записів. Регулярно перевіряйте цілісність копій і виконуйте тестове відновлення в ізольованому середовищі. CISA рекомендує підтримувати автономні зашифровані копії критичних даних і регулярно перевіряти їхню доступність та цілісність у сценарії аварійного відновлення. Джерело: CISA StopRansomware Guide.
HTTPS, Торгсофт і Windows-сервер магазину
TLS-сертифікат інтернет-магазину захищає вебз’єднання з відповідним доменом. Він не захищає локальний сервер або основний комп’ютер із Торгсофт, касові комп’ютери, мережеві папки та резервні копії. Ці системи потребують окремого захисту.
- сервер або основний комп’ютер із Торгсофт бажано використовувати лише для роботи програми та бази;
- на ньому не варто читати пошту, відкривати месенджери, завантажувати випадкові файли, переглядати сторонні сайти й установлювати непотрібні програми;
- прямий RDP-доступ із загальнодоступного інтернету відкривати не можна;
- віддалений доступ потрібно надавати контрольовано: через VPN або інший захищений шлюз, за окремими обліковими записами, з журналюванням і багатофакторною автентифікацією, якщо її підтримує вибране рішення;
- працівники повинні працювати без постійних прав адміністратора;
- копія на тому самому сервері або постійно підключеному диску може бути пошкоджена чи зашифрована разом з основними даними;
- для відновлення потрібна справна копія, створена до проникнення та перевірена тестовим розгортанням.
Техпідтримка Торгсофт може допомогти встановити програму та розгорнути придатну базу даних. Вона не є службою розшифрування заражених файлів і не може відновити комерційну інформацію, якщо справної резервної копії немає. Вебсертифікат інтернет-магазину, захист Windows-сервера та резервне копіювання потрібно розглядати як окремі процеси з визначеними відповідальними.
Хто за що відповідає
| Роль | Обов’язки | Що перевіряє власник |
|---|---|---|
| Власник бізнесу | Призначає відповідальних, затверджує платіжну схему, строки відновлення, бюджет і порядок реагування. | Є перелік активів, контакти підрядників, резервний доступ і звіт про останню перевірку. |
| Системний адміністратор або хостинг | Налаштовує TLS, автоматичне продовження, HSTS, моніторинг, журнали, резервні копії та відновлення. | Сертифікат продовжується без ручної дії; сповіщення надходять щонайменше двом людям. |
| Розробник сайту | Прибирає змішаний вміст, захищає cookie, мінімізує скрипти, оновлює платформу й контролює зміни платіжної сторінки. | Є перелік модулів і скриптів, історія змін та план усунення вразливостей. |
| Платіжний надавач та еквайр | Надає документовану інтеграцію, вимоги PCI DSS, адреси платіжних сторінок і порядок реагування. | Інтеграція відповідає чинній документації; магазин не збирає зайві реквізити картки. |
| Працівник магазину | Не обходить попередження браузера, перевіряє домен, не передає ключі й паролі, негайно повідомляє про підозрілі зміни. | Працівник знає, кому й через який канал повідомляти про інцидент. |
| Зовнішній підрядник | Працює через персональний обліковий запис, у погоджений час і в межах виданих прав; після завершення робіт доступ скасовують. | Немає спільних або безстрокових облікових записів підрядників. |
Практичний чекліст
- усі сторінки, форми, зображення, скрипти й API працюють через HTTPS;
- HTTP постійно перенаправляється на HTTPS без проміжних переходів назад;
- сертифікат охоплює всі потрібні доменні імена й віддається з повним ланцюжком;
- увімкнено
TLS 1.3іTLS 1.2; старі версії SSL/TLS вимкнено; - автоматичне продовження проходить повністю, включно із застосуванням нового сертифіката;
- зовнішній моніторинг перевіряє строк дії, доступність HTTPS і зміну сертифіката;
- HSTS увімкнено після перевірки всіх піддоменів;
- облікові записи реєстратора, DNS, CDN, хостингу, пошти й системи керування сайтом захищено багатофакторною автентифікацією;
- доступи колишніх працівників і підрядників видалено;
- є перелік сторонніх скриптів, а платіжні сторінки контролюються на несанкціоновані зміни;
- магазин не зберігає реквізити картки поза погодженою з еквайром архітектурою;
- резервні копії відокремлено від робочого сервера й перевірено тестовим відновленням;
- визначено основного та резервного відповідальних за домен, хостинг, сертифікат і реагування;
- після кожної зміни хостингу, CDN, DNS, платіжної інтеграції або вебсервера виконується повторна перевірка TLS.
Для зовнішньої перевірки конфігурації можна використовувати Qualys SSL Labs Server Test. OWASP також рекомендує перевіряти конфігурацію після посилення налаштувань і наводить перелік онлайн- та локальних інструментів у TLS Cheat Sheet. Автоматичний тест не замінює перевірку кошика, авторизації, платіжного переходу, API та відновлення з резервної копії.
Основні джерела
- CA/Browser Forum. Baseline Requirements for Publicly-Trusted TLS Server Certificates, version 2.2.2.
- OWASP Transport Layer Security Cheat Sheet.
- NIST SP 800-52 Rev. 2. Guidelines for TLS Implementations.
- Let’s Encrypt FAQ: типи, строк дії та керування сертифікатами.
- Chromium Blog. An Update on the Lock Icon.
- Google Search Central. Canonical URLs and HTTPS.
- PCI Security Standards Council. Payment Page Security and Preventing E-Skimming.
- Національний банк України. «ШахрайГудбай»: безпека онлайн-платежів.
- Закон України «Про захист персональних даних».
- CERT-UA. Кібератака UAC-0255, березень 2026 року.
- CISA StopRansomware Guide: резервні копії та відновлення.

Повернутися до попереднього кроку