Интернет-дүкен иесі SSL сертификаттары туралы не білуі керек

Сіздің интернет-дүкеніңізде клиенттер сатып алуды асықпай ма? Мүмкін, олар сайтыңыздың қауіпсіздігіне және түпнұсқалығына сенбейді, ал бұған себеп SSL протоколының болмауы, ол пайдаланушы мен сервер арасындағы сенімді байланыс орнатуға арналған.

Техникалық нюанстарға терең бойламас үшін, SSL клиент енгізген ақпаратты, төлем деректерінен бастап парольдерге дейін шифрлайды, содан кейін оны HTTPS протоколы арқылы шифрланған түрде жібереді. Жеке деректерді әлі де ұрлап алуға болады, бірақ оларды дешифрлау әлдеқайда қиын және ұзақ уақыт алады.

Сайт HTTPS арқылы жұмыс істеуі үшін, оның иесі SSL сертификатын алуы қажет.

Неліктен сайт иесіне SSL қажет?

Сайттағы сертификаттың болуы сенімділікті айтарлықтай арттырады, бірақ сам протокол хакерлік немесе вирусқа қарсы шабуылдардан жоғары деңгейде қорғануды қамтамасыз етпейді. Пайдаланушылардың сенімділігіне қосымша, SSL сертификаты тағы бір артықшылықты береді – ол әкімшілік панельге қоғамдық Wi-Fi желісі арқылы кіру кезінде қорғауды қамтамасыз етеді.

Негізінен осы протоколдың мақсатты аудиториясы төлем деректерін жинайтын интернет-дүкендер болып табылады, бірақ ол басқа да ұйымдардың барлығына да пайдалы болады, олар өздеріне жақсы әсер қалдырғысы келеді. Сонымен қатар, қазіргі интернет әлемінде SSL сертификаты жоқ кез келген сайтта авторизация мүмкіндігі болса, бұл жағымсыз болып есептеледі. Сондықтан протоколдың иесі болу кез келген сайт иесі үшін пайдалы болып табылады, әсіресе бұл процессті жылдам және тегін жасауға болатындығын ескере отырып.

Маңызды аспект болып қазіргі заманғы пайдаланушылардың қауіпсіздікке деген ықыласты қарым-қатынасы мен сайттың домендік атауындағы жасыл белгіге назар аударуы болып табылады. SSL сертификатының қарапайым пайдаланушыға қандай пайдасы бар? Сайт иелерінен айырмашылығы, қарапайым пайдаланушылар үшін сертификат өте пайдалы. HTTPS протоколымен қорғалған сайттар мүмкін болатын клиент деректерінің ұрлануына кепілдік береді.

Осы жағдайда тәуекел факторы тек пайдаланушының құрылғысындағы вирустар немесе сайт иесінің сенімсіздігі болуы мүмкін, себебі ол пайдаланушылардың деректерін ұрлауы мүмкін. Сонымен қатар, SSL сертификаты сайттың дұрыстығын көрсетеді, өйткені оның фишингтік аналогтары мен қосымшалары әдетте қарапайым HTTP пайдаланады.
Коммерциялық сайттың иелері сондай-ақ кейбір төлем жүйелері арқылы төлем қосуға тырысқанда сертификаттың сұралатынын ескерулері тиіс, сертификатсыз операциялар жүргізілмейді. Трендтерге сәйкес, бұл талаптар жақында өте кең таралып, барлық төлем жүйелерінің шарттарында көрсетілетін болады.

SSL сертификатын сатып алмасақ болады ма?

Сертификаттың болмауының негізгі кемшілігі мүмкін сол, техникалық тұрғыдан білуі бар пайдаланушылардың сенімі төмен болады. Егер пайдаланушы өзінің банк картасының деректерінің қауіпсіздігіне алаңдаса, ондай пайдаланушы SSL сертификаты бар дүкенді таңдайды, сол интернет-дүкенде жеке деректерді қалдыру қауіпсіз болады.

Google не ойлайды

2014 жылы Google ресми түрде HTTPS протоколының болуы ранжирлеуге оң әсер ететінін айтты, бірақ нақтысында барлығы керісінше болды. Бұл фактор ранжирлеуде тек 1% сұрауларда ғана есепке алынды, және ол негізгі фактор болған жоқ.

HTTPS сертификаттарын жоғары бағалауды күткен вебмастерлер активті түрде сайттарды HTTP-дан HTTPS-ке ауыстыруды бастады, бірақ 2017 жылы Google сертификаты бар сайттардың салмақтарының артпайтынын растады.

Алайда, компания HTTPS-ке құрмет көрсетуге шешім қабылдап, өз браузерінде кем дегенде лояльдылық танытты. Google Chrome браузерінде HTTPS протоколы жоқ барлық сайттар, жеке деректерді жинайтындар, кішігірім таңбамен белгіленеді, ал SSL сертификаттары бар сайттар адрес жолағында жасылмен ерекшеленеді.

2018 жылы жаңарту енгізілді, нәтижесінде барлық HTTP сайттары айқын белгімен сенімсіз деп танылатын болады. Жаңалықтарды ауқымды деп атауға болмайды, бірақ оны елемеуге болмайды, себебі Google браузерін Украина мен ТМД елдерінің жартысынан астам пайдаланушылары қолданады.

SSL сертификаттарының түрлері, ерекшеліктері және айырмашылықтары

2018 жылы қолжетімді SSL сертификаттарын қарастырайық. Олар тексеру әдісі бойынша және сертификатталған домендерге қарай бөліп қарастырылады.

Домендер бойынша сертификаттар

• Unified Communications. Бұл сертификат әдетте барлық домендер мен / немесе серверлер үшін қолданылады.
  
• Wildcard SSL. Бұл сертификат негізгі домен үшін де, қосымша поддомендер үшін де қолданылады (sub1.torgsoft.ua, sub2.torgsoft.ua және т.б.) және бөлінген серверлердегі сайттар үшін де қолданылады.
  
• Single Certificate. Бұл сертификат тек бір домен үшін ғана жарамды, тапсырыс жасаған кезде көрсетілген. Бұл жағдайда сайттың поддомендері қорғауға жатпайды. Мысалы, torgsoft.ua домені қорғалатын болады, ал оның поддомендері (sub.torgsoft.ua) қорғалмайды.

Тексеру әдісі бойынша сертификаттар

• Domain Validation (DV) доменді тексереді. Бұл доменді тексерумен сертификат тексеретін серверді растайды. Басқаша айтқанда, ол пайдаланушының сол сайтқа барып сатып алу жасайтынын қамтамасыз етеді. Бұл жағдайда коммерциялық операциялар үшін Domain Validation тек шартты түрде сенімді деп есептеледі, өйткені ол сайт иесі туралы сенімді деректерді қамтымайды. Мұндай сертификат көбінесе қауіпсіздік кепілдігі маңызды емес сайттарда қолданылады.
  
• Organization Validation (OV) домен мен ұйымды тексереді. Бұл сертификат компанияны тексеруден басқа, домен атының расталатынын да дәлелдейді, ол сайттың иесі болып табылады. Компанияның дұрыстығы бірнеше көрсеткіш бойынша тексеріледі. HTTPS сертификатын рәсімдеу кезінде заңды тұлға барлық қажетті тіркеу деректерін провайдерге ұсынуы тиіс. Ескерту, OV сертификаттары қазіргі уақытта сайт иелерінің арасында ең танымал болып табылады.
  
• Extended Validation (EV) домен мен ұйымды терең тексереді. Мұндай жан-жақты тексеру тек пайдаланушылардың сенімін ғана емес, басқа сайттардың да сенімін арттырады.
  
• Extended Validation сертификаты қатаң құпиялылықты қажет ететін сайттар үшін ең жақсы таңдау болады. Оған қаржылық транзакциялармен байланысты барлық веб-сайттар жатады. Бұл сертификаттың ерекшелігі оның бір реттік емес, үнемі тексерілетіндігі. Бұл тәсіл пайдаланушыларды сайт иесінің деректерді өзгертуінен қорғауға көмектеседі.

Барлық аталған протоколдар трафиктің сапалы шифрлануын қамтамасыз етеді пайдаланушының браузері мен сайт арасында. Олар сонымен қатар қосымша опцияларды қамтиды:

• SAN - домена тексеру тізімін алу кезінде сертификатты алу үшін (қолайлы үшін бірнеше домендерді бірден тексеруге болады);
  
• WildCard - домен мен оның поддомендерін тексеру (қолайлы үшін бірнеше подыдомендерді бірден тексеруге болады).

SSL сертификаттарының сенімділігі уақыты қалай өзгерді?

SSL сертификаттары алғаш рет интернет кеңістігінде пайда болған кезде, сертификаттау қызметтері әлдеқайда қатаң тексеруді жүргізді, оған міндетті түрде компанияның мәліметтерін тексеру кірді. Көп ұзамай, екі тараптың коммерциялық қызығушылығынан кейін, Domain Validation пайда болды, бұл провайдерлерді сертификаттарды минималды тексерумен шығаруға мәжбүр етті. Бұл тәсіл алаяқтар үшін өте тиімді болды. Енді интернет алаяқтары сайттың доменіне деген сенімнің төмендігіне пайдалана отырып, алаяқтық әрекеттер жасайды, себебі браузер пайдаланушыларға сайттағы деректерді ұрлау туралы ескерту жасамайды.

Мұндай жағдайларда Extended Validation өз күшін көрсетеді. Мұндай сертификаттың болуы сайттың да, компанияның да терең тексеруден өткенін білдіреді. Браузер осы ақпаратты растап, жасыл жолағын сол жақта көрсету арқылы пайдаланушыға доменнің немесе ұйымның шын мәнінде кім екенін тексеруге көмектеседі. Бұл әдіс барлық браузерлер мен операциялық жүйелерде қолданылады.

HTTPS-ке қалай құрылғыны қауіпсіз ауыстыруға болады

HTTPS-ке көшу кезінде бірқатар талаптарды ескеру қажет. Сайт иесіне келесілер қажет:

• SEO-мамандармен кеңесіп, іздеу жүйелерінде орын жоғалтуды болдырмау;
• SSL сертификатын хостинг-провайдерден немесе сертификат беруші компаниядан тапсырыс беру;
• сертификатты серверге орнату;
• HTTPS жұмыс істей бастауы үшін админ панельді орнату;
• HTTPS емес адрестерді барлық беттерде ауыстыру, онда скрипттер, медиа-материалдар, есептегіштер және кеңесшілер бар (кері жағдайда сертификат болғанына қарамастан, беттер қауіпсіз болмайды);
• robots.txt және sitemap.xml сияқты техникалық файлдардағы адрестерді ауыстыру, сондай-ақ 301 редиректті орнату.

SSL сертификатын алу немесе сатып алу алдында сертификаттау орталығы туралы ақпаратты зерттеп, оның сенімділігіне және жауапкершілігіне көз жеткізу керек, ал көшу қауіптерін азайту үшін жоғарыда көрсетілген нұсқауларды қатаң орындау қажет.

Төлем жасау керек пе, жоқ па?

SSL сертификатын тегін алу
Тегін тексеру сертификаттарын тек минималды тексерумен алуға болады. Мұндай SSL сертификаты тек бір доменді тексереді, бұл алаяқтарға сайтқа тікелей қолжетімділік береді. Алаяқтар оңай түрде сайттың көшірмесін жасап, жаңа сертификатпен оларды түпнұсқа сайт ретінде көрсетуі мүмкін. Сонымен қатар, браузерлер тегін DV сертификаттарын сапалы деп есептемейді, сондықтан байланыс кезінде пайдаланушыға қауіп туралы ескерту жасайды.

Егер сайт иесі шынайы қорғаныс алу үшін қажетті операцияларды орындағысы келмесе, ол тегін сертификатты арнайы ұйымнан ала алады. Мұндай ұйымдар арасында танымал Let's Encrypt немесе хостинг-провайдер болуы мүмкін. Біз провайдерлерден сертификат алуды ұсынамыз, өйткені олар қорғауды орнатуды админ панельде тікелей ұйымдастыруға мүмкіндік береді, бұл сайт иесіне 10 минуттан аспайтын уақытты алады.

SSL сертификатын сатып алу
Әрине, ақылы сертификаттар тегін аналогтарынан әлдеқайда сенімді. Ал коммерциялық емес сайт үшін, тек логиндер мен парольдер жинаумен айналысатын сайттар үшін Domain Validation жеткілікті болуы мүмкін, бірақ өз беделін және интернет-дүкенінің сенімділігін қамтитындар үшін мұқият тексерусіз және ақылы сертификатсыз болмайды.

Бұл жағдайда Organization Validation — ең аз қажет ететін деңгей. OV SSL сертификатын сертификаттау қызметінен сатып алуға болады, мысалы, www.ssl.com.ua/. Мұндай тексеруді алу үшін заңды тұлға барлық қажетті тіркеу құжаттарын провайдерге ұсынуы керек.

Үлкен ұйымдар үшін, көп поддомендері бар сайттар үшін Wildcard сертификаттарын алу тиімді және ыңғайлы, олардың көмегімен әрбір бағыт үшін жеке сертификат сатып алудың қажеті жоқ. Осылайша, Wildcard кәсіпкерге уақыт пен ақшаны үнемдейді.

Ең сенімді сертификат деп Extended Validation сертификаты саналады, бірақ оны көбінесе тек өте маңызды компаниялар (банктер, сақтандыру ұйымдары) сатып алады. Мұның себебі, сертификатты алу үшін үлкен құжаттар пакеті қажет, ал оның бағасы сақтандырудың мөлшеріне байланысты және Organization Validation бағасынан бірнеше есе жоғары болады.

SSL сертификатының дұрыстығын қалай тексеруге болады

SSL сертификатының дұрыстығын тексеруді арнайы қызметтер арқылы жасауға болады. SSL сертификатының орнатылуын тексеру үшін мына сілтемеге өтуге болады:
https://www.ssllabs.com/ssltest/analyze.html

Жасыл элементтердің саны сайттың сенімділігіне пропорционалды болады.

Дереккөздер:

https://surfingbird.ru/surf/pereezd-sajta-na-https-dostupno-ob-ssl-tls--8XFb6aFD9
https://aevrika.ru/blog/pereezd-sajta-na-https-dostupno-ob-ssl-tls-sertifikatah/
https://www.cossa.ru/trends/220711/
https://www.cossa.ru/trends/220704/