Интернет-дүкенге арналған HTTPS: нені қорғау керек
Интернет-дүкен барлық беттерде HTTPS арқылы жұмыс істеуі керек: каталогтан бастап тапсырысты рәсімдеуге дейін. Бұл үшін жарамды TLS-сертификаты, веб-серверді дұрыс баптау және автоматты түрде ұзарту қажет. Сертификат деректерді тасымалдау кезінде қорғайды, бірақ сайттың осалдықтарын жоймайды, сатушының адалдығын растамайды және серверді зиянды бағдарламалардан қорғамайды.
Иесіне арналған қысқаша алгоритмДоменге, хостингке және сертификатқа жауапты адамды тағайындаңыз. Бүкіл сайт үшін HTTPS-ті, автоматты түрде ұзартуды және қателер туралы хабарламаларды қосыңыз. TLS 1.3 және TLS 1.2 хаттамаларын қалдырыңыз. Тіркеуші, хостинг, CDN және CMS тіркелгілерін көп факторлы аутентификациямен қорғаңыз. Карта деректемелерін енгізуді сертификатталған төлем провайдеріне тапсырыңыз. Сайттағы әрбір өзгерістен кейін конфигурацияны тексеріңіз.
SSL, TLS және HTTPS нені білдіреді
TLS — сатып алушының браузері мен сайт сервері арасында қауіпсіз байланыс жасайтын хаттама. Ол тасымалданатын деректердің құпиялылығын қамтамасыз етеді, оларды жолда білдіртпей өзгертуден қорғайды және браузерге сертификаттың қай домен үшін берілгенін тексеруге мүмкіндік береді. HTTPS-те дәл осы TLS қолданылады. «SSL-сертификаты» атауы күнделікті өмірде сақталды, дегенмен SSL 2.0 және SSL 3.0 хаттамалары ескірген және оларды қолданбау керек. Бұл туралы TLS бойынша OWASP-тың өзекті нұсқаулығында түсіндіріледі.
https:// мекенжайын ашқан кезде сервер браузерге ашық кілті, домендік атаулары, жарамдылық мерзімі және сертификаттау орталығының деректері бар сертификат жібереді. Браузер сенім тізбегін, доменнің сәйкестігін, жарамдылық мерзімін және сертификаттың күйін тексереді. Осыдан кейін тараптар сеанс кілттерін келісіп, алмасуды шифрлайды.
HTTPS нені қорғайды
- логиндерді, құпия сөздерді, байланыс деректерін және тапсырыс мазмұнын тасымалдау кезінде;
- сеанстық cookie файлдарын, егер сайт олар үшін
Secure,HttpOnlyжәнеSameSiteатрибуттарын дұрыс орнатса; - қорғалмаған желіде бетті немесе сервердің жауабын білдіртпей ауыстырудан;
- браузердің сертификатта көрсетілген доменмен байланысын.
HTTPS нені қорғамайды
| Тәуекел | Неге сертификат жеткіліксіз | Қосымша не қажет |
|---|---|---|
| Фишингтік дүкен | Қаскөй ұқсас домен үшін жарамды сертификат ала алады. | Дәл мекенжайды тексеру, брендті қорғау, жалған домендерді бақылау және тұтынушыларды хабардар ету. |
| Сайтты немесе CMS-ті бұзу | HTTPS бұзылған сайтқа қосылған зиянды кодты сатып алушыға дәл солай қауіпсіз жеткізеді. | Платформа мен модульдерді жаңарту, өзгерістерді бақылау, минималды құқықтар, журнал жүргізу және резервтік көшірмелер. |
| Әкімшінің құпия сөзін ұрлау | TLS құпия сөзді тасымалдауды қорғайды, бірақ құпия сөз алдау арқылы алынған, қайта пайдаланылған немесе құрылғыдан ұрланған болса көмектеспейді. | Бірегей құпия сөздер, құпия сөздер менеджері, көп факторлы аутентификация және бөлек тіркелгілер. |
| Сатып алушының немесе қызметкердің құрылғысындағы зиянды код | Деректерді шифрлауға дейін немесе шифрды ашқаннан кейін ұрлап кетуі мүмкін. | Жүйелерді жаңарту, соңғы құрылғыларды қорғау және пайдаланушы құқықтарын шектеу. |
| Төлем бетін бұзу | Бөгде скрипт деректерді тікелей браузерде оқи алады. | Төлем скрипттерін бақылау, мазмұн қауіпсіздігі саясаты, өзгерістерді анықтау және эквайермен дұрыс интеграциялау. |
Chrome құлыпты жалпы сенім белгісі ретінде пайдаланудан бас тартты, өйткені HTTPS бет иесінің сенімділігін емес, қорғалған арнаны көрсетеді. Chromium командасының материалында барлық фишингтік сайттардың дерлік HTTPS-ті пайдаланатыны атап өтілген; Chrome 117 нұсқасынан бастап құлып бейтарап параметрлер белгішесімен ауыстырылды. Сондықтан қызметкерлер мен сатып алушылар «жасыл құлыпты» іздемей, дәл домендік атауды тексеруі керек. Дереккөз: An Update on the Lock Icon.
Бұл украиндық интернет-дүкен үшін неге маңызды
Интернет-дүкен аты-жөнді, телефон нөмірін, жеткізу мекенжайын, тапсырыстар тарихын және дербес деректер болып табылуы мүмкін басқа да ақпаратты өңдейді. Украинаның «Дербес деректерді қорғау туралы» Заңының 24-бабы иелері мен өкім етушілерін мұндай деректерді кездейсоқ жоғалтудан, заңсыз өңдеуден, жоюдан және қол жеткізуден қорғауға міндеттейді. Заң қорғау міндетін белгілейді, бірақ әрбір дүкенге ақылы OV немесе EV-сертификатын сатып алу туралы бөлек талап қоймайды. Дереккөз: Украинаның «Дербес деректерді қорғау туралы» Заңы.
Украиналық контекст фишингке ерекше назар аударуды талап етеді. 2026 жылғы наурызда CERT-UA файлды жүктеп алуға шақыратын CERT-UA атынан жіберілген хаттарды тіркеді, ал Мемлекеттік арнайы байланыс қызметі 2026 жылғы маусымда бұзылған тіркелгілер мен әлеуметтік инженерия тәсілдерін қолданатын көптеген науқандар туралы хабарлады. Бұл нақты бір дүкенге немесе бағдарламаға жасалған шабуыл туралы хабарламалар емес, украиналық ұйымдарға жасалған расталған шабуылдар. Дереккөздер: CERT-UA-ның UAC-0255 туралы хабарламасы және Мемлекеттік арнайы байланыс қызметінің фишингтік науқандар туралы шолуы.
HTTPS сатушының куәлігі емесДомен үшін жарамды сертификат осы доменмен байланыстың қорғалғанын және сертификаттау орталығының деректерді тексеру түріне сәйкес тексергенін білдіреді. Ол тауардың сапасын, тапсырыстың орындалуын, компанияның қаржылық жағдайын немесе зиянды кодтың жоқтығын растамайды.
Қандай сертификатты таңдау керек
Иесін тексеру деңгейі
| Түрі | Сертификаттау орталығы нені тексереді | Қашан орынды |
|---|---|---|
| DV Domain Validation |
Доменді бақылау. Заңды тұлға туралы деректер тексерілмейді. | Көптеген интернет-дүкендер, сайттар және қызметтік қосалқы домендер үшін, әсіресе шығару және ұзарту автоматтандырылған кезде. |
| OV Organization Validation |
Доменді бақылау және сертификаттау орталығының ережелеріне сәйкес ұйымның бар екендігі. | Бизнес-процесс, келісімшарт немесе ішкі саясат сертификатта заңды тұлға туралы тексерілген мәліметтерді талап еткен кезде. |
| EV Extended Validation |
Бөлек ережелер бойынша заңды тұлғаны кеңейтілген тексеру. | Ұйымның немесе серіктестің саясаты мұны тікелей талап еткен кезде. EV күштірек шифрлауды жасамайды және заманауи дүкенге «жасыл мекенжай жолағын» бермейді. |
DV, OV және EV бірдей заманауи шифрлау алгоритмдерін пайдалана алады. Айырмашылық өтініш берушіні тексеру рәсімінде және сертификат мәліметтерінде. Жалпыға танылған сертификаттау орталығынан алынған тегін DV-сертификаты бағаның жоқтығына байланысты нашар шифрламайды. Let’s Encrypt тегін DV-сертификаттарын береді, бірақ OV және EV бермейді; жеке кілт сайт иесінің жағында жасалады және сақталады. Дереккөз: Let’s Encrypt ресми FAQ.
Домендер саны
- Бір атауға арналған сертификат SAN өрісінде көрсетілген нақты домендік атауды қамтиды.
- Көп доменді сертификат SAN өрісінде бірнеше атауды қамтиды. SAN және UCC атаулары көбінесе әртүрлі қорғаныс күшін емес, бірдей механизмді сипаттайды.
- Wildcard-сертификаты
*.example.uaсияқты бірінші деңгейдегі қосалқы домендерді қамтиды, бірақ әдетте бөлек жазбасызexample.ua-ның өзін қамтымайды. Мұндай сертификаттың бір ұрланған жеке кілті барлық қамтылған қосалқы домендер үшін қауіп тудырады. OWASP wildcard-ты тек негізделген қажеттілік болған кезде ғана пайдалануға және оны сенімділік деңгейі әртүрлі жүйелер арасында бөліспеуге кеңес береді.
Жарамдылық мерзімі және автоматты түрде ұзарту
Жалпыға қолжетімді TLS-сертификаттарының мерзімдері қысқаруда. CA/Browser Forum-ның қолданыстағы базалық талаптарына сәйкес, 2026 жылғы 15 наурыздан 2027 жылғы 15 наурызға дейін берілген сертификаттар 200 күннен артық жарамды бола алмайды. 2027 жылғы 15 наурыздан бастап шектеу 100 күнді, ал 2029 жылғы 15 наурыздан бастап — 47 күнді құрайды. Дереккөз: CA/Browser Forum TLS Baseline Requirements 2.2.2.
| Берілген күні | Максималды мерзімі | Практикалық қорытынды |
|---|---|---|
| 15.03.2026–14.03.2027 | 200 күн | Қолмен ұзарту қазірдің өзінде тоқтап қалу қаупін тудырады. |
| 15.03.2027–14.03.2029 | 100 күн | Автоматты түрде шығару, орнату және тексеру қажет. |
| 15.03.2029 бастап | 47 күн | Сертификаттарды басқару толығымен автоматтандырылған болуы керек. |
2026 жылғы шілдедегі жағдай бойынша Let’s Encrypt стандартты сертификаттары 90 күн бойы жарамды, ал бөлек профиль қысқарақ сертификаттарды пайдалануға мүмкіндік береді. Иесі күнтізбелік сатып алу күнін емес, автоматты ACME клиентінің жұмысын, жаңа сертификаттың сәтті орнатылуын және веб-сервер конфигурациясының қайта іске қосылуын немесе қайта оқылуын бақылауы керек.
Шабуылдар мен іркілістердің негізгі сценарийлері
| Сценарий | Қызметкер немесе сатып алушы нені көреді | Салдары | Бірінші әрекет және жауапты тұлға |
|---|---|---|---|
| HTTP-ті ұстап қалу немесе HTTPS-тен HTTP-ге төмендету | Мекенжай http://-дан басталады, браузер қорғалмаған байланысты көрсетеді немесе беттің бір бөлігі қорғаныссыз жүктеледі. |
Логинді, cookie-ді, байланыс деректерін және тапсырысты жолда ұстап қалу немесе өзгерту. | Әкімші бүкіл сайтты HTTPS-ке ауыстырады, тұрақты қайта бағыттауды орнатады және тексергеннен кейін HSTS-ті қосады. |
| Ұқсас домені және жарамды DV-сертификаты бар фишингтік сайт | Бет дүкенге ұқсайды, HTTPS жұмыс істейді, бірақ домен бір таңбаға, сөзге немесе домендік аймаққа ерекшеленеді. | Құпия сөздерді, төлем деректерін немесе қаражатты ұрлау. | Қызметкер URL-ді және скриншоттарды тіркейді; иесі тіркеушіге, хостингке, төлем серіктесіне және Киберполицияға хабарлайды. |
| Мерзімі өткен сертификат, қате домендік атау немесе толық емес тізбек | Браузер құпиялылық туралы немесе жарамсыз сертификат туралы ескертумен бетті бұғаттайды. | Сатып алушылар сайтты аша алмайды немесе төлемді аяқтай алмайды. | Әкімші ескертуді айналып өтпеуге кеңес береді, шығарылуын, SAN-ды, толық тізбекті және сертификаттың қолданылуын тексереді. |
| Жеке кілтті ұрлау | Көрінетін белгілер болмауы мүмкін. | Қаскөй бағытты, DNS немесе инфрақұрылымды басқаратын сценарийлерде кілтті өзін сервер ретінде көрсету үшін пайдалана алады. | Әкімші сертификатты қайтарып алады, таза жүйеде жаңа кілттер жұбын жасайды және бұзылу әдісін зерттейді. |
| Доменді, DNS, CDN немесе хостингті бұзу | Сайт әдеттегідей көрінуі немесе басқа серверге апаруы мүмкін; кейде жарамды сертификат та болады. | Сайтты, поштаны, төлем деректемелерін ауыстыру және тапсырыстарды ұстап қалу. | Иесі бұзылған тіркелгіні бұғаттайды, тіркеуші мен хостингті тартады; әкімші тексерілген DNS жазбаларын қалпына келтіреді және кіру кілттерін өзгертеді. |
| Бұзылған модуль немесе бөгде JavaScript | Сайт ескертулерсіз HTTPS арқылы ашылады; сатып алушы артық өрісті, басқа төлем формасын немесе ешқандай күдікті нәрсені көрмеуі мүмкін. | Веб-скимминг: төлем провайдеріне жібермес бұрын браузердегі формадан деректерді ұрлау. | Әкімші бұзылған компонентті ажыратады, дәлелдемелерді сақтайды, өзгерістерді тексереді; иесі эквайерге хабарлайды және әрекет ету жоспарын орындайды. |
HTTPS-ті қалай дұрыс баптау керек
- Атаулар тізімін жасаңыз. Негізгі доменді,
wwwбар нұсқасын, төлем және қызметтік қосалқы домендерді (егер олар шынымен қолданылса) қосыңыз. Ыңғайлылық үшін ғана wildcard сатып алмаңыз. - Сертификатты серверде немесе басқарылатын платформа арқылы шығарыңыз. Жеке кілтті мессенджерлерде, пошта арқылы жіберуге немесе ортақ қалтада сақтауға болмайды.
- Толық циклді автоматтандырыңыз. ACME-клиент жаңа сертификат алып, оны орнатып, сервер конфигурациясын қайта оқып, қате туралы хабарлауы керек. Бөлек сыртқы мониторинг сатып алушы көретін нақты сертификатты тексеруі керек.
- Заманауи хаттамаларды қалдырыңыз. OWASP әдепкі бойынша
TLS 1.3пайдалануды және үйлесімділік үшінTLS 1.2қолдауды ұсынады.TLS 1.0,TLS 1.1, SSL 2.0 және SSL 3.0 өшірілуі керек. 2026 жылғы шілдедегі жағдай бойынша NIST-тің жарияланған қолданыстағы нұсқаулығы SP 800-52 Rev. 2 болып қалады; NIST оны 2026 жылы қайта қарай бастады. - HTTP-ті HTTPS-ке қайта бағыттаңыз.
301немесе308тұрақты серверлік қайта бағыттауды пайдаланыңыз. HTTPS-мекенжайлардыcanonical, сайт картасында жәнеhreflangішінде көрсетіңіз. Google дұрыс HTTPS-беттерді канондық ретінде қалайды, бірақ HTTPS-тің өзі іздеудегі позицияларға кепілдік бермейді. Дереккөз: Канондық URL мекенжайлар бойынша Google ұсыныстары. - Аралас мазмұнды алып тастаңыз. Суреттер, қаріптер, стильдер, скрипттер, формалар және API сұраулары HTTPS арқылы жүктелуі керек. Белсенді HTTP-мазмұнды браузер бұғаттауы мүмкін, ал оны ауыстыру бөгде кодты орындауға мүмкіндік береді.
- Тексергеннен кейін HSTS қосыңыз.
Strict-Transport-Securityтақырыбы браузерге бұдан былай HTTPS-ті пайдалануды бұйырады. Алдымен барлық қосалқы домендерді тексеріп, кішігірімmax-ageмәнінен бастаңыз; қате HSTS конфигурациясы сайтты қолжетімсіз етуі мүмкін. Қайта бағыттаулар, HSTS және қорғалған cookie файлдары бойынша нұсқаулар HTTPS-ті қосу бойынша web.dev нұсқаулығында келтірілген. - Басқару панельдерін қорғаңыз. Тіркеуші, DNS, CDN, хостинг, CMS және пошта үшін бөлек тіркелгілерді, көп факторлы аутентификацияны және ең қажетті минималды құқықтарды пайдаланыңыз. Жұмыстан шығарылған қызметкерлер мен бұрынғы мердігерлердің рұқсаттарын өшіріңіз.
- Сертификаттардың шығарылуын бақылаңыз. Certificate Transparency журналдары домендеріңіз үшін берілген сертификаттарды көруге және күтпеген шығарылымды анықтауға мүмкіндік береді. Мониторлардың жұмыс істеу принципі Certificate Transparency сайтында сипатталған.
HTTPS және төлемдерді қабылдау
Егер дүкен сатып алушыны банктің, эквайердің немесе басқа төлем провайдерінің бетіне қайта бағыттаса, дүкеннің TLS байланысы жолды тек өту сәтіне дейін ғана қорғайды. Төлем бетінде өзінің жарамды сертификаты болуы керек, ал мекенжайды провайдердің құжаттамасымен тексеру қажет. Дүкен өз бетінше карта үшін өрістер қоспауы, CVV сақтамауы немесе деректемелерді өз базасы арқылы тасымалдамауы керек, егер мұндай архитектура эквайермен келісілмеген болса және қолданыстағы PCI DSS талаптарына сәйкес келмесе.
Украинаның Ұлттық банкі онлайн-төлемдер кезіндегі алаяқтық және жалған интернет-дүкендер туралы бөлек ескертеді. Сатып алушы үшін бұл HTTPS-тің болуын сайттың дәл мекенжайымен, төлем әдісімен және сатушыны тексерумен бірге бағалау керектігін білдіреді. Практикалық материалдар ҰБУ-дың «ШахрайГудбай» ресми ресурсында жинақталған.
Стандарттың қолданыстағы нұсқасы PCI DSS 4.0.1 болып табылады. 2025 жылғы 31 наурызда күшіне енген төлем беттерінің қауіпсіздігіне қойылатын талаптар скрипттерді авторизациялауға, олардың тұтастығын тексеруге және рұқсатсыз өзгерістерді анықтауға бағытталған. Олар браузердегі код формадан деректемелерді көшіретін веб-скиммингке қарсы тұрады. Дереккөз: PCI SSC: Payment Page Security and Preventing E-Skimming.
Қайта бағыттау мен ендірілген форманың қаупі әртүрліСатып алушыны төлем провайдерінің сайтына толығымен қайта бағыттайтын дүкен үшін бақылау көлемі әдетте ендірілген төлем формасы бар бетке қарағанда аз болады. PCI DSS-тің түпкілікті аясы және сәйкестікті растау формасы эквайермен немесе төлем брендімен бірге анықталады. SAQ A критерийлері бойынша түсініктемелерді PCI Security Standards Council жариялады.
Егер браузер сертификат қатесін көрсетсе не істеу керек
- Сатып алушылардан ескертуді айналып өтуді сұрамаңыз. Егер тапсырысты рәсімдеудің қауіпсіз жолы қолжетімсіз болса, жарнама трафигін және төлемдерді уақытша тоқтатыңыз.
- Қатені тіркеңіз. Дәл уақытты, доменді, қате мәтінін, скриншотты, сыртқы мониторинг деректерін және хостингтегі соңғы өзгерістерді сақтаңыз.
- Себебін тексеріңіз. Типтік нұсқалар: мерзімі өткен; сертификат басқа атауға берілген; сервер ескі сертификатты қайтарады; аралық сертификат жоқ; сервердегі уақыт қате; CDN мен негізгі сервердің конфигурациялары әртүрлі; автоматты ұзарту орындалды, бірақ веб-сервер жаңа файлды қайта оқымады.
- Конфигурацияны түзетіңіз. Қажет болса, сертификатты қайта шығарыңыз, толық тізбекті орнатыңыз және әрбір жалпыға қолжетімді доменді әртүрлі желілерден тексеріңіз.
- Тапсырысты рәсімдеуді тексеріңіз. Каталогты, авторизацияны, себетті, төлем провайдеріне қайта бағыттауды, төлемнен кейін оралуды, хабарламаларды және интеграциялық сұрауларды тексеріңіз.
- Ұйымдастырушылық себебін табыңыз. Автоматтандыруды түзетіңіз, сыртқы хабарлама қосыңыз, процесс иесін және резервтік контактіні құжаттаңыз.
Кілт немесе веб-сервер бұзылған кезде не істеу керек
- Зақымдалған түйінге кіруді шектеңіз. Ағымдағы зиянды тоқтату үшін қажет болмаса, дәлелдемелер бекітілгенге дейін файлдар мен журналдарды жоймаңыз және жүйені қайта орнатпаңыз.
- Дәлелдемелерді сақтаңыз. Жүйенің немесе дискінің суретін жасаңыз, веб-сервер, CDN, CMS, DNS, хостинг және аутентификация панельдерінің журналдарын экспорттаңыз. Уақытты бірыңғай уақыт белдеуінде тіркеңіз.
- Сертификатты қайтарып алыңыз. Тексерілген жүйеде жаңа жеке кілт жасап, жаңа сертификат алыңыз. Ескі кілтпен жай ғана ұзарту бұзылуды жоймайды.
- Байланысты құпияларды өзгертіңіз. Әкімшілердің құпия сөздері мен сеанстарын, API кілттерін, дерекқорға, SSH-қа, хостинг панельдеріне, CDN, тіркеушіге, DNS-ке, поштаға және репозиторийге кіру рұқсаттарын өзгертіңіз. Таза құрылғыдан бастаңыз.
- Сайтты тексеріңіз. Жаңа әкімшілерді, өзгертілген файлдарды, бөгде скрипттерді, тапсырма жоспарлаушыларын, веб-қабықшаларды (веб-шелл), қайта бағыттау ережелерін, өзгертілген төлем деректемелерін және CT журналдарында күтпеген сертификаттарды іздеңіз.
- Тек тексерілген көшірмеден ғана қалпына келтіріңіз. Көшірме бұзылуға дейін жасалған болуы және бөлек ортада тексерілуі керек. Қалпына келтіргеннен кейін жаңартуларды орнатыңыз, бастапқы себебін жойыңыз және содан кейін ғана сайтты жұмысқа қайтарыңыз.
- Қатысты тараптарға хабарлаңыз. Хостингті, әзірлеушіні, эквайерді, дербес деректерге жауапты адамды және заңгерді тартыңыз. Киберинцидент туралы CERT-UA-ға хабарлауға болады; қылмыстық құқық бұзушылық немесе алаяқтық белгілері туралы — Киберполицияның электрондық өтініштер жүйесі арқылы.
Нені істеуге болмайдыБраузердің ескертуін елеусіз қалдырмаңыз. Жеке кілтті чатқа жібермеңіз. Бұзылған кілтпен жаңа сертификат шығармаңыз. Тергеу алдында журналдарды тазаламаңыз. Зақымдалған жүйенің үстіне сайтты қалпына келтірмеңіз. Резервтік көшірмені тексерілмеген серверге қоспаңыз.
Резервтік көшірмелер және қалпына келтіру
Сертификат сайттың резервтік көшірмесі емес. Қалпына келтіру үшін кодтың, дерекқордың, жүктелген файлдардың, веб-сервер конфигурациясының, DNS жазбаларының, CDN ережелерінің, интеграция баптауларының тексерілген көшірмелері және сертификатты шығарудың құжатталған процесі қажет. Жеке кілтті қажетсіз көбейтпеген жөн: көптеген конфигурацияларда жаңа кілт жасап, сертификатты қайта шығарған қауіпсіз.
Жұмыс серверінен және оның тұрақты қолжетімді тіркелгілерінен бөлек кем дегенде бір көшірмені сақтаңыз. Резервтік көшірмелердің тұтастығын үнемі тексеріп отырыңыз және оқшауланған ортада тесттік қалпына келтіруді орындаңыз. CISA маңызды деректердің автономды шифрланған көшірмелерін қолдауды және апаттық қалпына келтіру сценарийінде олардың қолжетімділігі мен тұтастығын үнемі тексеріп отыруды ұсынады. Дереккөз: CISA StopRansomware Guide.
HTTPS, Торгсофт және дүкеннің Windows-сервері
Интернет-дүкеннің TLS-сертификаты тиісті доменмен веб-байланысты қорғайды. Ол жергілікті серверді немесе Торгсофт орнатылған негізгі компьютерді, кассалық компьютерлерді, желілік қалталарды және резервтік көшірмелерді қорғамайды. Бұл жүйелер бөлек қорғауды қажет етеді.
- Торгсофт орнатылған серверді немесе негізгі компьютерді бағдарлама мен дерекқордың жұмысы үшін ғана пайдаланған жөн;
- онда поштаны оқуға, мессенджерлерді ашуға, кездейсоқ файлдарды жүктеп алуға, бөгде сайттарды қарауға және қажетсіз бағдарламаларды орнатуға болмайды;
- жалпыға қолжетімді интернеттен тікелей RDP-кіруді ашуға болмайды;
- қашықтан кіруді бақылаумен қамтамасыз ету керек: VPN немесе басқа қорғалған шлюз арқылы, бөлек тіркелгілермен, журнал жүргізумен және көп факторлы аутентификациямен (егер таңдалған шешім оны қолдаса);
- қызметкерлер тұрақты әкімші құқықтарынсыз жұмыс істеуі керек;
- сол сервердегі немесе тұрақты қосылған дискідегі көшірме негізгі деректермен бірге зақымдалуы немесе шифрлануы мүмкін;
- қалпына келтіру үшін бұзылуға дейін жасалған және тесттік өрістету арқылы тексерілген жарамды көшірме қажет.
Торгсофт техникалық қолдау қызметі бағдарламаны орнатуға және жарамды дерекқорды өрістетуге көмектесе алады. Ол вирус жұққан файлдардың шифрын ашатын қызмет емес және жарамды резервтік көшірме болмаса коммерциялық ақпаратты қалпына келтіре алмайды. Интернет-дүкеннің веб-сертификаты, Windows-серверді қорғау және резервтік көшірме жасау жауапты адамдары белгіленген бөлек процестер ретінде қарастырылуы керек.
Кім не үшін жауап береді
| Рөл | Міндеттер | Иесі нені тексереді |
|---|---|---|
| Бизнес иесі | Жауапты адамдарды тағайындайды, төлем схемасын, қалпына келтіру уақытын, бюджетті және әрекет ету тәртібін бекітеді. | Активтер тізімі, мердігерлердің контактілері, резервтік кіру рұқсаты және соңғы тексеру туралы есеп бар. |
| Жүйелік әкімші немесе Хостинг | TLS-ті, автоматты ұзартуды, HSTS-ті, мониторингті, журналдарды, резервтік көшірмелерді және қалпына келтіруді баптайды. | Сертификат қолмен әрекет етпей ұзартылады; хабарламалар кем дегенде екі адамға келеді. |
| Сайтты әзірлеуші | Аралас мазмұнды алып тастайды, cookie файлдарын қорғайды, скрипттерді азайтады, платформаны жаңартады және төлем бетінің өзгерістерін бақылайды. | Модульдер мен скрипттердің тізімі, өзгерістер тарихы және осалдықтарды жою жоспары бар. |
| Төлем провайдері және эквайер | Құжатталған интеграцияны, PCI DSS талаптарын, төлем беттерінің мекенжайларын және әрекет ету тәртібін ұсынады. | Интеграция қолданыстағы құжаттамаға сәйкес келеді; дүкен артық карта деректемелерін жинамайды. |
| Дүкен қызметкері | Браузер ескертулерін айналып өтпейді, доменді тексереді, кілттер мен құпия сөздерді бермейді, күдікті өзгерістер туралы дереу хабарлайды. | Қызметкер инцидент туралы кімге және қандай арна арқылы хабарлау керектігін біледі. |
| Сыртқы мердігер | Жеке тіркелгі арқылы, келісілген уақытта және берілген құқықтар шегінде жұмыс істейді; жұмыс аяқталғаннан кейін кіру рұқсаты жойылады. | Мердігерлердің ортақ немесе мерзімсіз тіркелгілері жоқ. |
Практикалық чек-парақ (Checklist)
- барлық беттер, формалар, суреттер, скрипттер және API-лар HTTPS арқылы жұмыс істейді;
- HTTP кері қайтусыз HTTPS-ке тұрақты түрде қайта бағытталады;
- сертификат барлық қажетті домендік атауларды қамтиды және толық тізбекпен беріледі;
TLS 1.3жәнеTLS 1.2қосылған; ескі SSL/TLS нұсқалары өшірілген;- автоматты түрде ұзарту, соның ішінде жаңа сертификатты қолдану толығымен сәтті өтеді;
- сыртқы мониторинг жарамдылық мерзімін, HTTPS қолжетімділігін және сертификаттың өзгеруін тексереді;
- барлық қосалқы домендерді тексергеннен кейін HSTS қосылған;
- тіркеушінің, DNS, CDN, хостингтің, поштаның және CMS-тің тіркелгілері көп факторлы аутентификациямен қорғалған;
- бұрынғы қызметкерлер мен мердігерлердің рұқсаттары жойылды;
- бөгде скрипттердің тізімі бар, ал төлем беттері рұқсатсыз өзгерістерге бақыланады;
- дүкен карта деректемелерін эквайермен келісілген архитектурадан тыс сақтамайды;
- резервтік көшірмелер жұмыс серверінен бөлектелген және тесттік қалпына келтірумен тексерілген;
- домен, хостинг, сертификат және әрекет ету үшін негізгі және резервтік жауапты тұлғалар анықталған;
- хостингті, CDN, DNS, төлем интеграциясын немесе веб-серверді әрбір өзгерткеннен кейін TLS қайта тексеріледі.
Конфигурацияны сырттай тексеру үшін Qualys SSL Labs Server Test қолдануға болады. OWASP сондай-ақ баптауларды күшейткеннен кейін конфигурацияны тексеруді ұсынады және TLS Cheat Sheet-те онлайн және локальды құралдардың тізімін келтіреді. Автоматты тест себетті, авторизацияны, төлемге өтуді, API-ді және резервтік көшірмеден қалпына келтіруді тексеруді алмастырмайды.
Негізгі дереккөздер
- CA/Browser Forum. Baseline Requirements for Publicly-Trusted TLS Server Certificates, version 2.2.2.
- OWASP Transport Layer Security Cheat Sheet.
- NIST SP 800-52 Rev. 2. Guidelines for TLS Implementations.
- Let’s Encrypt FAQ: түрлері, жарамдылық мерзімі және сертификаттарды басқару.
- Chromium Blog. An Update on the Lock Icon.
- Google Search Central. Canonical URLs and HTTPS.
- PCI Security Standards Council. Payment Page Security and Preventing E-Skimming.
- Украинаның Ұлттық банкі. «ШахрайГудбай»: онлайн-төлемдер қауіпсіздігі.
- Украинаның «Дербес деректерді қорғау туралы» Заңы.
- CERT-UA. UAC-0255 кибершабуылы, 2026 жылғы наурыз.
- CISA StopRansomware Guide: резервтік көшірмелер және қалпына келтіру.

Алдыңғы қадамға оралу