Callback
  • Від місця на ринку до магазину

  • -

  • Від магазину до торговельної мережі

  • -

  • Від торгівлі до виробництва

Що потрібно знати власнику інтернет-магазину про SSL-сертифікати

17.01.2019

Клієнти не поспішають робити покупки в вашому інтернет-магазині? Швидше за все вони не вірять у безпеку і справжність вашого сайту, а виною цьому - відсутність SSL, протоколу для формування надійного з'єднання між користувачем і сервером.

Аби не заглиблюватися в технічні нюанси, можна сказати, що SSL шифрує введену клієнтом інформацію починаючи від платіжних даних і закінчуючи паролями, а потім передає її по протоколу HTTPS в зашифрованою формі. Персональні дані при цьому все одно можна перехопити, але розшифрувати на порядок довше і складніше.

Щоб сайт працював через захищений протокол HTTPS, його власнику необхідно отримати SSL-сертифікат.


Навіщо протокол власнику сайту

Наявність сертифіката на сайті помітно підвищує кредит довіри, хоча сам протокол не гарантує високого рівня захисту від хакерських або вірусних атак. Крім довіри користувачів, SSL-сертифікат забезпечує і ще один бонус - захист при вході в адмін-панель через громадську Wi-Fi мережу.

Хоча основною цільовою аудиторією такого протоколу є збирають платіжні реквізити інтернет-магазини, не завадить він і всім іншим типам організацій, які бажають справити належне враження на потенційних клієнтів. До того ж, в сучасному інтернет-світі відсутність SSL-сертифіката на будь-якому сайті, де є можливість авторизації, вважається поганим тоном. Таким чином, стати володарем протоколу в інтересах практично будь-якого власника сайту, особливо з огляду на, що зробити це можна швидко і абсолютно безкоштовно.

Важливим аспектом є і те, що сучасні користувачі все осознаннее відносяться до безпеки і звертають увагу на наявність зеленого ярлика у доменного імені сайту. Для чого потрібен SSL-сертифікат пересічному користувачеві? На відміну від власників сайту, звичайним користувачам сертифікація вельми корисна. Захищені сайти HTTPS протоколом гарантовано запобігають крадіжку введених потенційним клієнтом даних.

Фактором ризику в цьому випадку можуть бути лише віруси на пристрої користувача або ж несумлінність власника сайту, який може непомітно привласнити дані клієнтів. Більш того, SSL-сертифікат є показником достовірності сайту, оскільки його фішингові аналоги і двійники зазвичай використовують звичний HTTP.
Власнику комерційного сайту також слід пам'ятати, що при спробі підключити оплату через деякі платіжні системи, сервіси запитує сертифікат, без якого операції не проводяться. Згідно тенденціям, скоро ці вимоги стануть вельми масштабними і будуть прописані в умовах практично всіх платіжних систем.


Чи можна не купувати SSL-сертифікат

Найбільший недолік відсутності сертифікату полягає, мабуть, в тому, що довіра технічно грамотних користувачів буде менше. Користувач, який печеться про безпеку даних своєї банківської картки, для здійснення покупки швидше вважатиме за краще магазин з SSL-сертифікат - в такому інтернет-магазині особисті дані залишати безпечніше

Що про це думає Google

У 2014 році представники Google офіційно заявили, що наявність протоколу HTTPS буде позитивно позначатися на ранжируванні, однак в дійсності все виявилося не так. Цей фактор в ранжируванні був врахований лише в 1% запитів, та й то не був основним.

У надії підвищення значущості сертифікації для ранжирування веб-майстра активно здійснювали переклад сайтів з HTTP на HTTPS, проте в 2017 році Google підтвердив, що вага сайтів з SSL-сертифікатами збільшений не буде.

Однак компанія вирішила не обходити HTTPS стороною і проявити лояльність як мінімум у власному браузері. У Google Chrome все сайти без протоколу HTTPS, які займаються збором особистих даних, позначені невеликим знаком оклику, а сайти з SSL-сертифікатами - виділені зеленим в адресному рядку.

Також в 2018 році було введено оновлення, внаслідок якого за допомогою помітного значка все HTTP-сайти будуть заявлені ненадійними. Хоча нововведення не можна назвати масштабним, ігнорувати його не варто, адже браузером від Google користується більше половини користувачів з України та інших країн СНД.

Виды, особенности и отличия SSL-сертификатов

Розглянемо доступні в 2018 році SSL-сертифікати. Вони діляться на підвиди за методом перевірки і по сертифікується доменів.

Сертифікати по доменах

  • Unified Communications. Такий сертифікат зазвичай використовується для всіх доменів і / або серверів.
  • Wildcard SSL. Цей сертифікат дійсний як для основного домену, так і для другорядних піддоменів (sub1.torgsoft.ua, sub2.torgsoft.ua, sub3.torgsoft.ua і т.д.) і майданчиків на розподілених серверах.
  • Single Certificate. Такий тип сертифіката дійсний тільки для одного домену, вказаного при оформленні замовлення. При цьому піддомени сайту захисту не підлягають. Наприклад, домен torgsoft.ua буде під захистом, а його піддомени (sub.torgsoft.ua) - немає.


Сертифікати по cпособу перевірки

  • Domain Validation (DV) здійснює валідацію домену. Цей сертифікат з перевіркою домену стверджує обслуговуючий сервер. Простіше кажучи, він гарантує, що користувач буде здійснювати покупку саме на тому сайті, на який він і переходив. При всьому цьому для проведення комерційних операцій Domain Validation вважається надійним лише умовно, оскільки не містить достовірних відомостей про власника сайту. Такий сертифікат найчастіше йде в хід на тих майданчиках, на яких сувора гарантія безпеки не є ключовим фактором.
  • Organization Validation (OV) здійснює валідацію домену та організації. Такий сертифікат з перевіркою компанії крім доменного імені засвідчує також і організацію, яка володіє зазначеним веб-сайтом. Справжність компанії проходить перевірку відразу за кількома показниками. При оформленні протоколу HTTPS юридична особа повинна надати провайдеру всі необхідні реєстраційні дані. Слід зазначити, що саме OV-сертифікати зараз є найпопулярнішими серед власників сайтів.
  • Extended Validation (EV) здійснює розширену валідацію домену та організації. Така серйозна перевірка забезпечує високий рівень довіри не тільки з боку користувачів, але і інших майданчиків.
  • Extended Validation буде оптимальним вибором для сайтів, які потребують суворої конфіденційності. Сюди відносяться практично всі веб-майданчика, робота яких пов'язана з фінансовими транзакціями. Родзинка цього типу сертифікатів полягає в тому, що подібна розширена перевірка є не разовою, а періодичної. Такий підхід дозволяє захистити користувачів від підміни даних з боку недобросовісного власника сайту.

Всі перераховані протоколи гарантують якісне шифрування трафіку між браузером користувача та сайтом. До того ж, вони включають в себе додаткові опції:

  • SAN - валідація доменів за встановленим при отриманні сертифікату списку (для економії можна отримати валідацію відразу декількох доменів);
  • WildCard - валідація домену та його піддоменів (для економії можна отримати валідацію відразу декількох піддоменів).

Як змінювалася надійність сертифікатів

Коли SSL-сертифікати тільки почали заповнювати простори інтернету, сервіси сертифікації здійснювали більш серйозну перевірку, куди обов'язково була включена і перевірка даних компанії. Набагато пізніше, внаслідок комерційної зацікавленості обох сторін, з'явився Domain Validation, який змусив вендорів створити спрощену верифікацію і випускати сертифікати з мінімальною перевіркою. На противагу зручності і простоті такий підхід зіграв на руку зловмисникам. Тепер злодії інтернету користуються невеликим довірою до домену сайту і проводять махінації, оскільки браузер не застерігає користувачів про можливі проблеми з крадіжкою даних на веб-сайті.

У подібних ситуаціях в битву вступає Extended Validation. Наявність такого сертифіката говорить про те, що і сайт, і компанія пройшли глибоку валідацію. Браузер підтверджує цю інформацію, розміщуючи Green Bar (зелений ярлик) безпосередньо в лівій частині адресного рядка, тому користувачам вже не потрібно проводити власне розслідування і перевіряти справжність домену або організації-власника сайту. Примітно, що таку опцію підтримують всі браузери і операційні системи.

Як безпечно перейти на HTTPS

При переході на HTTPS необхідно врахувати ряд вимог. Власнику сайту потрібно:

  • порадитися з seo-підрядником для запобігання втрати позицій в пошуковій видачі;
  • замовити обраний тип SSL-сертифіката у хостинг-провайдера або компанії-емітента;
  • встановити сертифікат на сервер;
  • налаштувати адмінку для початку роботи з HTTPS;
  • замінити адреси набезопасние HTTPS на всіх сторінках, на яких використовуються скрипти, медіа-матеріали, лічильники і консультанти (в іншому випадку, навіть при наявності сертифіката сторінки будуть вважатися небезпечними);
  • замінити адресу в технічних файлах типу robots.txt і sitemap.xml, а також в 301-редирект.

Перш ніж отримати або купити SSL-сертифікат, рекомендуємо вивчити інформацію про центр сертифікації і упевнитися в його надійності і відповідальності, а для мінімізації ризику від переходу потрібно строго слідувати наведеної вище інструкції.

Платити чи не платити?

Отримання SSL-сертифіката безкоштовно
Безкоштовно можна отримати лише сертифікати з мінімальною перевіркою. Такий SSL-сертифікат здійснює перевірку тільки одного домену, таким чином відкриваючи зловмисникам прямий доступ до сайту. Шахраї з легкістю роблять копію (двійник) оригінального сайту, оформляють новий, власний сертифікат і позиціонують себе як оригінальний сайт. До того ж, браузер часто не вважає безкоштовні DV якісними сертифікатами і все одно в момент з'єднання попереджає користувача про небезпеку.

Якщо все ж власник сайту не хоче проходити ряд обов'язкових операцій для отримання дійсно надійного захисту, він може замовити безкоштовний сертифікат у одній зі спеціальних організацій. Такою організацією може бути популярна Let's Encrypt або ж хостинг-провайдер. Ми рекомендуємо отримувати сертифікат у провайдерів, оскільки вони дозволяють замовити й налаштувати захищене з'єднання безпосередньо в адмін-панелі, що займе у власника сайту не більше 10 хвилин.


Купівля SSL-сертифіката
Звичайно ж, платні сертифікати набагато надійніше своїх безкоштовних аналогів. У той час як некомерційному сайту, який займається лише збором логінів і паролів, Domain Validation може вистачити, то який піклується про свою репутацію і надійності інтернет-магазину без ретельної перевірки і платного сертифікату не обійтися.

В такому випадку Organization Validation - необхідний мінімум. Купити OV SSL-сертифікат можна в сервісі сертифікації, наприклад, в цьому www.ssl.com.ua/. Для отримання такої валідації юридичній особі потрібно відправити в обраний сервіс завірені нотаріусом паперу.

Великим організаціям-власникам сайтів з великою кількістю піддоменів вигідно і зручно отримувати Wildcard-сертифікати, наявність яких виключає необхідність докуповувати окремий сертифікат під кожний напрямок. Таким чином, Wildcard заощадить підприємцю і час, і гроші.

Найнадійнішим сертифікатом вважається Extended Validation з поглибленої перевіркою, але його найчастіше замовляють тільки дуже серйозні компанії (банки, страхові організації). Пояснюється це тим, що для отримання сертифіката потрібен великий пакет документів, а вартість залежить від страховки і в кілька разів перевищує ціну Organization Validation.

Як перевірити коректність SSL-сертифіката

Перевірку SSL-сертифіката на своєму сайті можна здійснити за допомогою спеціалізованих сервісів. Подивитися, чи коректно пройшла установка SSL-сертифіката на сайті, можна за цим посиланням:
https://www.ssllabs.com/ssltest/analyze.html

Кількість зелених елементів пропорційно надійності сайту.

Джерела:

https://surfingbird.ru/surf/pereezd-sajta-na-https-dostupno-ob-ssl-tls--8XFb6aFD9
https://aevrika.ru/blog/pereezd-sajta-na-https-dostupno-ob-ssl-tls-sertifikatah/
https://www.cossa.ru/trends/220711/
https://www.cossa.ru/trends/220704/

Додати коментар

Додати коментар
Ваш відгук відправлено. Його опублікують після перевірки адміністратором