Слева от адресной строки браузера время от времени может появляться метка с предупреждением, что данный сайт подозрителен и соединение с ним не защищено. Это – внешние проявления работы протокола связи, обеспечивающего сохранность информации при передаче по сети Интернет. Его поддержку подтверждает SSL/TLS-сертификат – своеобразное удостоверение личности, выданное специальными сервисами.

Вопрос безопасности при передаче данных по Интернету стоит с первых дней существования сети. Её ведь разработали для обслуживания армейских нужд. А ради обеспечения секретности придумали стандарт Secure Sockets Layer (SSL). Но по мере того, как интернет распространялся по планете, степень защиты информации становилась недостаточной.

Проблема проявилась особенно остро в тот момент, когда в сеть вышел бизнес. Интернет-магазины, платёжные системы, виртуальные казино и биржи потребовали новых подходов и решений. И устаревшую систему SSL дополнил новый протокол Transport Layer Security (TLS). Его использование делает безопасной передачу информации любого уровня конфиденциальности.

Обычный пользователь даже не догадывается, через сколько серверов и шлюзов проходит его запрос прежде, чем ответ выводится на экран его смартфона, ноутбука или планшета. Защитить данные от перехвата без их шифрования невозможно.

Посетители интернет-магазина без SSL/TLS-сертификата будут рано или поздно ограблены с угоном данных банковских карт. Поэтому  наличие SSL/TLS – обязательное условие, чтобы привязать сайт к платежной системе или банковскому мерчант-сервису.

Фотография Florian Berger / Unsplash

Как это работает

Принцип действия сертификатов SSL/TLS – привязка криптографического ключа к идентификатору пользователя. После установления такой связи передаваемую информацию не могут расшифровать третьи лица.

Ключи подразделяются на частные, открытые и предназначенные для конкретного сеанса связи. При переходе на защищенную страницу любой браузер создает ключ сеанса на основе открытых ключей и пользуется им для передачи данных. В каждом новом сеансе связи ключ будет совершенно другим.

Сертификат – один или несколько маленьких текстовых файлов, которые связывают ключ шифрования и конкретного пользователя – организацию или физическое лицо.

Важнейшая функция сертификата – подтверждение подлинности сайта. Её проверяют браузеры посетителей, защитные сервисы хостингов, телеком-провайдеров, поисковые системы и так далее. Подозрительные ресурсы изолируются, а пользователи получают предупреждения о возможной опасности.

Типы сертификатов SSL/TLS

Выдают сертификаты безопасности специальные центры. Существуют несколько типов сертификатов, которые различаются уровнями проверки данных:

  • Тип D подтверждает только доменное имя. Этот вариант подходит лишь для информационных или развлекательных сайтов, не передающих финансовой информации. Для интернет-магазина непригоден.
  • Тип D+O подтверждает доменное имя и то, что оно принадлежит конкретной организации или личности.
  • Тип IDN (Internationalized Domain Names) для доменов с кириллицей. Если ваш интернет-магазин находится в зоне «рф», для обеспечения безопасности обязателен именно IDN.
  • Тип EV (Extended Validation) проводит углублённую проверку. Его оформление требует подтверждения предоставляемых данных. Процедура по сложности напоминает оформление банковского счета, зато гарантирует пользователям надёжную защиту передаваемой информации. Интернет-магазины чаще всего оформляют именно EV.
  • Тип SGC (Server Gated Cryptography) обеспечивает дополнительное шифрование данных. Даже если у пользователей устаревшие браузеры с 40-56-битными ключами, то данный сертификат заставит их работать с как минимум 128-битным шифрованием.
  • Тип SAN/UCC (Unified Communications Certificate) защищает не один, а все заявленные при оформлении домены.
Umbrella sky
Фотография Catrin Johnson / Unsplash

Как получить сертификат безопасности?

Сертификаты выдают, обслуживают и проверяют специализированные центры. А по договору с ними – и хостинговые компании. Для оформления сертификата необходимо заполнить специальную форму и отправить её хостеру. После оплаты счёта клиент получает набор персональных ключей. Часто это обойдётся дешевле, чем прямое обращение к соответствующему центру.

Сертификат можно сделать самому, бесплатно. Но для этого придётся освоить процедуру генерации ключей. Такие сертификаты называются «самоподписанными» и для коммерческих сайтов непригодны. Доверия у браузеров, серверов и поисковых систем они не вызывают.

Надежный сертификат возможно получить и бесплатно для простых сайтов, не требующих усиленной корпоративной верификации. Например, для этого подходит популярный сервис Letsencrypt.org

We love toys and all things geeky! The idea that this stormtrooper would guard our desk when away was something we wanted to try and capture. Also the white armour fits perfectly with the minimal aesthetic of our tech.
Фотография Liam Tucker / Unsplash

Будущее SSL/TLS сертификатов

Сайты, соответствующие современным требованиям к безопасности, пользуются большим доверием как у пользователей, так и у поисковых роботов.

Google повышает их позиции в поисковой выдаче. Резко снижается риск фишинга и промежуточного перехвата «чувствительной» информации. Следить за наличием шифрованного соединения весьма полезно не только владельцам интернет-магазинов, но и обычным пользователям.

Google активно продвигает  технологию Accelerated Mobile Pages (AMP). Она ощутимо ускоряет загрузку страниц сайта на смартфоны и планшеты. Количество мобильных устройств непрерывно растёт, и желательно, чтобы сайт интернет-магазина имел AMP-реализацию. А для неё обязательно наличие SSL/TLS сертификата.

Все еще не уверены в выборе сертификата? Посоветуйтесь со службой поддержки вашей хостинговой компании. Не затягивайте: безопасность превыше всего!