Что такое SSL-сертификаты и для чего они нужны
Если не заострять внимание на технической (криптографической) стороне вопроса, то просто говоря, SSL-сертификаты шифруют все ваши данные, которыми вы обмениваетесь с конкретным сайтом. Теоретически, данные, передаваемые по незашифрованным каналам можно перехватывать программами-сниферами. Эти программы не только «покажут» какие сайты вы посещали, но и смогут отобразить логины, пароли, ваши сообщений.
Криптографический протокол SSL позволяет шифровать все данные. Например, вы связываетесь с Twitter'ом. Если вы передаёте данные по незашифрованному соединению, то перехватчик будет знать ваши логин, пароль, отправленные сообщения, данные сессии — практически всё. Сейчас Twitter поддерживает зашифрованное соединение и перехватчик может сказать только одно — вы соединились с Twitter'ом. Все остальные данные для него превращаются в нечитаемый мусор.
SSL-сертификаты на свой сайт
Мы смотрели на сертификаты глазами пользователя. А давайте посмотрим с другой стороны — глазами веб-мастера. Кому SSL-сертификаты нужны? Они определённо нужны если вы занимаетесь продажей товаров или услуг через Интернет, если вам приходится работать с персональными и конфиденциальными данными, если вы хотите, чтобы передаваемая вашему сайту информация была защищена, если вам необходимо, чтоб передача данных между почтовым сервером и почтовыми программами была гарантированно целостной, достоверной и конфиденциальной.
В таком случае вам необходимо установить на ваш сайт SSL-сертификат, который будет являться подтверждением надежности передачи данных между вашим сайтом и его посетителями. Кроме того, наличие на сервере SSL-сертификата гарантирует создание защищенного канала, благодаря которому информация между клиентом и сервером передается в закодированном виде, с целью предотвращения ее перехвата и искажения во время пересылки.
Если вы пользуетесь сертификатом не подписанным Центром сертификации, то посетители вашего сайта получат массу предупреждений о ненадежности работы с вашим сайтом, что самым негативным образом может повлиять на ваш бизнес.
Какие бывают SSL-сертификаты
SSL cертификаты с проверкой домена
При выпуске данного вида сертификатов проверяется только доменное имя, на которое он оформляется. Сертификат может быть оформлен как на частное лицо, так и на компанию. При заказе обратите особое внимание на заполнение поля "E-mail адрес для подтверждения" в сертифицируемом домене, на этот почтовый ящик будет выслано письмо со ссылкой для подтверждения. Если ящик не существует, вы не получите данное письмо или не перейдёте по ссылке указанной в письме, то тем самым вы не подтвердите своё "владение" данным доменом. В этом случае сертификат не будет выпущен и деньги за него не будут возвращены, так как сертификационный центр уже выполнил свою часть работы.
В рамках борьбы с так называемым "фишингом" сертификационный центр не выпускает сертификаты на домены, в имени которых фигурируют слова, относящиеся к банковской и финансовой сфере или содержащие имена известных брэндов. Если ваш домен содержит такие слова, то вам необходимо оформлять сертификат с проверкой "домена и организации".
SSL-сертификаты с проверкой домена и организации
Процесс выпуска сертификата "с проверкой организации" включает в себя не только проверку сертифицируемого доменного имени, но и его реальной принадлежности вашей компании. Посетители вашего сайта дополнительно будут видеть название вашей организации в адресной строке своего браузера. Такое поведение браузера призвано дополнительно сигнализировать вашим потенциальным клиентам о том, что они действительно находятся на вашем, а не на "похожем" сайте, и увеличивать их уровень доверия к вашему сайту.
Вам необходимо убедиться, что доменное имя действительно принадлежит вашей организации и в это можно проверить, посмотрев данные WHOIS для вашего домена. Домен должен быть обязательно оформлен на организацию, а не на какое-то частное лицо, например на директора вашей компании. Если домен компании всё же оформлен на физическое лицо, то перед заказом сертификата вам необходимо предварительно переоформить его на вашу компанию.
Для некоторых сертификатов "с проверкой организации" дополнительно нужно будет заполнить форму с данными вашей организации, которая будет выслана вам сертификационным центром.
EV (Extended Validation) — Расширенная проверка
Самая серьёзная проверка со стороны сертификационного центра, самый высокий уровень доверия со стороны клиентов. При оформлении такого вида сертификатов проводится полная проверка домена и вашей организации. Вам будет необходимо заполнить ряд документов о вашей компании и заверить их подписью и печатью вашей организации.
Результатом получения такого сертификата будет дополнительная сигнализация со стороны браузеров в виде "зелёной адресной строки". Посетители вашего сайта могут быть абсолютно уверены, что ваш сайт и ваша организация прошли все необходимые проверки, и они могут вам доверять.
IDN (Internationalized Domain Names) — Поддержка национальных доменов
Поддержка не латинских символов в именах доменов, для доменных имён на национальных языках. Если в вашем доменном имени содержатся не латинские символы, то сертификат с поддержкой IDN это то, что вам необходимо.
WildCard — Поддержка субдоменов
Wildcard сертификат позволяет использовать его на всех поддоменах вашего основного домена. Этот сертификат будет действителен на поддоменах типа www.domain.ru, forum.domain.ru, my.domain.ru и т.д. без ограничений на количество поддоменов. При создании запроса на Wildcard сертификат в качестве Common Name (CN) необходимо использовать "*.domain.ru", где domain.ru — это ваше доменное имя.
SGC (Server Gated Cryptography) — Высокий уровень шифрования
Сертификаты с поддержкой "принудительно высокого уровня шифрования" призваны гарантировать максимально высокий уровень шифрования вне зависимости от типов и версий браузеров клиентов. Даже если посетитель сайта пользуется устаревшим браузером, поддерживающим только 40 или 56 битное шифрование, то при наличии на сайте SGC-сертификата шифрование соединения будет повышено до 128 бит.
Как заказать и установить SSL-сертификат
Нужно обратиться к одному из официальных партнёров, например, GlobalSign — одного из ведущих сертификационных центров (Certificate authority – CA).
Я рекомендую это сделать, например, здесь. Здесь вы можете заказать SSL-сертификат и вам бесплатно его установят.
Если вы покупали SSL-сертификат в одном месте, а хотите установить в другом, то для установки понадобятся:
- Файл закрытого ключа без пароля
- Файл сертификата без пароля в формате X.509
- В отдельных случаях может понадобится промежуточный сертификат (intermediate certificate).
Инструкция по заказу EV сертификата:
1. Подтвержение данных об организации
На сайте центра сертификации GeoTrust нужно найти бланк соглашения и заполнить его на английском языке. Указать свое имя, фамилию, название организации, дату и место подписи (город, страна, область), поставить подпись.
Бланк следует отсканировать и отправить по факсу и по e-mail. К бланку лучше сразу приложить скан ОГРН организации.
В ответ придет письмо:
Dear GeoTrust Customer,
We have received your email message with the subject:
Order Id: 8888888
This is to acknowledge that we have received your email. Our average response time is approximately 1-2 business days.
Please do not reply to this email address.
2. Получение подтверждения о прохождении проверки и сам сертификат.
После отправки документов остается только ждать. Статус своего заказа вы можете узнать на специальной странице.
В зависимости от известности компании и времени ее работы у вас попросят копию свидетельства о регистрации и постановке на налоговый учет.
Если у центра выдачи сертификатов возникнут сомнения, то могут попросить документы, подтверждающие право аренды или собственности вашего помещения.
После проверки всех документов, центр сертификации совершит звонок и попросит к телефону человека, подписавшего соглашение. Он должен будет подтвердить правильность указанных данных. И, сразу после разговора, на регистрационный e-mail вам будет отправлен сертификат. Общение с центром сертификации (особенно по e-mail) обычно происходит на английском языке.
Обычно, весь процесс занимает 20-40 дней. В случае, если у вас новая компания, процесс может затянуться на 2-4 месяца, так как у вашей компании нет отчетности и проверка становится сложнее. По опыту заказа подобных сертификатов мы рекомендуем периодически звонить/писать в центр сертификации и интересоваться, на каком этапе работа с вашей компанией. Возможно, это ускорит процесс.
Как сэкономить на SSL-сертификате
Способы:
- немного парадоксально, но купить SSL-сертификат у некоторых официальных партнёров значительно выгодней, чем купить его напрямую у центра сертификации. Например у этого партнёра;
- платите только за то, что вам действительно нужно. Мы рассмотрели множество видов сертификатов, цена различается в разы в зависимости от количества желаемых опций;
- покупка сертификатов на несколько лет вперёд позволяет очень значительно сэкономить;
- воспользуйтесь акцией — только до 9 ноября 2014 года (включительно) здесь дарится скидка до 60% на приобретение любого SSL–сертификата GlobalSign.
Google учитывает HTTPS протокол как сигнал ранжирования
А знаете ли вы, что поисковая система Google с августа 2014 года стала учитывать протокол https как сигнал ранжирования. Google пошел на этот шаг, чтобы мотивировать вебмастеров перевести свои сайты на безопасное соединение использующее механизмы SSL или TLS. Использование HTTPS, по мнению представителей Google, повысит безопасность пользователей в интернете, убережёт веб-ресурсы от хакерских атак, взломов и утечек конфиденциальной информации.
Значимость нового сигнала ранжирования
На текущий момент, в третьем квартале 2014 года, новый сигнал ранжирования имеет не высокое влияние на формирование поисковой выдачи и распространяется менее чем на 1% общемировых запросов. Разумеется, использование защищённого соединения никогда не будет иметь такого веса для алгоритмов Google, как высококачественный контент, однако со временем его значение немного усилится.
Советы Google по переходу на HTTPS
Для тех, кому важны лучшие позиции в выдаче Google и кто желает получить доступ к усовершенствованному инструментарию Google Webmaster Tools для HTTPS ресурсов, Google предлагает следующие инструкции по переключению сайта на защищённый вариант протокола передачи данных:
- Определитесь, какой вид сертификата вам необходим: для одного сайта или wild-card сертификат.
- Применяйте 2048-битные ключи SSL-сертификатов.
- Используйте относительные URL-ы для ресурсов, находящихся на одном защищённом домене.
- Не препятствуйте сканированию HTTPS сайта роботами путём закрытия его в robots.txt.
- Позвольте поисковикам проиндексировать все страницы вашего сайта, которые только возможно. Избегайте использования мета-тега noindex.
Для проверки корректности работы SSL-сертификатов рекомендует использовать специализированный инструмент от GlobalSign, одного из ведущих сертификационных центров (Certificate authority – CA) специализирующихся на выдаче сертификатов.
Итог
Если вы решили, что SSL-сертификат вам нужен и вы хотите купить и поставить его дёшево и без хлопот, то обратитесь сюда, к официальному партрнёру GlobalSign.