1. Яким сайтам потрібно переходити на протокол HTTPS?
2. Як перевести свій сайт на HTTPS?
3. Як і де замовляти сертифікат?
4. Чи можна отримати SSL-сертифікат безкоштовно?
5. Як виглядає процес покупки / отримання сертифіката?
6. Чи потрібно вносити в сайт якісь зміни після переведення його на HTTPS?

У світлі останніх новин про те, що, починаючи з 2017 року, браузер Google Chrome буде позначати сайти без SSL-сертифікатів як небезпечні, я вирішив підготувати для вас детальний матеріал на цю тему, в якому б простою мовою пояснювалося, для чого взагалі потрібні ці сертифікати, де їх брати і як встановлювати на свій сайт.

Отже, поїхали.

Перше, що вам потрібно зрозуміти - це те, що коли ми заходимо на якийсь сайт, наш браузер починає взаємодіяти з тим сервером, на якому цей сайт знаходиться. Браузер і сервер обмінюються різними даними.

Для прикладу візьмемо ситуацію з сервісом розсилок.

Наприклад, ви зайшли на сайт свого сервісу розсилок і вам треба увійти в особистий кабінет.

Ви вводите ваш логін і пароль і натискаєте «Увійти». У цей момент введені вами дані відправляються на сервер, де вони будуть звірені з базою даних, і сервер вирішить, чи пускати вас в особистий кабінет чи ні.

Ось тут починається найцікавіше. Якщо сайт сервісу розсилок працює по протоколу HTTP, то дані між вашим браузером і сайтом сервісу будуть ходити в незашифрованому вигляді. Це означає, що якщо ви заповнили форму і ввели туди, наприклад, логін: [email protected] і пароль: 12345678, то в такому вигляді вони і будуть відправлені на сервер.

У чому тут проблема? Проблема в тому, що зловмисник може за допомогою спеціальних програмних і апаратних засобів «прослухати» ваш канал зв'язку і легко перехопити ці дані. Особливо, якщо ви працюєте в якомусь публічному місці і використовуєте безкоштовний Wi-Fi. А дізнавшись ваші дані, зловмисник спокійно зайде під ними на сайт сервісу розсилок і розішле спам по вашим баз.

Також не варто забувати, що, як правило, з'єднання між браузером і кінцевим сервером не пряме, а на своєму шляху містить багато проміжних вузлів, на будь-якому з яких потенційно можна «прослухати» проходить трафік.

Теж саме стосується і сайтів різних платіжних систем, банків і т.д. Якби вони працювали по незахищеному протоколу HTTP, то зловмисники могли б легко перехоплювати дані карток, логіни і паролі входу і т.д., а потім обкрадати всіх цих людей.

Але на щастя, є спосіб захистити канал зв'язку між браузером і сервером. Суть його в тому, що треба перевести сайт на роботу по захищеному протоколу HTTPS. «S» наприкінці - це скорочення від Secured (захищений). Про те, як перевести сайт на HTTPS, ми поговоримо трохи нижче, а поки давайте уявимо, що наш сервіс розсилок перевів свій сайт на HTTPS і ми знову на нього зайшли.

Тепер при вході сервер відправляє нашому браузеру спеціальний сертифікат. У ньому міститься різна інформація, в тому числі інформація про те, хто видав цей сертифікат, інформація про сам сайт (наш браузер буде точно знати, що він працює з потрібним сайтом), до якого числа він дійсний і найголовніше - відкритий ключ шифрування, за допомогою якого наш браузер після певних процедур і буде шифрувати всі передані дані. На стороні сервера є другий ключ (приватний), за допомогою якого сервер буде розшифровувати одержувані від браузера дані.

Якщо наш браузер проаналізував сертифікат і прийшов до висновку, що він дійсно виданий надійним джерелом і термін його дії ще не закінчився, то наш браузер і сервер «домовляються» про те, що вони будуть обмінюватися даними в зашифрованому вигляді.

У цей момент в рядку браузера ви побачите або зелений замочок, або зелену смужку.

Зелений замок, говорить про те, що між нашим браузером і сервером сайту встановлено HTTPS-з'єднання. Це означає, що весь обмін даними відбувається в зашифрованому вигляді.

Тепер, коли ми вводимо свої дані, наприклад, логін: [email protected] і пароль: 12345678 і натискаємо кнопку «Увійти», ці дані летять на сервер, наприклад, так: 8c2c69d1154f28be317480433f25a76a. Сервер отримає ці дані і за допомогою свого приватного ключа перетворить їх назад в логін: [email protected] і пароль: 12345678.

Таким чином, навіть якщо зловмисник зможе перехопити зашифровану інформацію (в нашому випадку 8c2c69d1154f28be317480433f25a76a) і відкритий ключ, то він все одно не зможе її розшифрувати, тому що зробити це можна тільки приватним ключем, який знаходиться на стороні сервера.

Точніше кажучи, при бажанні він зможе її розшифрувати, але йому на це буде потрібно, як мінімум, кілька років, а за цей час термін життя сертифіката вже закінчиться, але про це пізніше.

Тепер, я думаю, ви розумієте, чому у дедалі більшої кількості сайтів ви можете спостерігати зелений замочок в рядку браузера.

Яким сайтам потрібно переходити на протокол HTTPS?

Якщо відповідати коротко, то - всім. Це пов'язано з тим, що вже з початку 2017 го року браузер Google Chrome буде позначати деякі сайти без HTTPS як небезпечні і знижувати у видачі пошукових систем.

А взагалі все йде до того, що в майбутньому сайтів без HTTPS взагалі не залишиться. HTTPS для сайту - це щось на зразок паспорта для людини в реальному житті. Також як в житті ми не будемо укладати договір з людиною без паспорта, також і браузери не будуть взаємодіяти з сайтом без можливості шифрування даних, що передаються.

Як перевести свій сайт на HTTPS?

Щоб перевести ваш сайт на роботу по протоколу HTTPS вам знадобиться так званий SSL-сертифікат.

Давайте розберемося, які бувають сертифікати і чим вони між собою відрізняються.

Перше, що вам треба знати - сертифікати розрізняються по їх походженню. Тут всього два варіанти.

1. самоподпісанного сертифікати (Self-Signed).

Мені сподобалося, як про цей вид сертифікатів написано на сайті sslcertificate : «Самоподпісанного (самозаверенний) сертифікат ви можете і випустити, і підписати самостійно. Але він має низьким ступенем довіри і надійності, як і паспорт, який ви намалюєте і видамо самі собі. »

Як ви зрозуміли, такий сертифікат можна згенерувати самому, але проблема в тому, що йому не довірятимуть. Більшість браузерів при заході на сайт з таким талоном не зможуть визначити цей сертифікат як справжній, оскільки центр сертифікації не вказано і / або не відомий браузеру.

Підпис такого сертифіката можна перевірити, лише використовуючи публічний ключ, частина якого знаходиться в самому сертифікаті. Тобто сертифікат підтверджується, публічним ключем, який є частиною самого сертифіката (сертифікат підтверджує сам себе). Саме з цієї причини браузери не довіряють таким сертифікатам.

Як результат - користувач при заході на такий сайт буде бачити попередження про те, що сертифікат не вдалося перевірити, тому з цього сайту краще скоріше піти.

Багато відвідувачів, побачивши таке, просто закриють вкладку браузера з цим сайтом. Такі сертифікати в основному використовуються для службових цілей і внутрішнього використання, а ось для публічних сайтів і тим більше для сайтів, які продають послуги, такі сертифікати протипоказані. Так що ми навіть не будемо розглядати цей варіант.

2. Довірчі (Trusted) - такі сертифікати видаються спеціальними центрами сертифікації.

Центр сертифікації - компанія, яка займається наданням SSL-сертифікатів. Особливість цих центрів полягає в тому, що вони видають сертифікати, які офіційно визнані у всьому світі і завжди розпізнаються веб-браузерами користувачів. Це відбувається через систему кореневих сертифікатів, які встановлені в браузерах.

Заходячи на сайт, захищений сертифікатом відомого центру сертифікації, відвідувач відчуває себе набагато впевненіше і не сумнівається в безпеці своїх даних. Крім цього, кожен сертифікат від центру підкріплений гарантією, що представляє із себе грошову компенсацію в разі його злому. Найвідоміші центри сертифікації: Comodo, Symantec (поглинув відомі центри VeriSign, Thawte, Geotrust), RapidSSL, GlobalSign, AlphaSSL.

Все, що буде написано далі, відноситься саме до довірених сертифікатів від сертифікаційних центрів.

Тепер давайте розбиратися з типами таких сертифікатів.

Сертифікати відрізняються за рівнем перевірки.

1. SSL-сертифікат з перевіркою домену (Domain Validated або DV). Доступний фізособам і компаніям.

Сертифікат з перевіркою домену підтверджує лише той факт, що доменне ім'я дійсно належить вам.
Даний тип сертифікатів підходить як для фізичних осіб (в тому числі і індивідуальних підприємців), так і для юридичних (підприємств, державних установ, організацій). Для його випуску не потрібно надавати документи, що значно спрощує процес отримання.

Зазвичай, щоб отримати такий сертифікат в центрі сертифікації або у його партнера, досить підтвердити володіння доменом. Для підтвердження домену власнику відправляється лист з посиланням на E-mail скриньку в домені сайту або на E-mail, вказаний в WHOIS домену. Клік по посиланню підтверджує володіння доменом.

Такий SSL-сертифікат зашифровує передану на сайт інформацію, але не дає гарантії, що цієї організації або приватній особі можна довіряти. Цей тип сертифіката найдешевший ( від 470 руб в рік ), А в деяких випадках сертифікат цього типу можна отримати навіть безкоштовно (про це далі).
Видається такий сертифікат за лічені хвилини. Такий сертифікат відмінно підійде для звичайних сайтів (блог, новинний або розважальний портал, сайт візитка і т.д.)

2. SSL-сертифікат з перевіркою організації (Organization Validated або OV). Доступний тільки компаніям.

В даному випадку сертифікаційний центр проводить більш істотну перевірку.
Вона включає перевірку реєстраційних документів компанії або індивідуального підприємця в державних і комерційних базах даних, а також перевірку їх законного володіння доменом.

Після отримання запиту на випуск сертифіката з перевіркою організації центр сертифікації проводить перевірку, чи реально існує така організація, як зазначено в запиті, і чи належить їй вказаний домен.

Такі сертифікати видаються в термін від одного до трьох днів. Вартість тут вже вище ( від 2620 руб / рік ).

Цей тип сертифікатів добре підходить для інтернет-магазинів, страхових компаній та інших проектів, пов'язаних з обробкою і зберіганням персональних даних.

Отримати їх може тільки юридична особа, комерційна, некомерційна або державна організація.

3. SSL-сертифікат з розширеною перевіркою (Extended Validation або EV). Доступний тільки компаніям.

Це найдорожчі сертифікати, і отримати їх найскладніше. У таких сертифікатах є так званий «green bar» - тобто при вході на сайт, де встановлено такий сертифікат, в адресному рядку багатьох браузерів відвідувач бачить зелений рядок, в якій буде вказано назву організації, що отримала сертифікат.

Ось як це виглядає при заході на сайт банку Тінькофф в браузері Opera:

Такі сертифікати мають найбільшим рівнем довіри серед просунутих відвідувачів вашого сайту, оскільки сертифікат вказує, що компанія реально існує, пройшла повну перевірку і сайт дійсно належить їй.

SSL-Сертифікати з розширеною перевіркою (EV) випускаються, тільки коли центр сертифікації (CA) виконує дві перевірки, щоб переконатися, що організація має право використовувати певний домен, плюс центр сертифікації виконує ретельну перевірку самої організації. Процес випуску сертифікатів EV стандартизований і повинен строго відповідати правилам EV, які були створені на спеціалізованому форумі CA / Browser Forum в 2007 році. Там вказані необхідні кроки, які центр сертифікації повинен виконати перед випуском EV сертифіката.

Розширена перевірка займає від 3 днів до 9 днів.

Це найдорожчий тип сертифіката ( від 10 447 руб / рік ).

Цей сертифікат підходить для платіжних систем, сайтів банків і інших проектів, пов'язаних з роботою з важливою, в тому числі фінансової, інформацією.

Сертифікати відрізняються за кількістю доменів, на які поширюється їх дія.

SSL-сертифікат для одного домену - захищає один домен (на піддомени крім www його дія не поширюється).

МультиДоменні SSL-сертифікат - захист до 100 доменних імен одним сертифікатом. При покупці зазвичай в ціну вже включена захист трьох доменів, інші просто докуповуються.

SSL-сертифікат Wildcard - захищає домен і все його піддомени. Зручно, коли у вас на сайті є багато піддоменів, які також повинні працювати по HTTPS.

Також ви можете зустріти такі сертифікати, у яких є додаткові можливості:

SSL-сертифікат з опцією IDN - сертифікат, що підтримує національні домени (наприклад .рф, .рус і т.д.).

SSL-сертифікат з технологією SGC - цей вид сертифікатів йде в минуле. Він дозволяє відвідувачам зі старими браузерами використовувати сучасне 128 і 256-бітове шифрування, яке спочатку не підтримується. Зараз все менше користувачів використовує застарілі версії браузерів, які підтримували слабке шифрування, тому необхідність використання SSL-сертифікатів
з SGC сьогодні зводиться до нуля, в зв'язку з чим такі центри сертифікації як Comodo і Thawte вже припинили випуск цих SSL-сертифікатів. Хоча, при бажанні, їх ще можна знайти.

Є й інші види сертифікатів (Code Signing сертифікат, сертифікат електронної пошти (S / Mime) та інші), але до сайтів вони відношення не мають.

Тепер, володіючи цими знаннями, ви легко зможете орієнтуватися в типах сертифікатів. Ось приклад того, як це виглядає на сайті firstssl.ru

Як визначити який сертифікат підходить для вашого сайту?

Тут все просто.

Крок 1. Визначаємося з типом сертифіката за рівнем перевірки.

Якщо у вас просто блог, новинний або розважальний портал, сайт візитка і т.д. вибираємо звичайний найдешевший або взагалі безкоштовний SSL-сертифікат з перевіркою домену (Domain Validated або DV).

Якщо ваш сайт пов'язаний з прийомом замовлень або ви збираєте і зберігайте особисті дані користувачів, то краще вибрати SSL-сертифікат з перевіркою організації (Organization Validated або OV).

Якщо ж у вас щось типу платіжної системи, банку або страхової компанії і користувачі передають вам дуже цінні дані (наприклад, дані кредитних карт), то краще вибрати SSL-сертифікат з розширеною перевіркою (Extended Validation або EV)

Крок 2. Визначаємося з типом сертифіката за кількістю доменів / піддоменів.

Якщо вам треба захистити тільки один домен, то значить вам потрібен SSL-сертифікат того типу, що ви вибрали на першому кроці для одного домену.

Якщо вам треба захистити один домен і все його піддомени, то значить вам потрібен SSL-сертифікат того типу, що ви вибрали на першому кроці з опцією Wildcard. Або кілька одиночних сертифікатів (для кожного поддомена свій).

Якщо вам треба захистити одним сертифікатом кілька ваших доменів, то значить вам потрібен SSL-сертифікат того типу, що ви вибрали на першому кроці з опцією MULTI-DOMAIN.

Отже, припустимо ви визначилися, що вам потрібен SSL-сертифікат з перевіркою домену (Domain Validated або DV) для одного домену, що далі?

Як і де замовляти сертифікат?

Щоб відповісти на це питання вам треба зрозуміти, чим відрізняються між собою різні центри сертифікації.

Центрів сертифікації існує досить багато, ось перелік найпопулярніших:

Symantec (також до його складу входять такі центри як Verisign, Thawte і Geotrust), Comodo, Trustwave, RapidSSL, GlobalSign, AlphaSSL.

Найбільший гравець на ринку SSL сертифікатів - це Symantec , Який володіє трьома великими центрами сертифікації: Thawte, Verisign і Geotrust.

Основна відмінність між різними центрами сертифікації - в ціні сертифікатів і в тому, в якій кількості браузерів встановлений їх кореневий сертифікат. Адже якщо в браузері немає кореневого сертифіката цього центру сертифікації, то відвідувач з таким браузером все одно отримає помилку при вході на сайт з сертифікатом від такого центру. Що стосується перерахованих вище центрів сертифікації, то їх кореневі сертифікати встановлені у всіх сучасних браузерах.

У всіх вищевказаних центрах сертифікації SSL-сертифікат можна отримати, тільки заплативши за нього певну суму. Причому купувати сертифікат безпосередньо у центрів сертифікації невигідно, так як ціна для кінцевих користувачів у них істотно вище, ніж для партнерів. Найвигідніше купувати такі сертифікати через партнерів. Партнери закуповують сертифікати оптом і мають спеціальні ціни, що дозволяє продавати сертифікати набагато дешевше, ніж безпосередньо в центрі сертифікації.

Приклади партнерів, у яких можна купити сертифікати дешевше, ніж якщо брати безпосередньо:

firstssl.ru , sslcertificate.ru , ssl.com.ua

Крім цього, партнерами центрів сертифікації є хостинг-провайдери і реєстратори доменів . Тому часто ви можете купити SSL-сертифікат через них.

Чи можна отримати SSL-сертифікат безкоштовно?

Так, така можливість є, але тут є кілька обмежень.

По-перше, безкоштовно можна отримати тільки найпростіший варіант сертифіката (з перевіркою домену DV) без опцій Wildcard або Multi-domain.

По-друге, такий сертифікат буде від центру сертифікації другого ешелону (в цілому в цьому немає нічого поганого, тому що всі сучасні браузери відмінно розпізнають їх сертифікати).

По-третє, процес отримання і установки таких сертифікатів не завжди простий і зрозумілий звичайному власнику сайту.

Два лідируючих безкоштовних центру сертифікації:

https://www.startssl.com (На даний момент, всі сертифікати випущені цим центром після 21.10.16 не підтримуються новими версіями браузерів Google Chrome і Mozilla Firefox. Краще поки не використовувати цей центр сертифікації.)

https://letsencrypt.org

В цілому їх цілком можна використовувати, особливо для не найважливіших ваших проектів. Нижче ви знайдете відеоуроки з отримання сертифікатів в цих центрах. Для основних ваших проектів я рекомендую брати найдешевші SSL-сертифікати від топових центрів сертифікації.

Як виглядає процес покупки / отримання сертифіката?

Розглянемо процес на прикладі найпростішого сертифіката з перевіркою домену (DV).

Крок 1. Реєструємося на сайті центру сертифікації або на сайті партнера .

Крок 2. Вибираємо тип сертифіката, який нам потрібен. Наприклад, сертифікат для одного домену з мінімальною перевіркою (DV).

Крок 3. Генеруємо CSR-запит на сертифікат. CSR (Certificate Signing Request) - це запит на отримання сертифіката, який являє собою текстовий файл, який містить в закодованому вигляді інформацію про адміністратора домена відкритий ключ. Зазвичай CSR генерується в процесі замовлення SSL-сертифіката.

Файл ключа, який у вас вийде при генерації CSR-запиту, потрібно обов'язково зберегти, він вам ще знадобиться.

Крок 4. Оплачуємо сертифікат (якщо ви вибрали платний варіант).

Крок 5. Підтверджуємо володіння доменом. Для цього вам знадобиться email-ящик в зоні вашого домену. Туди буде відправлено лист, в якому треба клікнути по посиланню або скопіювати код, який потрібно ввести на сторінці центру сертифікації.

Крок 6. Чекаємо випуску сертифіката і викачуємо його.

Крок 7. Установлюєте сертифікат на сайт, використовуючи файл (и) сертифіката і фаил-ключа, який у вас вийшов на третьому кроці. Якщо ваш сайт розташований на звичайному хостингу, то краще попередньо написати в сапорт і уточнити, як правильно встановити сертифікат. Якщо у вас свій сервер, то просто передайте всі файли адміністратору, він сам за 5 хвилин все встановить.

Якщо SSL-сертифікати можна придбати / отримати через вашого хостера, то процес зазвичай сильно спрощується. Зазвичай прямо в панелі управління хостингу можна для обраного домену замовити сертифікат, який після отримання буде автоматично встановлений.

А щоб вам було простіше у всьому цьому розібратися, я записав для вас кілька відеоуроків про те, як отримувати / купувати SSL-сертифікати. Я розглянув три випадки.

1. Отримання безкоштовного SSL-сертифіката в центрі сертифікації StartCom своїми силами.

(на даний момент, всі сертифікати випущені цим центром після 21.10.16 не підтримуються новими версіями браузерів Google Chrome і Mozilla Firefox. Краще поки не використовувати цей центр сертифікації.)

Це відео на YouTube
Це відео на YouTube
Це відео на YouTube

2. Купівля SSL-сертифіката за 470 рублів від топ-центру сертифікації Comodo у партнера FirstSSL.

З цього відео ви дізнаєтеся як купити сертифікат Comodo PositiveSSL через партнера FirstSSL . Рекомендую цей варіант для важливих проектів тому тут ви отримуєте сертифікат від одного з найбільш надійних центрів сертифікації.

Comodo Positive SSL сертифікат є одним з найбільш доступних за ціною і ефективних SSL-сертифікатів, доступних сьогодні. Випуск сертифікату Positive SSL займає від 3-х хвилин. Positive SSL-сертифікати забезпечують надійний захист всіх операціях, які здійснюють ваші клієнти, що забезпечує їм впевненість в тому, що їх конфіденційна інформація шифрується і не потрапить в руки зловмисників.

Це відео на YouTube

3. Отримання безкоштовного SSL-сертифіката в Lets Encrypt через хостера (в даному випадку це Beget )

Це відео на YouTube

Якщо ж ви ще не купили домен, а тільки збираєтеся це зробити, рекомендую вам вивчити цей матеріал:

Безкоштовний SSL-сертифікат на 1 рік від REG.RU

Чи потрібно вносити в сайт якісь зміни після переведення його на HTTPS?

Так звісно.

Дві основні завдання, які вам потрібно буде вирішити такі:

Завдання 1. Весь контент сторінки повинен також довантажуватися по протоколу https. Всі таблиці стилів, картинки, скрипти і т.д. Якщо цього не зробити, то браузер буде вважати, що на сторінці є небезпечний контент і не покаже зеленого значка в рядку браузера, навіть при тому, що сторінка буде завантажена по https.

Завдання 2. Після установки сертифіката, ваш сайт буде доступний і по http і по https. Вам же потрібно буде налаштувати спеціальний редирект, щоб всі відвідувачі потрапляли тільки на https-варіант сторінки.

Щоб вам було легше все це зрозуміти, я записав для вас кілька відеоуроків з прикладом того, які дії потрібно зробити після установки сертифіката на сайт, зроблений на Wordpress.

Увага! Перед внесенням в сайт змін по цих уроків обов'язково зробіть резервну копію файлів і бази даних сайту. Якщо щось піде не так, ви завжди зможете відкотитися до попередньої версії.

Список кроків з відео

Це відео на YouTube
Це відео на YouTube
Це відео на YouTube

Якщо у вас виникли проблеми з входом в адмінку на цьому етапі, то подивіться це відео

Це відео на YouTube
Це відео на YouTube

Після підключення HTTPS-версії, зайдіть в панель управління Яндекс.Вебмайстер і в розділі "Переїзд сайту" вкажіть переїзд на HTTPS.

Корисні матеріали по темі:

Вебінар Сергія Кокшарова « Перехід на HTTPS. Особливості, проблеми та їх вирішення »

Онлайн-генератор запиту на сертифікат (CSR)

Якщо самі не хочете всім цим займатися, створіть проект на фрілансі і нехай вам все це зробить досвідчений фахівець.

Якщо у вас виникли питання, задавайте їх у коментарях. На що зможу, обов'язково відповім.

PS А якщо ви хочете вивчити тему пошукової оптимізації сайту і почати результативно просувати свої або чужі сайти, то зверніть увагу на курс Руслана, який називається «Секрети практичного SEO». Цей курс незвичайний тим, що записано в форматі реаліті-шоу, в рамках якого ви своїми очима побачите, як розкручувався молодий сайт з маленькою відвідуваністю. Вас чекають всі кроки, які привели сайт на перші місця за всіма ключовими пошуковими запитами і збільшили його відвідуваність до показника в 6000-7000 осіб на добу. Натисніть тут, щоб дізнатися докладніше .

Ви вже перевели свої проекти на https?