База знаний

SSL/TLS-сертификат – HTTPS вместо HTTP

SSL (Secure Sockets Layer) — это цифровая подпись, которая обеспечивает безопасное зашифрованное соединение между веб-сервером (сайтом) и веб-клиентом (браузером) посредством протокола HTTPS.

TLS (Transport Layer Security) — протокол, основанный на спецификации протокола SSL версии 3.0, разработанной компанией Netscape Communications

Сертификаты безопасности особенно необходимы ресурсам, которые работают с личными данными пользователей, платежными системами, конфиденциальной информацией.

HTTP — обычный протокол, он работает по умолчанию. Вы вводите на сайте личную информацию, а браузер передаёт её на сервер в открытом виде.

HTTPS — защищённая версия HTTP. Это протокол, который активируется после установки SSL/TLS-сертификата и кодирует личную информацию, перед тем как отправлять ее на сервер.

Разница между SSL и TLS

Обновлении SSL протокола в версии 3.0 было стандартизировано специалистами компании Netscape. Эта версия SSL получила новое название: TLS (Transport Layer Security — защита транспортного уровня).

SSL сертификат и безопасное соединение

Пример: Клиент делает заказ в интернет-магазине без подключенного SSL-сертификата (http-соединение). Когда он ввел платежные данные и нажимает кнопку «Оплатить», браузер передает информацию на сервер без шифрования и эта информация доступна для перехвата.

Если для сайта подключен SSL-сертификат (https-соединение), между браузером клиента и сервером устанавливается защищенное соединение. Технически информация по-прежнему доступна для перехвата, но браузер отправляет на сервер зашифрованные данные, получая которые сервер расшифровывает их криптографическим ключом. Перехват данных на пути от браузера к серверу ничего не дает, т.к. это поток зашифрованной информации.

Принцип работы сертификата

При SSL/TLS-шифровании используется ключ — это способ зашифровать или расшифровать сообщение. В работе SSL-сертификата участвуют три ключа:

  • Публичный ключ — зашифровывает сообщение. Браузер использует его при отправке пользовательских данных серверу.
  • Приватный ключ — расшифровывает информацию. Его использует сервер, когда получает сообщение от браузера. Этот ключ хранится на сервере и не передаётся вместе с сообщением.
  • Ключ сеанса — одновременно зашифровывает и расшифровывает сообщения. Браузер генерирует его на время, которое пользователь проводит на сайте. Стоит пользователю закрыть вкладку, сеанс закончится и ключ перестанет работать.

Типы SSL сертификатов

  • DV (Domain Validation) — для подтверждения домена
  • OV (Organization Validation) — для подтверждения организации и домена
  • EV (Extended Validation) — для расширенного подтверждения организации и домена.

Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции:

  • WildCard — подтверждает домен и все его поддомены следующего уровня
  • SAN — подтверждает домены по списку, указанному при получении SSL-сертификата

Как получить сертификат

В зависимости от потребностей клиента доступны как платные, так и бесплатные способы получения SSL/TLS сертификатов:

  • Платные — можно заказать в Центре сертификации (например, Comodo, Geotrust, Thawte и т.д.). Услуга платная, сертификат дается на определенное время (например 1 год с возможностью постоянного продления). Цена зависит от типа сертификата и стойкости ключа шифрования.
  • Бесплатные — лидером в выдаче бесплатных сертификатов является компания Let’s Encrypt. Сертификат выдается на 3 месяца и далее продлевается автоматически. За генерацию и продление сертификата оплата не предусмотрена.

Влияние SSL сертификата на ранжирование

В 2014 году Google в своем блоге написал следующее «… so we’re starting to use HTTPS as a ranking signal» — именно с этого момента начался массовый переход сайтов на безопасное соединение. Хотя протокол шифрования появился задолго до этого, но использовали его на тот момент менее 1% сайтов.

Google использует большое число факторов ранжирования и наличие SSL/TLS сертификата это лишь один из них.

Совет SEO-специалиста: подключение сертификата SSL не даст явных преимуществ в ранжировании, но его наличие важно для безопасности пользователей и восприятия Вашего сайта на фоне конкурентов. Некоторое время назад сайты с SSL-сертификатом являлись передовыми, сейчас это необходимый атрибут безопасности и https-соединение настроено на многих сайтах. Отсутствие безопасного соединения может негативно сказаться на доверии к Вашему сайту.