SSL (Secure Sockets Layer) — это цифровая подпись, которая обеспечивает безопасное зашифрованное соединение между веб-сервером (сайтом) и веб-клиентом (браузером) посредством протокола HTTPS.
TLS (Transport Layer Security) — протокол, основанный на спецификации протокола SSL версии 3.0, разработанной компанией Netscape Communications
Сертификаты безопасности особенно необходимы ресурсам, которые работают с личными данными пользователей, платежными системами, конфиденциальной информацией.
HTTP — обычный протокол, он работает по умолчанию. Вы вводите на сайте личную информацию, а браузер передаёт её на сервер в открытом виде.
HTTPS — защищённая версия HTTP. Это протокол, который активируется после установки SSL/TLS-сертификата и кодирует личную информацию, перед тем как отправлять ее на сервер.
Разница между SSL и TLS
Обновлении SSL протокола в версии 3.0 было стандартизировано специалистами компании Netscape. Эта версия SSL получила новое название: TLS (Transport Layer Security — защита транспортного уровня).
SSL сертификат и безопасное соединение
Пример: Клиент делает заказ в интернет-магазине без подключенного SSL-сертификата (http-соединение). Когда он ввел платежные данные и нажимает кнопку “Оплатить”, браузер передает информацию на сервер без шифрования и эта информация доступна для перехвата.
Если для сайта подключен SSL-сертификат (https-соединение), между браузером клиента и сервером устанавливается защищенное соединение. Технически информация по-прежнему доступна для перехвата, но браузер отправляет на сервер зашифрованные данные, получая которые сервер расшифровывает их криптографическим ключом. Перехват данных на пути от браузера к серверу ничего не дает, т.к. это поток зашифрованной информации.
Принцип работы сертификата
При SSL/TLS-шифровании используется ключ — это способ зашифровать или расшифровать сообщение. В работе SSL-сертификата участвуют три ключа:
- Публичный ключ – зашифровывает сообщение. Браузер использует его при отправке пользовательских данных серверу.
- Приватный ключ – расшифровывает информацию. Его использует сервер, когда получает сообщение от браузера. Этот ключ хранится на сервере и не передаётся вместе с сообщением.
- Ключ сеанса – одновременно зашифровывает и расшифровывает сообщения. Браузер генерирует его на время, которое пользователь проводит на сайте. Стоит пользователю закрыть вкладку, сеанс закончится и ключ перестанет работать.
Типы SSL сертификатов
- DV (Domain Validation) — для подтверждения домена
- OV (Organization Validation) — для подтверждения организации и домена
- EV (Extended Validation) — для расширенного подтверждения организации и домена.
Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции:
- WildCard — подтверждает домен и все его поддомены следующего уровня
- SAN — подтверждает домены по списку, указанному при получении SSL-сертификата
Как получить сертификат
В зависимости от потребностей клиента доступны как платные, так и бесплатные способы получения SSL/TLS сертификатов:
- Платные — можно заказать в Центре сертификации (например, Comodo, Geotrust, Thawte и т.д.). Услуга платная, сертификат дается на определенное время (например 1 год с возможностью постоянного продления). Цена зависит от типа сертификата и стойкости ключа шифрования.
- Бесплатные — лидером в выдаче бесплатных сертификатов является компания Let’s Encrypt. Сертификат выдается на 3 месяца и далее продлевается автоматически. За генерацию и продление сертификата оплата не предусмотрена.
Влияние SSL сертификата на ранжирование
В 2014 году Google в своем блоге написал следующее “… so we’re starting to use HTTPS as a ranking signal” – именно с этого момента начался массовый переход сайтов на безопасное соединение. Хотя протокол шифрования появился задолго до этого, но использовали его на тот момент менее 1% сайтов.
Google использует большое число факторов ранжирования и наличие SSL/TLS сертификата это лишь один из них.
Совет SEO-специалиста: подключение сертификата SSL не даст явных преимуществ в ранжировании, но его наличие важно для безопасности пользователей и восприятия Вашего сайта на фоне конкурентов. Некоторое время назад сайты с SSL-сертификатом являлись передовыми, сейчас это необходимый атрибут безопасности и https-соединение настроено на многих сайтах. Отсутствие безопасного соединения может негативно сказаться на доверии к Вашему сайту.
