SSL (Secure Sockets Layer) — це цифровий підпис, який забезпечує безпечне зашифроване з’єднання між веб-сервером (сайтом) і веб-клієнтом (браузером) шляхом протоколу HTTPS.
TLS (Transport Layer Security) — протокол, заснований на специфікації протоколу SSL версії 3.0, розробленій компанією Netscape Communications
Сертифікати безпеки особливо необхідні ресурсам, які працюють з особистими даними користувачів, платіжними системами, конфіденційною інформацією.
HTTP — звичайний протокол, він працює за замовчуванням. Ви вводите на сайті особисту інформацію, а браузер передає її на сервер у відкритому вигляді.
HTTPS — захищена версія HTTP. Це протокол, який активується після встановлення SSL/TLS-сертифіката і кодує особисту інформацію, перш ніж надіслати її на сервер.
Різниця між SSL і TLS
Оновлення SSL протоколу в версії 3.0 було стандартизовано спеціалістами компанії Netscape. Ця версія SSL отримала нову назву: TLS (Transport Layer Security — захист транспортного рівня).
SSL сертифікат і безпечне з’єднання
Приклад: Клієнт робить замовлення в інтернет-магазині без підключеного SSL-сертифіката (http-з’єднання). Коли він ввів платіжні дані і натискає кнопку “Оплатити”, браузер передає інформацію на сервер без шифрування, і ця інформація доступна для перехоплення.
Якщо для сайту підключений SSL-сертифікат (https-з’єднання), між браузером клієнта і сервером встановлюється захищене з’єднання. Технічно інформація все ще доступна для перехоплення, але браузер надсилає на сервер зашифровані дані, отримуючи які, сервер розшифровує їх криптографічним ключем. Перехоплення даних на шляху від браузера до сервера нічого не дає, оскільки це потік зашифрованої інформації.
Принцип роботи сертифіката
При SSL/TLS-шифруванні використовується ключ — це спосіб зашифрувати або розшифрувати повідомлення. У роботі SSL-сертифіката беруть участь три ключі:
- Публічний ключ – зашифровує повідомлення. Браузер використовує його при відправці користувацьких даних на сервер.
- Приватний ключ – розшифровує інформацію. Його використовує сервер, коли отримує повідомлення від браузера. Цей ключ зберігається на сервері і не передається разом із повідомленням.
- Ключ сеансу – одночасно зашифровує і розшифровує повідомлення. Браузер генерує його на час, який користувач проводить на сайті. Як тільки користувач закриває вкладку, сеанс закінчується, і ключ перестає працювати.
Типи SSL сертифікатів
- DV (Domain Validation) — для підтвердження домена
- OV (Organization Validation) — для підтвердження організації і домена
- EV (Extended Validation) — для розширеного підтвердження організації і домена.
Сертифікати всіх зазначених типів забезпечують шифрування трафіку між сайтом і браузером. Крім того, у них є додаткові опції:
- WildCard — підтверджує домен і всі його піддомени наступного рівня
- SAN — підтверджує домени за списком, зазначеним при отриманні SSL-сертифіката
Як отримати сертифікат
В залежності від потреб клієнта доступні як платні, так і безкоштовні способи отримання SSL/TLS сертифікатів:
- Платні — можна замовити в Центрі сертифікації (наприклад, Comodo, Geotrust, Thawte тощо). Послуга платна, сертифікат видається на певний час (наприклад, 1 рік з можливістю постійного продовження). Ціна залежить від типу сертифіката і стійкості ключа шифрування.
- Безкоштовні — лідером у видачі безкоштовних сертифікатів є компанія Let’s Encrypt. Сертифікат видається на 3 місяці і далі автоматично подовжується. За генерацію і продовження сертифіката плата не передбачена.
Вплив SSL сертифіката на ранжування
У 2014 році Google в своєму блозі написав наступне “… so we’re starting to use HTTPS as a ranking signal” – саме з цього моменту почався масовий перехід сайтів на безпечне з’єднання. Хоча протокол шифрування з’явився задовго до цього, але використовували його на той момент менше 1% сайтів.
Google використовує велику кількість факторів ранжування і наявність SSL/TLS сертифіката це лише один з них.
Порада SEO-спеціаліста: підключення сертифіката SSL не дасть явних переваг у ранжуванні, але його наявність важлива для безпеки користувачів і сприйняття Вашого сайту на фоні конкурентів. Дещо раніше сайти з SSL-сертифікатом були передовими, зараз це необхідний атрибут безпеки, і https-з’єднання налаштоване на багатьох сайтах. Відсутність безпечного з’єднання може негативно позначитися на довірі до Вашого сайту.
