SSL-сертифікат: що це таке і як працює?

Бронювання номеру в готелі чи квитка на рейс, інтернет-покупка чи запис на консультацію, навіть звичайна підписка на новини — всі ці дії передбачають відправку особистих даних на сервер сайту.

Перехоплення цієї інформації зловмисниками може призвести до значних неприємностей. Їх масштаб залежить від того, наскільки конфіденційними були дані. Це може бути просто ім’я та e-mail або ж деталі банківської картки. У першому випадку ви без власної згоди отримуватимете різноманітні розсилки. У другому — злочинці можуть влаштувати онлайн-шопінг за ваш рахунок або оформити на вас кредит.

Щоб уникнути подібних ситуацій, перед заповненням будь-яких лід-форм та використання сайтів в цілому завжди перевіряйте наявність SSL-сертифіката. Цей файл слугує для захисту даних від шахраїв та підтверджує надійність веб-ресурсу.

SSL-сертифікат та принцип його роботи

SSL розшифровується як «secure sockets layer», що в перекладі означає «рівень захищених сокетів». Він являє собою криптографічний протокол для безпечного зв’язку з сайтом. Після вдосконалення протоколу абревіатура SSL могла бути замінена на TLS («transport layer security» — безпека транспортного рівня), однак назва початкової версії залишилася. Тож на сьогоднішній день під поняттям SSL мають на увазі TLS.

«Сертифікат безпеки веб-сайту — це цифровий файл, що містить інформацію, яка вказує на безпеку та ідентичність веб-сайту, що використовує зашифроване з’єднання. Центр сертифікації (ЦС) відповідає за затвердження інформації в цих сертифікатах. ЦС вживають заходів для перевірки того, що веб-сайт належить правильній організації. Метою цих сертифікатів є захист веб-сайтів і перевірка особистих даних». «What Are Website Security Certifications? And How To Get One», — Indeed Editorial Team

Протоколом називають набір правил, який використовує браузер і сервер у процесі обміну інформацією. За його відсутності хакери можуть зламувати базу даних сайту, перехоплювати логіни і паролі, дані кредитних карток, телефони, адреси і багато іншого.

Про те, чи захищений сайт протоколом, може дізнатися кожен користувач. Для цього у адресному рядку поряд з URL відображається один із трьох символів. У різних браузерах значок безпеки може відображатися по-різному.

Default (Secure) — з’єднання безпечне, а отже, інформація, якою ви обмінюєтесь із сайтом, залишається засекреченою.
Info or Not Secure — відсутнє конфіденційне з’єднання. Цілком імовірно, що стороння особа може переглядати й використовувати дані, які ви вводите у лід-форми на сторінках сайту.
Not Secure or Dangerous — з’єднання незахищене або небезпечне. На такому сайті не можна залишати особисту інформацію, особливо конфіденційну. В цілому бажано відмовитися від користування таким веб-ресурсом.

Відображення захищеності сайту протоколом у адресній стрічці

Значок «Default (Secure)» означає також наявність додаткової інформації про сертифікат. Ви можете переглянути її, натиснувши на шестірню та перейшовши на вкладку «Certificate is valid».

Наявність додаткової інформації у вкладці «Certificate is valid»

У деяких випадках сертифікат безпеки позначається замочком, що свідчить про його дійсність та відповідність вимогам безпеки. Він може бути зеленого, золотого або сірого кольору. Шестірня також підтверджує відповідність стандартам та вимогам безпеки. Те, який символ використовується для позначення сертифікату безпеки, може відрізнятися залежно від країни, галузі та браузера користувача.

Зображення «Замочка» у сертифікаті безпеки свідчить про його безпеку та дійсність

Перекреслений замок, як і попередження «Not Secure or Dangerous» у вигляді знаку оклику на тлі червоного трикутника, свідчить про неконфіденційність з’єднання.

Ще одним індикатором безпеки даних є напис HTTPS перед адресою сайту. Тобто, посилання https://www.forbes.com підтверджує, що веб-ресурс захищений протоколом. І навпаки — сайт був би небезпечним, якби адреса виглядала наступним чином: http://www.forbes.com.

На сайтах із HTTPS у адресі захист особистої інформації користувачів забезпечується протоколом TLS, який передбачає три рівні запобігання незаконному використанню даних:

шифрування даних, виключення можливості їх перехоплення під час передачі інформації на сервер;
збереження відомостей, в рамках якого будь-яка їх зміна завжди фіксується;
автентифікація відповідає за те, що користувачі потрапляють на потрібні їм ресурси.

Якщо на сайті є SSL-сертифікат, між браузером відвідувача і веб-ресурсом встановлюється захищене з’єднання. Захист полягає у перетворенні номера картки на випадковий набір символів перед його відправкою на сервер. Для розшифровки повідомлення знадобиться спеціальний ключ, який зберігається на сервері. І навіть якщо шахраї перехоплять інформацію, вони не зможуть її зрозуміти і застосувати.

Коментар експерта

Декілька років тому, чим крутіший SSL-сертифікат, тим більшою була зелена смужка, назва компанії, виділення навіть у браузерному рядку. У той час для банків, фінансових установ, платіжних операторів був обов’язковий саме EV-сертифікат — Extended Validation.

Для сайтів, які зберігають у собі дані — не лише умовно логін і пароль, а й фінансові дані, облікові кабінети тощо — рекомендується саме OV. Але в цілому, якщо це магазин чи навіть сайт послуг, який має підключеного стороннього платіжного оператора і самі дані кредитної картки не зберігаються саме в конкретного сайту, то достатньо навіть DV — мінімальні сайти.

Декілька років тому Google наполягав саме на перевагах платних SSL-сертифікатів, а не безкоштовних, але зараз Google сам партнериться і сам генерує навіть безкоштовні SSL-сертифікати для Cloudflare і конкурує з тим самим Let’s Encrypt.

Сайти зовсім без SSL-сертифікатів всі сучасні браузери успішно блокують, тому звичайний користувач зазвичай може бачити сайт або без сертифіката, а ось який тип — уже дізнається або через спеціалізовані сервіси, або залазячи в налаштування.

Микола Лукашук, CEO в marketing.link

Три ключі шифрування

Публічний ключ зашифровує повідомлення під час відправки користувацьких даних серверу. Наприклад, це відбувається у момент, коли користувач вводить свої дані у лід-формі та натискає «Замовити».
Приватний ключ розшифровує повідомлення, яке надійшло на сервер, він зберігається на ньому ж і не передається далі.
Сеансовий ключ є тимчасовим, діє до завершення сеансу, тобто до закриття вкладки у браузері. Він одночасно зашифровує і розшифровує повідомлення.

Шифрування з двома різними ключами називають асиметричним. Цей метод є надійним, але більш трудомістким. Браузер і сервер використовують його один раз, а саме задля генерування сеансового ключа. При симетричному шифрування унікальний ключ створюється виключно для конкретного сеансу та не зберігається на сервері.

SSL-з’єднання встановлюється при кожному відвідуванні сайту. Процес називається «handshake», тобто «рукостискання». Можна сказати, що поки веб-ресурс завантажується, браузер і сервер «вітаються» один з одним.

📌 Читайте статтю: Аналіз швидкості сайту: як пришвидшити завантаження сайту

Принцип дії HTTPS-з’єднання

Користувач вводить у браузері доменне ім’я.
Сервер надсилає інформацію про SSL-сертифікат і публічний ключ.
Браузер перевіряє інформацію, генерує сеансовий ключ, зашифровує його публічним ключем і відправляє назад.
Сервер розшифровує сеансовий ключ.
Встановлюється безпечне з’єднання.

Обмін відкритими ключами між клієнтом і сервером

Процес можна порівняти з розпізнаванням обличчя пристроєм iPhone. Функція Face ID не розблокує смартфон, поки не переконається, що він знаходиться у руках власника. Подібний принцип роботи і в SSL-сертифіката, завдяки якому браузер не встановлює безпечне з’єднання, поки не перевірить достовірність сертифіката.

Для чого потрібен сертифікат безпеки?

SSL-сертифікат захищає дані відвідувачів сайту, і це його ключова функція. Такий захист дозволяє уникнути гучних скандалів, якщо мова йде про популярні комерційні ресурси, маркетплейси, а також соціальні мережі. Адже витік інформації псує репутацію бренду та значно зменшує довіру користувачів.

Якщо сертифікат безпеки відсутній або недійсний, користувачі отримують відповідне сповіщення.

«Якщо ви бачите червоне попередження, яке відображається на всю сторінку, це означає, що функція «Безпечний перегляд» позначила сайт як небезпечний. Сайт може недопустимим чином використовувати отриману інформацію або зловживати нею, а також спробувати встановити шкідливе програмне забезпечення на ваш комп’ютер. Коли ви користуєтеся цим сайтом, ваша конфіденційність і безпека під загрозою». «Check if a site’s connection is secure», — Google Chrome Help

Сповіщення про недоступність сайту для користувачів

Звісно, після отримання такого сповіщення користувач покине сайт та піде до конкурентів. Компанія, яка нехтує безпекою клієнтів, втрачає прибуток. Найважливішою наявність сертифіката є для сайтів банків, платіжних систем, державних підприємств і т. д. Там люди можуть залишати конфіденційні дані і навіть скріншоти документів. Однак для інтернет-магазинів, маркетплейсів, форумів та навіть сайтів-візиток, де відвідувач може замовити і оплатити певну послугу, SSL-сертифікат є обов’язковою умовою довіри клієнтів та пошукової системи.

📌 Читайте статтю: Що робити з поганим показником Interaction to Next Paint INP?

Переваги використання SSL-сертифікату

Покращення позицій в органічній видачі. Google, як і деякі інші пошукові системи, враховують наявність SSL-сертифіката при ранжуванні сайту. Тож ресурс із SSL-сертифікатом має перевагу порівняно з незахищеним сайтом.
Дотримання вимог GDPR. Захищене з’єднання допомагає виконувати правила щодо захисту особистих даних, що встановлені регулятивними органами, наприклад, GDPR в Європейському Союзі.
Можливість використання HTTPS протоколу. Сайт із встановленим SSL-сертифікатом може використовувати безпечний протокол HTTPS, і це теж позитивно впливає на репутацію та SEO.
Безпека субдоменів, що є актуальною для власників кількох сайтів.
Користувачі не бояться оформлювати замовлення онлайн та проводити на сайті багато часу.

«SSL-сертифікати можуть значно підвищити коефіцієнт конверсії. Користувач з набагато більшою ймовірністю купить у вас, якщо ваш сайт захищений». «How to Choose Between these 5 SSL Certificates for Your Site», — Neil Patel Blog

Питання наявності сертифіката регулює закон «Про персональні дані». Тож захищене з’єднання — це не бонус, а обов’язкова умова для повноцінного веб-ресурсу. Тому на сьогоднішній день частка сайтів із SSL серед лідерів пошукової видачі перевищує 80%.

Типи SSL-сертифікатів

Чим дорожчий сертифікат, тим кращим він вважається, адже на ціну впливає складність перевірки та технічні можливості. Звісно, не варто обирати найбільш престижне рішення для лендингу, блогу чи сайту-візитки. Слід враховувати специфіку бізнесу і масштаб компанії. Існують сертифікати для захисту однієї сторінки або ж для багатьох сторінок на субдоменах.

За призначенням і складністю SSL-сертифікати можна поділити на кілька типів.

Сертифікати з перевіркою доменного імені (DV)
Підійдуть для фізичних осіб, а саме для особистого сайту, блогу, форуму і т. д. Можливо, відвідувачі підписуються на електронні розсилки чи залишають свій номер телефону для консультації — у такому випадку це рішення буде оптимальним. Сертифікат з перевіркою домену видається за 15 хвилин і не вимагає наявності документів власника сайту чи компанії.
З перевіркою організації (OV)
Такий SSL-сертифікат використовує малий та середній бізнес: корпоративні сайти, соціальні мережі, невеликі інтернет-магазини, страхові агенції, туристичні фірми. Якщо користувачі використовують веб-ресурс як платформу для переписки, оплачують будь-що за допомогою платіжних систем, встановлених на сайт, перевірки домена буде недостатньо, тому цей тип підійде якнайкраще.
SSL-сертифікат із розширеною перевіркою документів (EV)
Великі комерційні організації та державні установи несуть відповідальність перед великою кількістю людей, а інформація, залишена на їхніх сайтах, може бути цілком конфіденційною. У деяких випадках такі сертифікати обирають для великих інтернет-магазинів, сайтів банків, інвестиційних фондів і ін.

Їх може отримати тільки юридична особа, а на процес видачі знадобиться приблизно два тижні. Окрім цього, перед випуском сертифіката підтримка центру сертифікації перевіряє доменне ім’я, реєстрацію компанії, її контактні дані та право на комерційну діяльність. SSL-сертифікат із розширеною перевіркою документів легко розпізнати, оскільки під час переходу на сайт із таким сертифікатом у браузері з’являється зелений рядок із назвою компанії.

Також існують мультидоменні сертифікати, призначені для мережевого бізнесу, поштових серверів і ін. Деякі з них можуть захищати до 100 доменів. Вони також можуть бути з перевіркою домену, організації або з розширеною перевіркою документів і зеленим рядком. А от Wildcard-сертифікати для субдоменів бувають тільки двох видів — з перевіркою домену та організації.

Для того щоб перевірити надійність захисту даних, можна використовувати спеціальний SSL-сертифікат чекер. Сервіс оцінює правильність роботи файла. Базову перевірку кожен користувач здійснює безпосередньо за допомогою браузера, однак останній діє за своїми принципами, і не завжди надає об’єктивну інформацію. Тому краще обрати чекер, наприклад, SSL Checker чи SSL Shopper.

Перевірка надійності захисту даних в чекері «SSL Shopper»

Перевірка займає кілька секунд. Наприклад, так виглядають результати на сайті sslchecker.com.

Результат перевірки на сайті sslchecker.com.

Як отримати сертифікат безпеки?

Щоб встановити на сайті сертифікат безпеки, для початку його доведеться купити. Ціна може коливатися в широкому діапазоні — від $20 до $500. Сума залежить від рівня захисту. До того ж, дорогі сертифікати, як правило, випускаються лише після перевірки числених документів, тому, крім коштів, знадобиться час.

Такі реєстратори сертифікатів як Letsencrypt та Startssl є безкоштовними. Однак технологія ідентифікації SNI, яку вони використовують, не сумісна зі значною кількістю платіжних систем. Тому для новинних порталів та блогів вони підійдуть, а от для комерційних проєктів — ні.

Платні сертифікати вирізняються зручністю проведення платежів. Це покращує юзабіліті сайту і збільшує його конверсію. Також платні реєстратори надають гарантії захисту від злому.

Отримання сертифікату безпеки веб-ресурсу відбувається в кілька етапів.

Вибір центру сертифікації.
Деякі хостинг-провайдери пропонують сертифікацію безпеки сайтів. Важливо знайти довірену організацію, яка надасть дійсний сертифікат із надійним захистом.
Створення запиту на підписання сертифіката.
Таку заяву потрібно надіслати до обраного центру сертифікації. У ній має міститися доменне ім’я веб-ресурсу, особа, організація або пристрій, якому належить сертифікат, назва центру сертифікації з підписом, який його видав, дата видачі сертифіката і дата закінчення терміну дії сертифіката, а також відкритий ключ для шифрування та дешифрування даних.
Очікування перевірки.
На цьому ж етапі відбувається оплата. Центри сертифікації аналізують вашу інформацію та підписують сертифікати за допомогою приватних ключів.
Установка сертифікату на сервері сайту.
Це може зробити як власник сайту, так і служба веб-хостингу. Після цього відбувається активація сертифікату, а HTTP в адресі веб-ресурсу може змінитися на HTTPS.

Висновки

SSL-захист — це спеціальна технологія, яка застосовується для безпечного з’єднання між браузером та сайтом. SSL розшифровується як Secure Sockets Layer (рівень захищених сокетів), що являє собою невеликі файли даних, які прив’язують криптографічний ключ до облікових даних компанії та пов’язують між собою доменні імена, імена серверів та інформацію про організацію.

SSL-сертифікат являє собою файл, що встановлюється на сайт і є своєрідним паспортом веб-ресурсу, який захищає особисті і платіжні дані користувачів. Таким чином він запобігає кібератакам і викраденню конфіденційних даних. Якщо у вас є свій сайт, переконайтеся, що сертифікат захищає платіжні сторінки, сторінки входу, форми реєстрації або ж сайт в цілому.

Про наявність сертифіката безпеки свідчить символ замка зеленого, золотого чи сірого кольору, або шестірні зліва від адреси веб-ресурсу. Користувач може переглянути додаткову інформацію про сертифікат, натиснувши на шестірню та перейшовши на вкладку «Certificate is valid». Ще одним підтвердженням є літери HTTPS перед URL у пошуковому рядку.

Сертифікати відрізняються за надійністю і ціною. Обидва фактори залежать від рівня захисту. Власник веб-ресурсу може обрати сертифікат з перевіркою доменного імені, з перевіркою організації чи з розширеною перевіркою документів, а також сертифікат для доменів і субдоменів.

Часті питання

Як працює SSL простими словами?

Браузер налаштовує безпечне з’єднання з сайтом тільки після перевірки сертифіката безпеки та підтвердження того, що він не підроблений.

Як отримати SSL-сертифікат?

Щоб отримати сертифікат безпеки веб-сайту, знайдіть надійний центр сертифікації, створіть запит на підписання сертифіката, дочекайтеся перевірки і встановіть його на сервері сайту.

Для чого потрібен сертифікат SSL?

SSL-сертифікат шифрує і захищає зв’язок між сайтом і браузером відвідувача.

Як браузер перевіряє SSL сертифікат?

Сервер надсилає інформацію про SSL-сертифікат і публічний ключ, браузер перевіряє інформацію, генерує сеансовий ключ, зашифровує його публічним ключем і відправляє назад, після чого сервер розшифровує сеансовий ключ і встановлюється безпечне з’єднання.

Як дізнатися, чи є у сайту SSL-сертифікат?

Якщо перед URL у пошуковому рядку є напис HTTPS, сайт має сертифікат. Також про це свідчить символ замка або шестірні перед адресою веб-ресурсу. Для точної перевірки SSL-сертифіката можна використовувати спеціальний чекер.

Recent Posts

Tags