SSL сертифікати та HTTPS: що потрібно знати

15

Від автора: Якщо ви користуєтеся Chrome 56 і вище, то могли помічати, що деякі HTTP сторінки позначені, як незахищені. Ця функція була представлена в січні 2017, але тільки для сторінок, які збирають паролі і дані про кредитні картки. Функція є частиною плану Google по переходу на більш безпечний інтернет. У підсумку, вони хочуть позначити усі HTTP сторінки «незахищені» і змінити індикатор HTTP захищеності на червоний трикутник, який використовується для відключених HTTPS сполук.

SSL сертифікати та HTTPS: що потрібно знати

Перемикання на HTTPS може коштувати великих зусиль. Але як же активувати це захищене з’єднання? У чому його переваги? Давайте розбиратися.

Що таке HTTPS?

HTTPS розшифровується як HyperText Transfer Protocol Secure або безпечний протокол передачі гіпертексту. Саме очевидне розходження з HTTP – це слово «безпечний». З’єднання зашифровано, що запобігає зчитування дані при перехопленні.

Щоб безпечне з’єднання запрацювало, відправник і одержувач повинні використовувати код для шифрування і дешифрування повідомлення. Процес шифрування здійснюється за допомогою SSL сертифікату.

Що таке SSL сертифікати

SSL сертифікати засновані на шифруванні з відкритим ключем.

Ця техніка шифрування використовує два ключі: закритий і відкритий ключ (обидва є набором випадкових чисел). Відкритий ключ доступний всім. Якщо Джон хоче послати повідомлення Керол, він може взяти її відкритий ключ і зашифрувати їм повідомлення. Розшифрувати повідомлення можна тільки з допомогою закритого ключа Керол. Якщо хакер перехопить повідомлення, він не зможе його прочитати, тому що у нього немає закритого ключа Керол.

Типи SSL сертифікатів

На даний момент існує три типи SSL сертифікатів:

сертифікати, які підтверджують тільки доменне ім’я;

сертифікати, які підтверджують домен і організацію;

сертифікати з розширеною перевіркою.

Сертифікати з перевіркою доменного імені звичайні. Вони перевіряють, чи має власник сертифіката SSL права на певний домен. З таким сертифікатом відносно легко працювати, і оформляється він не так довго.

Сертифікати з підтвердженням домену та організації беруть за основу перший сертифікат і додають до нього перевірку організацій. Подивитися цю інформацію можна, натиснувши на іконку замку в адресному рядку браузера.

Сертифікати з розширеною перевіркою забезпечують максимальну безпеку. Перевірка сертифіката цього типу дуже ретельна (за суворими правилами EV) і включає:

перевірка юридичної, фізичної та експлуатаційного існування юридичної особи;

перевірка, чи відповідає особа юридичної особи офіційних документів;

перевірка, чи має юридична особа виключним правом використовувати домен, зазначений у сертифікаті EV SSL.

Що вибрати, вирішувати вам. Для маленького бізнесу достатньо буде сертифіката з підтвердженням домену. Але якщо ви обслуговуєте великий інтернет-магазин, сертифікат з розширеною перевіркою буде хорошим вкладенням. Чому? Тому що цей сертифікат додає іконку зеленого замку в адресному рядку браузера, де буде відображатися назва вашої компанії, що підвищить довіру користувачів до вашого сайту.

Вартість SSL сертифікатів

SSL сертифікати можна придбати у різних постачальників (центрів сертифікації), наприклад у Symantec. Ціна варіюється від $150 в рік до $1000+ в рік. Все залежить від типу сертифіката і гарантій.

Але є і безкоштовний SSL сертифікат від let’s Encrypt.

SSL сертифікати та HTTPS: що потрібно знати

Let’s Encrypt – автоматизований і відкритий центр сертифікації, який працює на благо громадськості. Їх спонсорами виступають великі бренди типу Mozilla, Cisco, Google і Facebook, що дозволяє їм видавати людям цифрові сертифікати для активації HTTPS абсолютно безкоштовно.

Як встановити SSL сертифікат

Якщо ви щасливий, то у вашого хостинг-провайдера є помічник по установці SSL (або ще краще – установник в один клік). Це допоможе розгорнути захищене з’єднання за лічені хвилини. З набором популярності HTTPS з’єднання все більше хостинг провайдерів будуть включати цю послугу в свої тарифи.

Якщо у вашого провайдера немає такої можливості, доведеться встановити SSL сертифікат вручну. Процес може зайняти досить багато часу. На щастя для нас, Mitchell Anicas з сайту Digital Ocean написав докладне керівництво по установці SSL сертифікату.

Переваги HTTPS/SSL

HTTPS володіє наступними перевагами:

Безпека: HTTPS – безпечне з’єднання, тобто якщо повідомлення закодовано, його неможливо прочитати без відповідного ключа. Це вкрай важливо, коли ваш сайт управляє конфіденційними даними користувачів.

Довіра: SSL сертифікат підвищує довіру користувачів до вашого сайту.

Швидкість: перемикання на HTTPS може підвищити швидкість завантаження.

SEO: в 2014 році Google стали використовувати HTTPS в якості сигналу рейтингу у видачі. Зараз це дуже слабо впливає на рейтинг, але в майбутньому Google може посилити вплив захищеного з’єднання.

Що необхідно врахувати при переході на HTTPS

Впровадження SSL сертифікату – це не легке завдання. Перш потрібно врахувати кілька речей. Наприклад, час, необхідний на впровадження. Також SSL сертифікат діє обмежений час. Тобто час від часу його доведеться оновлювати.

Також потрібно врахувати його вартість. Звичайно, let’s Encrypt пропонує безкоштовні сертифікати, але це найпростіша версія. Якщо необхідно підтвердження організації або додаткова перевірка, доведеться заплатити.

Перемикання з HTTP HTTPS може викликати ряд SEO проблем, в основному з-за битих посилань. Вирішити проблему можна за допомогою 301 редіректу через файл .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Висновок

Немає жодних сумнівів у тому, що HTTPS буде набирати популярність в майбутньому. Безпека і довіру користувачів – головні переваги, але давайте не забувати і про невеликий приріст швидкості завантаження сторінок, а також про підвищення рейтингу в пошукових системах.

Можна отримати безкоштовний SSL сертифікат. Однак перевірка організацій і розширена перевірка все ще стоять дуже дорого. Більше того, операція може зайняти багато часу і викликати різні проблеми.

Чи потрібен вам HTTPS?

Я вважаю, що якщо ви переробляєте або пишіть сайт з нуля, це варто вашого часу. HTTPS – майбутнє інтернету. Але якщо ваш сайт не збирає конфіденційну інформацію про користувачів, сертифікат є обов’язковим.