Як вибрати сертифікат


У січні 2017 ми прокинулися в оновленому Інтернеті – Google почав позначати сайти без сертифіката SSL як небезпечні. Пошуковик і раніше давав переваги в ранжируванні для ресурсів, доступних за HTTPS, але тепер корпорація всерйоз взялася за впровадження захищеного з’єднання.
Не скажу, що проти такого підходу. Так, тепер при розробці сайту доводиться думати не тільки про домену та хостингу, але ще і про сертифікаті. Але якщо знати, де знайти відповідний SSL і як прикрутити його до сервера, то процес переходу на HTTPS стає швидким і практично безболісним.рекомендую Сертификат и Декларация ГОСТ Р

Навіщо воно взагалі потрібне?
Для безпеки. Незахищене з’єднання легко піддається навіть примітивним способам атак зразок аналізу трафіку. Через це людина, «прослуховування» ваш канал, може без особливих проблем отримати і розшифрувати передаються користувачами логіни, паролі, платіжні відомості та інші конфіденційні відомості.

В кращому разі клієнт просто втратить свій аккаунт, в гіршому – скомпрометує інформацію про свою карті або електронному гаманці, а в самому гіршому ви втратите доступ до свого сайту, додатком або сервера.

Істотно знизить ризик таких інцидентів SSL-захист з’єднання, яка і додає букву «S» до вашого HTTP. Це означає, що передача даних зашифрована приватним ключем, який знає тільки клієнт і сервер.

Це врятує від багатьох загроз. Розшифровка кодованих даних вимагає багато часу і ресурсів, реалізація атаки «людина посередині», коли до каналу непомітно підключається третя сторона, стає складніше. Для забезпечення конфіденційності HTTPS-з’єднання досить 95% інтернет-сервісів. Задуматися про більш надійного захисту варто тільки якщо доводиться перевертати сумами, близькими до банківських.

b_58e6222edfcbd.jpg

За даними Actual Insights, користувачі не поспішають здійснювати покупки на сайтах без HTTPS. І правильно роблять!

Безкоштовні сертифікати
Видача SSL – комерційна криптографічна послуга. Вона вимагає від центру сертифікації заходів щодо забезпечення захищеності та конфіденційності виданих ключів, тому не дивно, що такий продукт – платний. Але, тим не менш, є реальні способи підключити HTTPS, не витрачаючи грошей.

Самопідписаний сертифікат. Для сервера, який працює на UNIX, можна створити власний сертифікат, підписаний яким-небудь довіреною центром. Це забезпечить належний рівень захищеності, але для наших цілей не годиться: Google не довірять такого HTTPS-з’єднанню, а браузери буде питати відвідувачів, чи можуть вони довіряти цим сертифікатом. Більшість не розбираються в технологіях людей розгубляться і покинуть ресурс, а розбираються з упевненістю натиснуть «ні».

Втім, для інших цілей такої самопідписаний SSL-ключ дуже корисний. Наприклад, якщо необхідно встановити захищене з’єднання з локальної мережі або зашифрувати роботу програмістів на віддаленому тестовому сервері.

Безкоштовний сертифікат. Існують центри, що видають сертифікати без справляння плати. Найбільш відомі три з них – StartSSL, WoSign і let’s Encrypt. До першим двом звертатися не варто – восени 2016 ці компанії були спіймані на те, що видавали SSL-ключі заднім числом, імовірно, щоб допомагати в здійсненні зломів. Тепер браузери Chrome і Firefox видають попередження, якщо відвідуваний сайт підписаний сертифікатами цих центрів.

Втім, від таких інцидентів не застраховані і довірені центри. Буквально нещодавно з’явилася новина, що Google забанить 30 тис. сертифікатів Symantec EV-рівня (одні з найдорожчих). Причина: компанія видавала SSL-ключі без особистої зустрічі з власником домену і перевірки документів.