HTTPS – (аббр. от англ. HyperText Transfer Protocol Secure) — расширение протокола HTTP, для поддержки шифрования в целях повышения безопасности. Для корректной работы https на сайте необходимо иметь SSL-сертификат. Переезд сайта на https повышает доверие к нему со стороны ПС
SSL-сертификат
SSL - (аббр от англ. Secure Socket Layer) — это стандартная интернет технология безопасности, которая используется, чтобы обеспечить зашифрованное соединение между веб-сервером (сайтом) и браузером
Наличие SSL-сертификата для сайта подтверждает, что он прошел проверку в компании, которая выдала ему сертификат.
Типы SSL сертификатов по валидации
Сертификаты, подтверждающие только доменное имя (Domain Validation — DV).
Это самые простые сертификаты. Выдаются моментально и автоматически.
Срок выдачи: моментально (кроме случая описанного ниже)
Механизм проверки при создании: при проверке такого сертификата высылается письмо со специальной ссылкой, по которой нужно кликнуть, чтобы подтвердить выпуск сертификата. Чаще всего необходимо подтвердить право владения доменом - указать почту из Whois-данных или почту на домене, на который нужно получить сертификат. Но иногда, в случайном порядке делается ручная проверка данных и занимает больше времени.
Сертификаты, подтверждающие домен и организацию (Organization Validation — OV).
Здесь уже будет указано название компании. Частным лицам такие сертификаты не выдаются. Если хочется сэкономить, можно найти компанию которая продает их за очень небольшие деньги.
Если хочется уверенности, лучше брать сертификаты у крупных игроков, таких как RU-Center или REG.RU.
Срок выдачи: 3-10 рабочих дней.
Механизм проверки при выдаче:
После получения запроса центр сертификации проводит проверку, существует такая организация, как указано в заявке и принадлежит ли ей указанный домен.
У разных центров сертификации проверка может отличаться. Приведем список пунктов, которые могут быть проверены или запрошены:
- Наличие организации в международных желтых страницах — проверяется не всеми
- Наличие в whois домена названия компании — проверяется обязательно и в случае отсутствия там, скорее всего потребуется гарантийное письмо, о том, что домен действительно принадлежит организации. В некоторых случаях необходимо подтверждение от регистратора домена.
- Свидетельство о гос. регистрации — могут попросить, но сейчас все чаще обращаются в специальные компании, которые проверяют существование организации по своим каналам .
- Счет от телефонной компании, в которой содержится название вашей организации и ваш номер телефона, указанный в заказе — таким образом проверяется валидность вашего телефона. Требуют все реже.
- Проверочный звонок — контрольный звонок на номер телефона, указанный вами в заявке. Обычно спросят к телефону сотрудника, указанного в административном контакте.
Сертификаты, с расширенной проверкой (Extendet Validation — EV).
Самые дорогие сертификаты и получить, получить которые сложнее всего. В этих сертификатах есть «green bar» — зеленая строка в адресной строке браузера, где будет указано название компании, получившей сертификат.
Срок выдачи: 10-14 дней
Механизм проверки при выдаче:
EV сертификаты выдаются только когда центр сертификации выполнит проверку самой компании и убедится, что она имеет право использовать определенный домен. Процесс выпуска сертификатов строго регламентирован правилами EV, созданными на специализированном форуме CA/Browser Forum в 2007 году. Там указаны необходимые шаги, которые центр сертификации должен выполнить перед выпуском EV сертификата:
- Проверить правовую, физическую и операционную деятельности субъекта.
- Убедиться, что организация соответствует официальным документам.
- Убедиться, что организация имеет исключительное право на использование домена, указанного в сертификате EV.
- Убедиться, что организация полностью авторизована для выпуска EV сертификата.
- Список того, что конкретно будут проверять такой же как и для OV сертификатов.
EV сертификаты используются для всех типов бизнеса, в том числе для государственных и некоммерческих организаций.
Типы SSL сертификатов по своим свойствам
Обычные SSL сертификаты
Выпускаются автоматически и подтверждают только домен. Подходят для всех сайтов.
SGC сертификаты
Сертификаты с поддержкой повышения уровня шифрования. Актуально для очень старых браузеров.
Wildcard сертификаты
Нужны в том случае, когда кроме основного домена нужно обеспечить шифрование также на всех поддоменах одного домена. Например: есть домен domain.ru и вам нужно установить такой же сертификат на one.domain.ru, tow.domain.ru и three.domain.ru.
SAN сертификаты
Пригодится, если нужно использовать один сертификат для нескольких разных доменов, размещенных на одном сервере. Обычно в такой сертификат входит 5 доменов и их количество можно увеличивать с шагом в 5.
EV сертификаты
Это те самые сертификаты с расширенной проверки и зеленой строкой в браузере, о которых мы говорили выше. Получить их может только юридическое лицо, коммерческая, некоммерческая или государственная организация.
Сертификаты c поддержкой IDN (национальные домены, например .рф)
Как правило, не у всех центров сертификации указана эта опция в описании сертификата, но не все сертификаты поддерживаются работу с IDN доменами.
Приобретение сертификата
Принцип приобретения сертификата очень похож на принцип приобретения доменов.
Довольно ограниченное количество компаний обладают правом выдачи сертификатов и у них есть многоуровневая система многочисленных партнеров, которые между собой конкурируют, предлагают цены и делают значительное количество продаж. Купить сертификат можно у любого регистратора доменов и любого хостера.
Сертификаты лучше всего брать в проверенных компаниях, так как их необходимо продлевать каждый год, в случае если компания у которой был приобретен сертификат прекратит работу его нужно будет регистрировать заново в другой.
Достоинства
- Данные передаваемые в зашифрованном виде от клиента до сервера гораздо сложнее скомпрометировать
- По словам google, он учитывает наличие протокола при ранжировании сайтов.
- Повышенное доверие пользователей к ресурсам с наличием SSL-сертификатов. Это в основном касается “продвинутых” пользователей.
Недостатки
- Необходимость дополнительных настроек при переносе сайта на https, в случае если сайт к этому не готов. Сертификат может подключаться двумя кликами за 2 минуты либо 2 месяца и значительным переделыванием внутренней логики сайта в самых запущенных случаях.
- Дополнительные затраты на покупку, внедрения и поддержку сертификата.
Процедура перехода на https
Для того, чтобы перевести сайт на https необходимо проделать следующие действия:
- Приобрести сертификат необходимого типа
- Подключить сертификат к домену
- Сделать 301-редирект на всех страницах и ресурсах сайта с http на https, в случае если это требуется. Некоторые хостинг-площадки делают это автоматически.
- В коде сайта произвести настройку таким образом, чтобы все ресурсы (js, css и изображения) запрашивались по https.
- Очень желательно, в случае наличия абсолютных внутренних ссылок на сайте переписать их адреса с учетом нового протокола, чтобы не генерировать кучу 301 редиректов.
- В случае, если сайт находится на выделенном сервере, то помимо всего прочего придется провести настройку ПО сервера.