Эксперт:

Что такое SSL-сертификат

SSL-сертификат — это цифровой сертификат, который подтверждает подлинность сайта и шифрует данные, передаваемые между сервером и браузером посетителя. Он необходим для защиты личной информации пользователей от перехвата злоумышленниками.

Браузер и сайт обмениваются секретными ключами перед началом передачи информации. Эти ключи позволяют зашифровывать данные таким образом, что никто посторонний не сможет прочитать переписку, даже если перехватит ее.

Сертификаты выдаются специальными организациями, которые проверяют владельца домена и подтверждают его право пользоваться данным сайтом.

Понять, что сайт защищен SSL-сертификатом, можно увидев в веб-адресе аббревиатуру HTTPS (hypertext transfer protocol secure — защищенный протокол передачи гипертекста). При этом в адресной строке отображается значок замка.

Веб-адреса сайтов без SSL-сертификата начинаются с HTTP — без буквы S.

Изначально для создания безопасного соединения между клиентом и сервером использовался протокол secure sockets layer (SSL). Со временем возникли проблемы безопасности в разных версиях SSL, и была разработана обновленная версия — transport layer security (TLS), которая стала широко применяться.

Однако термин «SSL» настолько прочно закрепился среди пользователей и специалистов, что даже после перехода на TLS новые сертификаты продолжали называть прежней аббревиатурой. И хотя технически современные сертификаты соответствуют спецификациям TLS, привычное обозначение «SSL» сохранилось и продолжает активно использоваться.

Каким сайтам нужен SSL-сертификат

Наличие безопасного сертификата актуально для сайтов, собирающих такие данные:

• номера банковских карт и счетов,
• пароли и логины учетных записей,
• личные данные (ФИО, паспортные данные),
• адреса проживания и контактные телефоны,
• электронные письма и сообщения,
• медицинские документы,
• юридически важные документы и контракты.

При наличии SSL-шифрования вся эта информация передается закодированной, обеспечивая надежную защиту от перехвата и кражи.

Кому особенно важна установка SSL-сертификата:

• интернет-магазины и сервисы приема платежей,
• банковские порталы и приложения финансовых сервисов,
• платформы для хранения документов и медицинских карт,
• сайты госучреждений и ведомств,
• онлайн-сервисы бронирования,
• сервисы обмена криптовалют и электронных денег,
• социальные сети и блоги с возможностью авторизации,
• образовательные платформы с регистрацией студентов,
• почтовые сервисы и мессенджеры,
• любые формы регистрации и входа в личный кабинет.

SSL-сертификат полезен каждому сайту еще по двум причинам.

1. Повышение доверия посетителей
   
   Большинство современных браузеров автоматически отмечают сайты без SSL как ненадежные («незащищенное соединение»), что негативно сказывается на репутации владельца сайта и бренда в целом. Посетители видят предупреждающие знаки (красный замок, крестики возле адреса сайта) и предпочитают уйти с такого ресурса. Наличие же значка зеленого замка напротив домена повышает доверие клиентов и положительно сказывается на трафике сайта.
2. SEO-фактор
   
   SSL-сертификат учитывается при ранжировании результатов в поисковых системах Google и Яндекс. Сайт с сертификатом получает преимущество в продвижении.

Виды безопасных сертификатов

Существует два основных типа сертификатов: самоподписанные и доверенные.

Самоподписанный SSL-сертификат

Самоподписанный сертификат создается самим владельцем сайта, без участия сторонних удостоверяющих центров. Такой сертификат бесплатный, однако браузер сразу предупреждает посетителей, что такое соединение небезопасно («незащищенное подключение»).

Для предпринимателя использование самоподписанного сертификата нежелательно, поскольку оно снижает уровень безопасности сайта и тот воспринимается пользователями как ненадежный.

Доверенный SSL-сертификат

Доверенные сертификаты выдаются удостоверяющими центрами сертификации (например, GeoTrust, GoDaddy, GlobalSign, Let’s Encrypt, «Технический центр Интернет» (ТЦИ), «Национальный удостоверяющий центр», подведомственный Минцифры). Они гарантируют безопасность соединения и наличие шифрования.

Такие сертификаты делятся на три уровня проверки владельца домена.

• Domain validation (DV)
  
  Подтверждает домен сайта (без подтверждения личности владельца). Подходит для ведения личных блогов и онлайн-бизнеса без сбора данных или возможности онлайн-оплаты. Быстро выдается (за несколько минут), наиболее дешевый, обеспечивает базовую защиту данных с минимальным уровнем шифрования. В адресной строке будет отображаться замок без указания названия компании и HTTPS.
• Organization validation (OV)
  
  Подтверждает и домен, и существование владельца домена. Проверка удостоверяющим центром занимает больше времени — до нескольких дней. Подходит тем, кому важно подтвердить свою легитимность перед клиентами. Повышает доверие пользователей. Особенно актуально для сайтов с приемом платежей. В адресной строке будет отображаться HTTPS и замок, при клике на который можно увидеть информацию о владельце ресурса.
• Extended validation (EV)
  
  Самый высокий и наиболее дорогостоящий уровень сертификата. Удостоверяющий центр подтверждает домен, проверяет компанию-владельца, ее регистрацию и отдельные аспекты деятельности. EV-сертификат выдается только юридическим лицам. Получение требует существенных затрат времени (до нескольких недель) и финансов. В адресной строке такого сайта отображается HTTPS, замок, название компании и страна ее регистрации. Сертификат EV нужен прежде всего для сайтов финансовых учреждений и крупного бизнеса.

Как получить SSL-сертификат

Перед покупкой сертификата нужно подготовить сайт и сервер. Убедитесь, что:

• сайт настроен корректно;
• домен зарегистрирован официально;
• информация о компании, которая будет направляться в центр сертификации, актуальна (название компании, адрес и прочее).

Далее действуйте по нашей инструкции:

1. Создайте CSR-запрос. Провайдер или хостинг-компания могут предложить помощь в создании специального файла CSR для подачи заявки на сертификат. Владельцу домена потребуется заполнить небольшую форму, где нужно указать контактные данные, название компании и другие сведения.
2. Отправьте заявку в выбранный центр сертификации.
3. Дождитесь результата проверки и получите сертификат. Время ожидания зависит от выбранного типа сертификата. После успешной проверки владелец сайта получит сам сертификат и установочные ключи.
4. Установите полученный сертификат на сервере. Обслуживающий хостинг или IT-специалисты помогут разобраться с установкой SSL-сертификата и тем, как его включить.

Что еще нужно знать о SSL-сертификатах

На какой срок выдается SSL-сертификат?

Срок действия большинства SSL-сертификатов составляет 12 месяцев, хотя еще можно приобрести сертификаты на более длительный срок (2–4 года). Но его постоянно сокращают в целях повышения безопасности. Следите за сроком действия сертификата и своевременно обновляйте его. Если сертификат устареет, сайт продолжит работу, но современные браузеры перестанут доверять ему, а данные окажутся незащищенными.

Как быть с сертификатами для поддоменов?

Для защиты основного домена и всех поддоменов можно использовать wildcard-SSL-сертификат. Такой сертификат покрывает основной домен (example.com), включая неограниченное количество поддоменов (*.example.com). Это удобно и экономично, особенно если планируется часто добавлять новые поддомены. Альтернативой является покупка отдельных сертификатов для каждого поддомена, однако это менее практично и более затратно, если поддоменов немного (1–3).

Почему сайт отмечен как несертифицированный, хотя сертификат установлен?

Причин несколько:

• Неправильная настройка сертификата. Ошибки конфигурации сервера могут привести к проблемам с распознаванием сертификата браузером.
• Истечение срока действия сертификата. Если сертификат просрочен, браузер покажет предупреждение.
• Использование самоподписанного сертификата. Самоподписанные сертификаты нередко блокируются браузерами автоматически.
• Несоответствие доменного имени. Сертификат выдан для другого домена или субдомена.

Что такое сертификат Минцифры и кому нужно его использовать?

SSL-сертификат Минцифры — это сертификат безопасности, выданный Министерством цифрового развития РФ. Позволяет обеспечить защищенное соединение HTTPS для веб-сайтов и сервисов, гарантирует защиту передаваемых данных от перехвата и подделки. Используется государственными структурами, крупными компаниями и организациями, работающими с конфиденциальной информацией.

Как проверить, работает ли защищенный протокол?

Удостовериться, что соединение действительно зашифровано и данные пользователей защищены, можно следующими способами:

• Проверить адресную строку браузера — рядом с доменом должна отображаться иконка замка.
• Использовать специальные сервисы вроде SSL Server Test от Qualys SSL Labs.