Алексей Лукьянчук

Для чего нужен защищенный протокол и какие виды SSL сертификатов бывают?

Так же безопасный протокол называют https или SSL – нужен для шифрования соединения между сервером и посетителем сайта.

Если пользователь передаст данные (имя и телефон) в форму заказа или заказа обратного звонка через незащищенную точку доступа wi-fi, то эти данные могут быть легко перехвачены злоумышленником.

Google говорит, что это не приватно, когда подростки через телефон на Андройде читают заявки с вашего сайта. И Google будет в результатах поиска выше показывать те сайты, которые безопасно предают данные пользователей (мало того, в браузере хром небезопасные сайты помечены «ненадежными»).

"Ненадежный" сайт в браузере Chrome
“Ненадежный” сайт в браузере Chrome
Яндекс тоже намекает, что https это хорошо
Яндекс тоже намекает, что https это хорошо

Если зашифровать данные передаваемые посетителем, то хакер уже не сможет легко перехватить данные. Но хакер легко сможет перенаправить пользователя на свой сайт, который очень похож на ваш (точная копия) и все равно получит данные пользователя (узнает, на какие ссылки тот нажимал).

Чтобы подтвердить подлинность вашего домена и вашей организации (для пользователя) требуется SSL сертификат. Какие бывают сертификаты:

  1. Самоподписанный. Может использоваться только в служебных целях, т.к. при обращении к сайту возникает ошибка в браузере «Сертификат безопасности не является доверенным»
  2. Удостоверяющий только домен (Domain Validation — DV)
  3. Удостоверяющий домен и организацию (Organization Validation — OV)
  4. С расширенной проверкой (Extended Validation — EV). Такой сертификат выделяет название вашей организации (иногда зеленым цветом) в адресной строке браузера, чтобы типа подчеркнуть исключительную безопасность вашего сайта.
Ошибка самоподписанного сертификата
Ошибка самоподписанного сертификата
Название организации в EV сертификате
Название организации в EV сертификате

Чтобы подтвердить подлинность организации выдавшей SLL сертификат нужно установить так называемый корневой сертификат. Цена выпуска сертификата так же зависит от того, в какое количество браузеров предустановлен корневой сертификат организации, выдавшей ваш сертификат.

В общем, хакер может сам установить в браузер пользователя корневой сертификат своей организации выдающей сертификаты только хакеру, и написать на сайте большими зелеными буквами, что все безопасно и можно вводить данные своей кредитной карты прямо в фишинговую форму. Все равно пользователи не знают и никогда не проверяют, кто их банку сертификат выдал.

Итого: Если у вас не интернет-магазин (который принимает платежи от пользователей), то чтобы Google начал считать ваш сайт безопасным достаточно обычного DV сертификата (чтобы ошибка у пользователя при заходе не сайт не появлялась).

Оставьте комментарий