Перевод сайта на HTTPS. Основные шаги

На нашем блоге уже есть статьи о важности и преимуществах SSL сертификатов, а также об основных причинах для перевода сайта на протокол HTTPS. Сегодня рассмотрим основные шаги, которые необходимо выполнить, для получения SSL сертификата и его подключения на ваш сайт.

Для чего нужен SSL сертификат? Для обеспечения защищенного соединения между веб-браузером пользователя и сервером, между которыми происходит обмен данными. То есть перевод сайта на протокол HTTPS - это прежде всего защита данных ваших посетителей от мошенников. Также не стоит забывать и о том, что сайты без сертификатов отмечаются поисковой системой Google как небезопасные.

Сертификат содержит информацию о сайте и о том, какая компания выдала сертификат для обеспечения защиты. Зашифрованная передача данных по протоколу  HTTPS защищает данные пользователя от перехвата злоумышленниками.

Как это работает?

При посещении сайта сервер, на котором сайт расположен, отправляет веб-браузеру специальный сертификат, в котором есть информация о выдаче сертификата и о самом сайте. Но самое главное он содержит открытый ключ шифрования, с помощью которого и шифруются передаваемые данные с сайта на сервер. Сервер в свою очередь содержит Приватный ключ, который полученные данные расшифровывает.

Браузер проводит анализ и в итоге получает информацию о сроке действия сертификата и о надежности источника, который этот сертификат выдал. Если все в порядке, происходит зашифрованный обмен данными. Если на сайте присутствует Зеленый замок, то это обозначает, что между браузером и сервером сайта установлено HTTPS-соединение и посещаемый сайт для пользователя соответственно безопасный.

Для каких интернет-ресурсов необходим  HTTPS протокол?

От недавнего времени практически для всех. Ранее SSL сертификаты были рекомендованы для сайтов, которые занимаются продажами, а также для всех интернет-ресурсов, где пользователи оставляли свои личные данные. Сегодня SSL необходим каждому сайту для обеспечения безопасности в Сети. Наиболее популярная поисковая система Google помечает сайты без сертификатов небезопасными, что отпугивает посетителей и снижает выдачу таких ресурсов в поиске.

Как перевести свой сайт на защищенный протокол HTTPS?

Чтобы это сделать вам понадобится SSL сертификат. Они бывают разных типов и видов, отличаются между собой. Поэтому давайте разберемся, какие сертификаты существуют и для каких сайтов они предназначены.

Self-Signed сертификаты или самоподписанные.

Данный тип сертификата вы можете выдать для своего сайта самостоятельно. Но если учитывать надежность такого сертификата, то это как паспорт, который вы бы сами себе нарисовали. При заходе на такой сайт браузер не может определить степень надежности ССЛ, поэтому в большинстве случаев подобный сайт будет помечен как незащищенный. Толку от такого типа сертификата как видите очень мало. Ему не доверяют, а значит смысла его выпускать нет.

В результате подключение самоподписанного сертификата вы получите ситуацию, что многие посетители вашего сайта просто закроют вкладку, так как он не вызовет у них доверия. Подобные сертификаты в основном используют в служебных целях, например, для внутренних задач. Для публичных сайтов эти сертификаты не подходят, поэтому рассматривать способы их подключения мы не будем.

SSL выданные центрами сертификации.

На сегодня наиболее популярны 6 удостоверяющих центров выдачи SSL. Они выдают сертификаты, которые официально признаны популярными веб-браузерами. Это обеспечено системой корневых сертификатов, которые установлены в самих браузерах. Центры занимаются проверкой сайтов, которые подают запросы на получение сертификатов, а также обеспечивают денежные компенсации пользователям, в случае, если происходит взлом выданных ССЛ.

Все сертификаты отличаются по уровню проверки. Рассмотрим более подробно.

1) SSL-сертификат с проверкой домена (Domain Validated или DV).

Данный тип сертификата может зарегистрировать как физическое, так и юридическое лицо. Тип проверки обозначает, что проверяемый домен принадлежит именно вам. Суть проверки состоит в том, что на почту, которая создана на вашем домене, отправляется специальное письмо с кодом верификации, которое вы должны подтвердить. После этого выдается сертификат и его уже можно устанавливать для вашего сайта.

SSL-сертификат с валидацией домена отлично зашифровывает передаваемую на сайт информацию, но он не предоставляет гарантий, что вашему сайту можно полностью доверять. Это самый дешевый тип сертификатов и он станет выгодным решением для блогов, новостников, форумов, визиток и лендингов. Сертификат устанавливается и выдается буквально в считанные минуты.

2)  SSL-сертификат с проверкой организации (Organization Validated или OV).

Данный тип сертификата разработан специально для компаний. Для его получения необходимо пройти более существенную проверку по сравнению с проверкой DV.

Это прежде всего проверка документов об регистрации компании или ЧП, а также проверка на право владения доменным именем сайта. Цена на этот тип сертификата выше чем на сертификаты типа DV, также сроки выдачи могут занять несколько дней. Это время уходит на проверку документов Центром сертификации.

Для каких сайтов подойдет OV сертификат? Чаще всего данный тип сертификата выбирают для крупных интернет-магазинов, сайтов страховых компаний и всех проектов в интернете, которые хранят данные пользователей.

3) SSL-сертификат с расширенной проверкой (Extended Validation или EV).

Данный тип сертификата могут зарегистрировать компании. Получения такого SSL сложный процесс, сам тип сертификата является наиболее дорогостоящим по сравнению с предыдущими вариантами. Основное отличие Extended Validation это символ «green bar». При посещение сайта с таким сертификатом в строке браузера отображается название организации, которая получила сертификат. SSL указывает, что компания реально существует, прошла полную проверку и сайт подлинный.

Процесс выпуска сертификатов EV стандартизирован и соответствует правилам EV с 2007 года. Расширенная проверка занимает в среднем до 9 дней.

Сертификаты этого типа чаще всего используют сайты платежных систем, банков и  других финансовых организаций, которые осуществляют свою деятельность в интернете и для которых защита персональных данных пользователей должна происходить на высоком уровне.

SSL также отличаются по количеству доменов, на которые они действуют. Рассмотрим подробнее.

SSL для одного домена - подразумевает под собой защиту одного доменного имени сайта и не распространяет свое действие на поддомены.

Мультидоменный SSL-сертификат - предназначен для защиты большого количества доменов одним сертификатом. Обратите внимание, что в цену такого сертификата обычно включено только 3 домена, все остальные покупаются за дополнительную плату. Цену на дополнительные домены мультидоменного сертификата перед покупкой стоит уточнить.  

SSL Wildcard предназначен для защиты основного домена и всех его поддоменов. Данный сертификат выгодный для сайтов, которые имеют множество поддоменов, которые необходимо перевести на https протокол.

Выбор сертификата SSL для вашего сайта. Основные критерии.

1. Выбор сертификата по типу валидации. Для обычных сайтов, например, блогов, сайтов-визиток, новостников, отличным и недорогим решением станет сертификат уровня DV. Если на вашем сайте вы принимаете онлайн-заказы и храните персональные данные пользователей (email, номер телефона, имя/фамилия и тд), то лучше выбрать SSL уровня Organization Validated (OV). Если вас сайт - это платежная система, банк, страховая компания и тому подобное, то в таком случае сертификат с расширенной проверкой EV станет наиболее безопасным решением.
2. Выбор сертификата исходя от количества доменов/поддоменов. Для одного домена соответственно подойдет простой сертификат для одного доменного имени. Для защиты основного домена и всех его поддоменов вам подойдет сертификат типа Wildcard. SSL MULTI-DOMAIN - понадобится в случае, если вы владелец большого количества интернет-ресурсов и хотите защитить их одним сертификатов.

Как заказать SSL сертификат для сайта?

Оформить заказ можно на нашем сайте по ссылке.Обратите внимание, что для выдачи сертификата вам необходимо создать рабочую почту admin@доменвашего.сайта. На данную почту придет письмо с кодом верификации от Центра сертификации. Это письмо нужно будет подтвердить. Инструкции, как создать почтовый ящик в панели управления ISPmanager и в cPanel.

После подтверждения выдачи наша техническая поддержка установит ССЛ сертификат на ваш сервер. Или же мы можем предоставить вам сертификат и вы установите его самостоятельно. На ССЛ сертификаты нет тестового периода, сертификат регистрируется исключительно после оплаты выставленного счета.

Как получить SSL сертификат бесплатно?

Есть два варианта для наших пользователей. Первый, это сертификат от Comodo в подарок при оплате тарифного плана Гипер 50 и Гипер 100 от полугода. Второй, это бесплатный сертификат от Lets Encrypt. По запросу можем подключить его на любой ваш сайт, который расположен на нашем хостинге. Если вы хотите подключить данный тип сертификата, создайте тикет с личного кабинета в тех.поддержку, и сертификат будет подключен. Никаких дополнительных плат не взимается. Данный тип бесплатного сертификата подойдет для всех простых сайтов, которые НЕ хранят личные данные пользователей.

Какие изменения вносить на сайт после его переключения на протокол Https?

Шаг 1. Обратите внимание, что весь контент сайта должен подгружаться по безопасному протоколу https, включая стили, картинки и скрипты. Если вы не сделаете эту процедуру, то браузер будет “сомневаться” в безопасности контента сайта и не покажет “зеленую строку”. То есть хоть и ССЛ будет подключен, сайт все равно будет считаться небезопасным для ваших посетителей.

Шаг 2. Когда сертификат будет установлен, ваш интернет-ресурс станет доступен по обеим протоколам - http и https. Далее следует сделать настройку редиректа для того, чтобы посетители попадали только на защищенную версию с https.

После прохождения данных шагов ваш сайт будет отмечаться как безопасный и отображаться по https протоколу. Если вам нужна помощь в переключении сайта на https, обратитесь к разработчику вашего сайта или напишите запрос в нашу техническую поддержку и мы вам поможем провести все необходимые настройки. 

Сомневаетесь, нужен ли для вашего сайта SSL сертификат? Развенчиваем мифы про ССЛ и чему не стоит верить?

Также к вашему вниманию мини справочник по регистрации SSL на нашем блоге.