Привет, друзья. Многие из вас знают, что я в последнее время занимаюсь в основном подготовкой сервиса CheckTrust.ru к запуску. Кстати, запуск должен состояться уже очень скоро и вас ждут приятные сюрпризы, но вы и сейчас можете регистрироваться и полноценно пользоваться сервисом.
Так вот на прошлой неделе случился очередной ключевой этап подготовки к запуску – получение специального SSL сертификата и переключение сервиса на защищенное соединение https://.
Что это, зачем это и почему это так важно?
Позвольте процитировать несколько строк из Википедии:
HTTPS (HyperText Transfer Protocol Secure) — расширение протокола HTTP, поддерживающее шифрование. Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения, при условии, что будут использоваться шифрующие средства, и сертификат сервера проверен и ему доверяют.
Чтобы подготовить веб-сервер для обработки https-соединений, администратор должен получить и установить в систему сертификат для этого веб-сервера.
Центр сертификации, при подписывании проверяет клиента, что позволяет ему гарантировать, что держатель сертификата является тем, за кого себя выдаёт (обычно это платная услуга).
Проще говоря, когда вы заходите на сайт с https то все данные, передаваемые в браузере, шифруются, и даже если их перехватит злоумышленник, расшифровать их никогда не сможет, не имея секретного ключа, который известен только мне (владельцу сертификата).
Пользуясь каким-либо сайтом, который хранит и использует личные данные, а тем более, которой подразумевает оплату и другие финансовые операции, вы доверяете ему свою информацию и хотите, чтобы она была в безопасности.
Сайту вы можете доверять, но если пользуетесь интернетом в общественном месте (аэропорт, кафе или любая другая бесплатная wi-fi точка доступа) уверены ли вы в том, что соединение никто не прослушивает? Кстати, прослушивать могут и домашний интернет, если есть физический доступ к роутеру. Привет халявный соседский wi-fi?!
Но даже здесь владельцы сайта могут вас спасти. Разумеется, при помощи защищенного https-соединения. Я, как один из основателей сервиса CheckTrust, забочусь о вас, друзья, и хочу, чтобы вы чувствовали себя спокойно. И мы сделаем все возможное для этого!
Но хватит лирики. Как вы уже поняли, чтобы сделать возможным https соединение, необходимо иметь специальный SSL сертификат и установить его на сервер, где расположен сайт. Вот именно этим мне и предстояло заняться пару дней назад. А так как я даже понятия не имел, что собой представляет SSL сертификат, где его взять, сколько это стоит и как его активировать, я стал разбираться.
Занял этот процесс целый рабочий день, а потом еще целый день на устранение неожиданных ошибок. Я решил, что это стоит того, чтобы рассказать вам.
Итак, первым делом, я решил узнать, что же это за сертификаты и с чем их едят. Никого не удивлю, если скажу, что просто ввел в Яндексе запрос «ssl сертификат». Когда я увидел слова «виды», «разновидность», «как выбрать», «сравнение», стало ясно, что все не так просто. Прочитав несколько статей на Хабре, я узнал, что бывает 3 типа сертификатов, что их выдают специальные центры сертификации и какие из них самые крупные.
Определиться с типом SSL было не так просто, т.к. помимо верификации только домена я хотел немного большего – подтверждение данных владельца (хоть компании у меня нет, зато у меня есть я, и при определенных условиях можно подтвердить личность вместо организации).
До этого, я разговаривал с Саньком (руководитель отдела разработки CheckTrust, заметили, да, у нас тут кругом одни «Саньки»!), и он сказал, что в Ярославле видел какую-то контору. И так совпало, что в выдаче был единственный сайт, продающий сертификаты и как раз из Ярославля. Судьба, видимо, подумал я, и перешел на их сайт. Походил, посмотрел, но ответа на свой вопрос, как получить SSL сертификат с проверкой данных физического лица так и не нашел, потому решил обратиться в техподдержку.
Меня интересует ssl сертификат. Прочитал, что есть разные виды сертификатов с разным уровнем проверки. Есть самые простые с проверкой только домена. А есть с проверкой организации и других данных.
Хотелось бы что-то «посильнее» чем просто проверка домена. Но организации у меня нет, но я готов подтвердить любые необходимые данные физлица, т.е. меня. Это возможно или мне подойдет только верификация домена и самый простой сертификат?
Довольно быстро я получил развернутый ответ:
Разница между этими сертификатами состоит вот в чем:
Простые (Domain Validation, DV) – в сертификате указан только домен.
С проверкой компании (Organization Validation, OV) – указан домен и название компании.
С расширенной проверкой (Extended Validation, EV) – зеленая адресная строка браузера, название компании в ней, в сертификате также домен и название компании.
При этом в силе шифрования разницы нет.Сертификаты EV физическим лицам в принципе не выдаются. Процесс проверки даже для компаний довольно сложный.
Для сертификатов OV возможно, но процесс валидации намного сложнее, чем у юрлиц. Описание процесса, например, на сайте Comodo. По ссылке находится документ с описанием (на английском) — нужно заполнить его (форма на 3 странице), заверить у нотариуса и отправить по е-мейлу.Кроме того, в файле есть перечень документов, которые они принимают.
1) Паспорт
2) Документ из финансового учреждения:
— международная пластиковая карта или дебетовая карта, если на них указан срок действия и он еще не истек, или
— выписка из банковского счёта не старше 6 месяцев
3) Нефинансовый документ:
— счет за коммунальные услуги или
— заверенная копия свидетельства о рождении или
— налоговая декларация за последний год или
— заверенная копия судового документа, например свидетельство о разводе, судебное постановление о признании брака недействительным или бумаги об усыновлении.То есть если Вы решите заниматься этими документы, возникнут дополнительные траты на нотариуса. При этом центры сертификации не гарантируют, что сертификат будет выдан. Кроме того на сайте сертификат не будет отличаться от простого, разница только в названии компании внутри сертификата, а, к сожалению, не все пользователи знают, где это просмотреть.
Поэтому лучше всего заказать сертификат с проверкой только домена, а для того, чтобы посетители видели, что сайт защищен, дополнительно добавить печать защиты.
Тем не менее, среди простых сертификатов также есть разница.
Например, Thawte считается более высоким классом, так как более серьезно проверяет заказчика, чем Comodo. В то же время Comodo более популярен, так как значительно дешевле.
Решив, что волокита с документами и лишние затраты мне нафиг не нужны, я остановился на единственном доступном для физического лица варианте – простой SSL сертификат с подтверждением домена.
В процессе подготовки и покупки у меня возникали различные сложности и вопросы, к счастью, в конце письма из тех.поддержки был скайп замечательной девушки Юлии, которая согласилась мне помочь и терпеливо отвечала на все мои вопросы и помогала решать проблемы. А после покупки даже помогла проверить валидность установки сертификата, в результате чего была обнаружена серьёзная проблема, но об этом позже. Короче говоря, мне очень понравилось наше общение и я предложил Юлии поучаствовать в написании данного поста.
Поэтому не буду тянуть и передаю слово Юле, она вам расскажет о том, для чего используются SSL сертификаты, как проходит процесс проверки для разных типов SSL и в каких случаях их лучше применять.
Дорогие читатели, буду рада, если предоставленная ниже информация окажется Вам полезной и поможет определиться с SSL сертификатом, когда появится такая задача. Тем более, когда в свете последних событий (а именно после обнаружения уязвимости Heartbleed) начали ходить слухи о том, что в будущем наличие SSL сертификатов на коммерческих сайтах войдет в список факторов ранжирования и будет позитивно оцениваться в поиске Google. Официального заявления компания не делала, хотя на конференции SMX West 2014 Мэтт Каттс высказал свое пожелание видеть зашифрованное соединение частью нового алгоритма (прим. публикация об том на серче). Нам же остается пока следить за новостями.
Начать хочу с того, что SSL сертификаты используются для защиты передаваемой информации в разнообразнейших областях: при взаимодействии с клиентами (регистрация и авторизация на сайте, передача данных от клиента на сервер, оплата кредитными картами), передача конфиденциальных данных в интранете, обеспечение безопасной коммуникации между сотрудниками, работающими удаленно, защита приложений и почтовых серверов. Кроме защитной функции следует обратить внимание на то, что наличие SSL сертификата на сайте позитивно влияет на доверие посетителей и может дополнительно мотивировать посетителя совершить определенное действие на странице (например, зарегистрироваться или завершить покупку).
Как Александр заметил в начале статьи, действительно существует огромное количество сертификатов, поэтому мы их разделили на подкатегории, чтобы было проще сориентироваться.
С одной стороны мы разделяем SSL сертификаты в зависимости от количества защищаемых доменов:
- 1 домен – защищает соединение с одним доменным именем, например, вы можете заказать его для домена my-site.ru или для поддомена pay.my-site.ru, и защищен будет именно тот, что указан во время заказа. Используется для простых веб-сайтов или отдельных разделов веб-ресурсов.
- Домен и все его поддомены – SSL сертификаты типа Wildcard, которые защищают доменное имя и все поддомены уровнем ниже. Заказывая такой SSL сертификат, важно указать название сайта в формате *.my-site.ru, тогда на месте звездочки сможет оказаться любой существующий и будущий поддомен Вашего веб-сайта.
- Несколько доменов – мультидоменный SSL сертификат способен сэкономить Ваше время для заказа, установки и управления, так как включает все указанные во время оформления домены и/или поддомены. Чаще всего применяется на почтовых серверах или же владельцами нескольких доменов.
С другой стороны существуют разные типы валидации заказчика для получения того или иного сертификата SSL, которые впоследствии определяют уровни «престижа» сертификатов:
- Валидация домена – подходит для физических и юридических лиц и заключается в подтверждении заказа по административной электронной почте или с помощью http-запроса.
Лучше всего подходит для небольших сайтов без онлайн оплаты, для внутреннего пользования, для защиты iframe приложений, то есть в тех случаях, когда важно обеспечить безопасную передачу данных, но пользователю не обязательно знать, какой компании принадлежит защищенный сайт. - Проверка компании – выдается юридическим лицам без проблем, для этого нужно, кроме подтверждения по электронной почте, пройти валидацию по телефону. Особых сложностей данный процесс не представляет, когда в заказе, в данных о домене и в телефонном справочнике совпадает название и адрес компании. Физическим лицам такие SSL сертификаты теоретически также выдаются, но практически процедура достаточно сложная, так как требуется ряд документов, заверенных нотариусом.
SSL сертификат с проверкой компании содержит название фирмы и используется в тех случаях, когда необходимо не только защитить соединение, но и указать, кто является владельцем сертификата. Например, это очень важно в случае сертификатов разработчика для подписи программного кода, а также когда SSL сертификат выдается на IP адрес, или же когда владелец веб-сайта желает дать возможность посетителям проверить принадлежность сайта своей компании (для этого нужно кликнуть на замок в адресной строке и просмотреть свойства SSL сертификата). - Расширенная проверка компании, помимо вышеперечисленных методов валидации по электронной почте и телефону, подразумевает проверку юридических документов компании и требует официальное заявление и соглашение с центром сертификации о выпуске данного SSL сертификата. Выдаются SSL сертификаты EV (от Extended Validation – расширенная валидация) исключительно юридическим лицам.
Особенностью SSL сертификатов с EV является окрашивание адресной строки браузера в зеленый цвет, кроме того в ней появляется название компании. Эти характеристики выделяют сайт среди конкурентов и привлекают внимание посетителей, поэтому такой тип SSL сертификатов идеально использовать для онлайн-магазинов, финансовых учреждений, платежных систем, то есть в тех случаях, где доверие клиентов имеет первостепенное значение.
Для SEO-блога было бы также логично затронуть вопрос о том, как переход на https:// влияет на ранжирование сайта. Первым делом хочу заметить, что еще в апреле 2013 года Джон Мюллер (Google) сообщил, что страницы, защищенные SSL сертификатом, ранжируются точно так же, как и простые страницы http://. Тем не менее, чтобы не возникло проблем с поисковыми системами, при установке SSL сертификата необходимо учесть следующие факторы:
- Скорость загрузки.
Хостинг, на котором расположен Ваш сайт, должен справляться с дополнительной нагрузкой при SSL соединении, так как скорость загрузки является одним из факторов ранжирования в поисковых системах. Защищенный SSL сертификатом сайт требует больше ресурсов нежели обычный, так как соединение по протоколу https шифруется. Поэтому важно учесть это явление при установке SSL сертификата. - 301 редирект.
Поисковые системы ценят уникальный контент на веб-сайте, поэтому важно убедиться, что все содержимое сайта на http:// перенаправляется с использованием простого 301-го редиректа на эквивалентную страницу с https://. Если упустить этот момент и не настроить переадресацию, это может негативно сказаться на отношении поисковых систем к сайту, так как эти страницы распознаются как два разных веб-сайта с одинаковым контентом. - Инструменты для веб-мастеров.
По той же причине следует вносить в инструменты веб-мастеров версию сайта на https:// отдельно в качестве нового сайта.
Пожалуй, это была основная информация, которая может понадобиться при выборе и дальнейшем использовании SSL сертификата. Конечно же, бывает множество нюансов и индивидуальных требований, таких как защита версий сайта с www. и без, использование одного сертификата на нескольких физических серверах или поддержка высокого уровня шифрования устаревшими браузерами, но их лучше рассматривать в каждом индивидуальном случае, так же, как и вопросы установки и устранения ошибок. Поэтому я и мои сотрудники будем рады ответить на любые вопросы читателей этого замечательного блога.
Спасибо большое Юле за подробное описание видов сертификатов и полезную информацию. Надеюсь, это вам пригодится, когда вопрос с защитой вашего сайта станет актуальным. Можете задавать свои вопросы прямо в комментариях. Напомню, что Юля является представителем компании «Эмаро», где я и покупал свой сертификат, так что рекомендую. Но мне хотелось бы добавить еще важную вещь.
Юля сказала, что в Google хотят видеть наличие https в качестве одного из факторов ранжирования, но и Яндекс не исключение. После отмены ссылок для коммерческих запросов в Москве (или не отмены, пока не понятно до сих пор) стало популярным говорить про, так называемые, коммерческие факторы. Впервые про них заговорили пару лет назад (еще в 2011), но как-то особо активно стали вспоминать не так давно. Так вот помимо таких очевидных моментов, как контакты, ассортимент, подробная карточка товара, доставка, онлайн-консультант, отсутствие рекламы и т.д. где-то я слышал про https протокол для корзины покупателя или даже для всего сайта магазина. Подтверждения этому нет, но знать и помнить об этом по любому надо!
Только после того как я сам лично столкнулся с SSL сертификатами и защитой данных я понял, насколько это действительно важно. И, если раньше я мог бы сказать, что наличие https соединения там, где оно уместно, это бонус, то теперь я скажу иначе – отсутствие https соединения там, где хранятся личные данные и происходят транзакции, это недостаток! Из всех бирж только Сапа использует https соединение (пусть и SSL сертификат у них самоподписанный и доверия не имеет, но, тем не менее), а из агрегаторов только seopult. Это провал…
А у нас вот такая вот красота в данный момент!
Кстати, информация на скриншоте про 500 бесплатных проверок на сервисе еще актуальна! Так что регистрируйтесь и пользуйтесь :)
Пожалуй, на сегодня все. Спасибо за внимание, друзья.
До связи!
Бесплатный сертификат для личных нужд можно получить на https://www.startssl.com/.
И советую проверить правильность установки через всякие онлайн инструменты ("ssl check" в гугле), например https://sslcheck.globalsign.com/ru/sslcheck?host=checktrust.ru#176.9.1.111. Тут А- , можно подтянуть настройки и сделать А+, как у меня например https://sslcheck.globalsign.com/ru/sslcheck?host=plazik.com#46.4.43.37.
Да, про то, как получить бесплатный сертификат я в курсе, но мне не очень нравится этот вариант. Хотя да, шифрование будет, цель защиты передаваемых данных будет достигнута. Но доверия этому сертификату будет меньше, если вообще будет. Я вот не знаю — будет ли для бесплатного сертификата браузер выдавать предупреждение "Сертификат безопасности сайта не является доверенным!" Если да, то это вообще не вариант, это вообще отпугнет любого посетителя, тогда лучше остаться на http и никого не пугать.
PS Дополнительными настройками не хочется заморачиваться, я и так с установкой напрг конкретно тех.поддержку fastvps :)
PPS Зачем тебе https на личном блоге?
Предупреждение о плохом сертификате не выдается. Он полностью функциональный.
P.S. Чтобы не перехватили трафик конечно же ;-)
Отличные ссылки для проверки настройки SSL, очень полезная вещь.
Что касается StartSSL, там есть свои нюансы, описанные в большом файле по условиям пользования.
Вы правы именно насчет "личных нужд", так как StartSSL не выдает бесплатные сертификаты для коммерческих сайтов. А коммерческими они считают все сайты, на которых продается какой-либо товар или услуга, принимается оплата, есть кнопка "Donate", а также если в домене есть слова, например, pay, bank, shop и т.д.
Второй очень важный момент — скрытые затраты (тема сертификатов 2-3 класса, когда нужно платить за 2 валидации, — отдельный вопрос), здесь проблема в отзыве бесплатного сертификата. В то время, как все центры сертификации бесплатно отзывают и перевыпускают сертификаты (например, если Вы потеряли или кто-то стащил приватный ключ, или опять же после недавнего случая с уязвимостью Heartbleed), StartSSL требует $24,90 за отзыв сертификата. А если предыдущий сертификат не отозван, перевыпуск невозможен.
О-хо-хо, удивлен что кантора-то из Ярославля о_О
Сам сейчас задумался о подключении SSL для нового интернет-магазина, так что будет актуально.
Покупаю SSL на gogetssl.com, базовый сертификат в два раза дешевле, чем у выше упомянутого реселлера. Там же можно взять бесплатный на три месяца.
Недавно на моём магазине понадобилось установить ssl сертификат для обеспечения работы модуля платежного решения от яндекса (чтобы принимать карты вебмани и тд)... Вот тогда и начал изучать что за зверь такой ssl.
Спустя некоторое время наткнулся на сайт emaro, позвонил в саппорт и получил исчерпывающие ответы на все свои вопросы от девушки, имени которой не помню к сожалению, наверно это та же Юля ))
Кстати взял недорогой Comodo Positive SSL, если вдруг кто будет тоже такую же проблему решать
После установки нагуглил, что могут возникнуть проблемы с дублем сайта версии https
Нашел изящное решение настроить сервер чтобы выдавал два разных robots.txt для разных версий сайта
RewriteEngine on
RewriteCond %{SERVER_PORT} ^443$
RewriteRule ^robots\.txt$ robots_ssl.txt [L]
подробнее тут (на английском) http://www.creare.co.uk/http-vs-https-duplicate-content
Вот как раз вовремя ))) Собрались тоже скоро ставить сертификат, а так как мне дали задание в этом разобраться — для меня ваш пост был очень полезен и информативен))
P.S: Перед тем как гуглить, решил зайти на ваш сайт — посмотреть может что-то новое будет по SEO, а тут вот данная статья))) Совпадение вообще чёткое )))
Спасибо)
Так обидно, регистрировался несколько месяцев назад было 500 проверок, я потратил 100, а сейчас зашел и осталось 0.
Сам недавно столкнулся с обнулением месячной подписки.
Было бы круто, если бы лимиты оставались.
Спасибо за познавательную статью)
Хочу заказать ssl сертификаты для своего нового сайта, но не могу определится какой именно выбрать Thawte SSL 123 или Web Server Cert. Что вы посоветуете?
С одной стороны, вопрос простой, а с другой не очень. Thawte SSL123 идет с проверкой только домена, значит его можно регистрировать не имею юр.лица, а получить Thawte Web Server Certificate могу только организации. Если у вас зарегистрированная организация, то берите Thawte Web Server Certificate.
Вот очень полезная статья! Спасибо! Теперь будем пытаться разобраться. COMODO POSITIVE SSL за 490 в год для интернет магазина подойдёт?
Я себе как раз такой, вроде, покупал. Подойдет, а че нет-то :)
Приобрел в REG RU хостинг и бесплатно получил сертификат. Спасибо тех поддержке сами установили, как как сам не разобрался. Было бы не плохо если расскажите как установить самому. Я столкнулся с проблемой Редикта с http на https.
Всем доброго времени суток! Прошу вас дать совет в сложившейся ситуации, месяц назад купил сертификат на https:, если ставишь адрес вмести с https: сайт отображаются криво( Вот примеры сайт https://yaustal.com ,форум https://yaustal.com/forum/ ,пост https://yaustal.com/forum/showtopic/9797-yaponskoe-vooruzhenie-takticheskiy-kust , движок DLE 9.8. Подскажите что надо исправить.
С уважением Роман
Ребята, нормальные ssl сертификаты дают на рег ру в придачу к хостингу.
Да и поддержка помогает в установке.
Мы своим клиентам только там и заказываем. Тем более актуально в будущем с переездом Российских сайтов на Российский хостинг. Не сочтите за рекламу.
А где дают не нормальные сертификаты? Сертификаты выдают центры сертификации, а рег.ру никакого отношения к ним даже близко не имеет, и просто предлагает серты как посредник (впрочем, как и все остальные). Так что говорить про "нормальные ssl сертификаты" в принципе не корректно.
Статья хорошая. Я сегодня как раз поставил SSL. Вопрос такой: как лучше быть теперь с поисковиками? Что добавить в robot.txt? Подскажите пожалуйста.
Сделайте 301 редирект и в robots.txt можно прописать адрес сайта вместе с протоколом, например, так Host: https://site.ru
Я так и сделал. А вот с .htaccess не уверен. Несколько кодов перепробывал, пока нашёл рабочил. Но тот ли...
Господа, так что в итоге то?
как быть после перехода с http на https? Какой порядок действий то?
Редирект поставить с http на https, а еще в панелях вебмастера настроить переезд.
Дробного времени суток господа! Мне для организации нужно приобрести ssl-сертефикат, я из Украины, друзья посоветовали бать тут http://softlist.com.ua/catalog/ssl-sertifikaty/ там есть двухнедельное тестирование. Но вопрос не в этом, а в том если мне этот сертификат не подойдет, что тогда делать? Как пере подключить другой или сначала нужно возвращаться с https на http и потом все заново перенастраивать?
Тут вам надо будет заменить один сертификат на другой на сервере/хостинге. Чисто технический момент, определяющий, какой именно сертификат у вас стоит, так что переезжать с https на http и обратно не придется!
Использование SSL сертификата вызывает доверие к Вашему веб-сайту, ведь таким образом Вы можете показать посетителям своего веб-сайта, включая будущих клиентов, насколько Вы уважаете секретность их данных. Какое же практическое применение находят SSL сертификаты в современном обществе, где свое место прочно заняли электронная коммерция, выполнение работ онлайн и предоставление услуг в сети Интернет?
SSL-сертификат выгоден для владельца сайта: так вы подтвердите, что на сайте безопасно вводить личные данные и проявите заботу о клиентах. Если человек переживает, что конфиденциальная информация попадёт не в те руки, он получит дополнительные гарантии. Меньше риска для пользователей, выше репутация компании.
Александр, добрый день. Вопрос по влиянию SSL-сертификата на продвижение в Yandex/Google. На форумах люди разделились на 2 категории. Первые утверждают что SSL-сертификат пусть и не значительно, но влияет на позиции сайта (особенно в Google), вторые утверждают что он вообще никак не влияет на позиции. К какой категории вы можете отнести себя и почему? Спасибо.
Я отношу себя к тем, кто считает, что это никак не влияет на позиции. Потому что на достаточной выборке сайтов проверили и не заметили разницы. Но я осознаю, что для чистоты эксперимента надо брать 10000 сайтов, имеющих какие-то позиции/трафик. А потом у 5000 из них взять и сменить протокол на https. При этом вся группа сайтов должна быть в покое, то есть длительное время до и после начала замеров не должно быть никаких правок... Но все это утопия и не применимо к реальной жизни. А в реально жизни никаких изменений не наблюдалось от переезда на https.
PS Тем не менее, надо призать, что это необходимость и переезжать на https надо. Вдруг внезапно возьмут и исключат все http сайты из выдачи, тогда будет поздно суетиться.
Обходились как-то раньше без всяких сертификатов, сейчас приходится бегать по всяким хострадарам закинув язык за плечи, искать хостинг с недорогим или бесплатным c-c-л.
Let's Encrypt всегда бесплатный, есть на каждом хостинге, никуда бегать и что-то искать не надо!