SSL сертификаты: некраткое описание от и до

«Слышу звон, да не знаю где он. Слышу термин, но точно не понимаю, что оно такое» — знакомая проблема всего населения земного шара. Как известно — все знать невозможно. Но можно вовремя спросить.Серьезно, это хороший способ избежать множества ошибок и их неприятных последствий.

Secure Socket Layer — это интернет-технология, обеспечивающая соединение между сайтом и браузером. Естественно — зашифрованная и очень безопасная.

Почему мы вообще заговорили об этом сейчас?

Как известно всем неравнодушным, недавно интернет-браузеры во главе с Chrome устроили мини-революцию, настойчиво предлагая сайтам сменить сертификат на https, объявив привычный http опасным для посещения.

Как и всегда в таких случаях, многие владельцы сайтов остерегались так резко менять привычный устой жизни, но красные таблички, громко оповещающие посетителя об опасности http сайта сделали свое дело: мир принял новые правила игры и стремительно переходит на https.

  • Для чего вообще нужны SSL-сертификаты с лирической точки зрения?

Для безопасности ваших данных. То есть для того, чтобы ваш номер телефона-ФИО-почтовый или жилой адрес не попали в руки злоумышленников. Вспомните, в каких случаях вы вводите такого рода информацию?

Тогда, когда хотите что-то заказать: от пиццы до одежды из Китая.

Если не защищать вашу персональную информацию, мошенники получат просто райский простор для неприятных действий: ведь у них будет минимум ваш номер телефона, а максимум — паспортные данные.

  • Для чего вообще нужны SSL-сертификаты с технической точки зрения?

SSL — это сертификат, подключающий протокол HTTPS. Они взаимосвязаны как в латте взаимосвязаны кофе и молоко.

Сертификат: проверяет (подтверждает) подлинность вашего ресурса, шифрует передаваемую информацию и гарантирует ее безопасность при передаче.

Глава 2: Разновидности SSL сертификатов и правила их использования

Итак, если вы что-то продаете, то с необходимостью таких мер безопасности мы разобрались. Теперь время выяснить, какими вообще бывают SSL сертификаты и почему они не являются панацеей от всех проблем.

  1. Самоподписные: генерируются на веб-сервере с помощью хостинговой панели управления.

Получение такого сертификата абсолютно бесплатно, но категорически не подходит для коммерческих сайтов, взаимодействующих со сторонним покупателем. Причина проста: при переходе на такой сайт посетителя будет ожидать предупреждение на тему «этот сайт не совсем защищен. вы уверены, что хотите на нем побывать?».

Таким образом, у любого здравомыслящего человека, не успевшего проникнуться к вам доверие, желание что-то у вас покупать (и сообщать контактные данные) резко пропадает.

Более того, в большинстве случаев такие сертификаты не принимаются браузерами, согласно новых правил и все так же рискуете влететь на «Этот сайт небезопасен».

2. Domain Validation это один из самых доступных сертификатов, так как он подтверждает ваше право владеть доменом. Подходят для небольших сайтов/блогов, так как обеспечивает начальный уровень защиты, недорого стоит и делается в течении 15 минут.

Есть вариации на один домен, на домен + поддомены. Тут лайфхак. Если у вас на сайте до 3-4 поддоменов, то дешевле будет взять по сертификату на каждый из сайтов (а поддомен — это отдельный сайт в глазах поисковой системы), чем брать один крупный.

3. Organization Validation звучит гордо. Таковым и является, так как подтверждает вашу мощь как организации. Ладно шутки шутками, а такой сертификат называет вас бизнес-организацией и защищает не в пример лучше. но и стоит в два-три раза дороже. Выдается только юридическим лицам (т.е.компании, а не конкретному человеку).

4. Extended Validation самые дорогие и самые качественные SSL сертификаты. Для их создания требуется быть юридическим лицом, и предоставить множество дополнительных документов: свидетельство о том, что вы состоите на учете в налоговой, подтверждение регистрации вашей компании как юридического лица и другие.

NOTA BENE! При выборе вида сертификата необходимо соизмерять не только бюджетные требования со своими возможностями, но и логическую пользу от приобретения того или иного вида сертификата. Например, даже если вы миллионер, который легко регистрирует себя как юридическое лицо, сертификат бизнес уровня вам ни к чему. Так как ваша деятельность не блещет масштабностью, результат от получения organization validation будет таким же, как и от domain validation.

Глава 3: Краткое описание переезда на протокол

Если делать пошаговую инструкцию с подробным описанием, количество символов данной статьи превысит все читабельные лимиты.

Если объяснять решение проблемы тезисно, это будет выглядеть так:

  • Поменять все внутренние ссылки на относительные
  • Исправить ссылки на картинки на другой медиаконтент
  • в robots.txt прописать host с https для yandex
  • Настроить 301 серверный редирект с http на https
  • Настроить главное зеркало в Яндекс.Вебмастер
  • Настроить главное зеркало в google search console
  • В GSC (Google Search Console) указать изменение адреса сайта
  • Добавить в GSC https версию
  • Выполнить настройки в GWT и ЯВМ для https

Выводы:

В общем-то, в таком случае уместным будет сказать «Боже, храни конкурентов!».

Они не только помогают вам держать себя «в тонусе», но и помогут определиться с выбором необходимого вида сертификата: просто посмотрите, что заказали себе сайты с аналогичной посещаемостью и постоянной аудиторией.

Кстати, с недавних пор https сайты ранжируются Поисковиками выше, чем http (проверено на 7 проектах, которые были переведены на https за последние полгода)

Не мелочь, и потому вдвойне приятно.

p.s. Небольшой сеошный нюанс. Накатывание ssl сродни смены домена. Потому после того, как вы перевели сайт на новый протокол, его позиции 100% просядут. Возвращаются, зачастую, в течении 2-3 недель. Потому без паники. Но не смешивайте переезд с другими правками — в структуру или по дизайну. Потому что могут быть проблемы.