Загрузка

HTTPS - важен для сайта?
Статьи / Безопасность 25.01.2021 1 673

HTTPS - важен для сайта?

HTTPS — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Данные в протоколе HTTPS передаются поверх криптографических протоколов TLS или устаревшего в 2015 году SSL. Так с чем его «едят»? Для чего вообще он нужен, в чём его особенность и преимущество старшего брата HTTP? Нужен ли он и столь важен, как о нём говорят или его переоценивают? Давайте разбираться!


Как отличить сайт с HTTPS протоколом, от HTTP?

Сайты с HTTPS  отмечены в адресной строке.
В основном, установленным знаком «Замок», в закрытом виде.

Некоторые — выводят надпись HTTPS или подсвечивают зеленный строкой (не все сертификаты)


Если Вы перешли на сайт, где установлен сертификат — передача ваших данных сайту защищена шифрованием и не может быть перехвачена злоумышленником стандартным путём.


Однако, обратите внимание, что сам сайт всё также может подвергнуться атаке злоумышленников или с самого начала, быть не совсем надежным.


Об этом поговорим чуть дальше.


Как работает HTTPS протокол?


Браузер обращается к сайту устанавливая с ним соединение. Во время перехода на сайт, браузер запрашивает сертификат соответствия и проверяет, действительно ли сайт работает по всем стандартам, как и все его элементы.


Например. Если встроить на сайт любой элемент, будь то картинка, скрипт, которые работают на стороннем или внутреннем источнике по HTTP формату — защищенное соединение будет работать, но браузер выведет информацию о том, что сайт передает данные по стандартному HTTP протоколу и не так надежен, хоть и работает по защищенному протоколу HTTPS.



Живой пример ситуации.



Первый вариант — на сайте встроено изображение, адрес которого http://, браузер определил то, что его можно заменить или возможно, его заменило вредоносное ПО, что уже говорит об опасности портала или возможной попытки несанкционированного доступа к Вашему устройству.


Второй вариант — все элементы сайта работают на HTTPS протоколе с HTTPS:// адресом и не подменяются вредоносным ПО. Вы можете работать с сайтом, предоставляя ему данные, если доверяете самому веб-ресурсу.


Представим, что Вы ввели пароль на сайте, а злоумышленник попытался заполучить Ваши данные. Защищенное соединение зашифрует пароль и тогда, всё что получит «Хакер» — зашифрованный набор символов, который нельзя расшифровать и данные заполучить уже не получится.


Важен ли HTTPS протокол моему сайту, даже если он не запрашивает данные клиентов и не работает с данными банковских карт и паролями?


Да! Важен. Давайте разберемся, почему?


С 2020 года, такие поисковые системы, как Google и Yandex, которые, к слову, являются самыми часто используемыми поисковыми системами в странах СНГ и России — ввели новый алгоритм, который во время ранжирования сайта — даёт приоритет сайту работающему на безопасном (HTTPS) протоколе.


Это означает, что любой сайт, даже сайт-визитка, работающий на HTTP протоколе — будет ниже в поисковых позициях, чем сайт с подключенным безопасным соединением. Тем самым, Ваш сайт будет ниже в позициях, чем другие, а это уменьшит количество трафика, посетителей и клиентов, если Вы ведете свой бизнес. Это затрагивает все тематики, будь то интернет-магазин, веб-портал с информацией или сайт ресторана.


Поэтому — очень важно подключить SSL сертификат и работать на HTTPS протоколе.


А что если это не сработает?


Вероятность — крайне низкая, всё надежно шифруется и передается на веб-сервер, но даже если это произойдет, большинство центров сертификации (SSL) выплачивают пользователю компенсацию и берут всю ответственность на себя.


Это значит — что решать эту проблему будете уже не Вы и всю ответственность, в том числе материальную на себе берет центр сертификации, надежно застраховав Ваш сайт от подобных действий злоумышленников.


На нашем опыте — таких ситуаций ещё не было. (Взломов)


Как заполучить SSL сертификат и к кому обратиться для его установки?


SSL сертификат предоставляет множество компаний, которые занимаются сертификацией. Большинство хостингов также предоставляют свои SSL сертификаты и устанавливают их на сайты клиентов.


Если Ваш сайт расположен на виртуальном хостинге, к примеру — TimeWeb.


Установка происходит в пару кликов через панель управления и даже если Вам не понятно, Вы всегда можете обратиться в поддержку, которая установит его за Вас. Разбирать полную процедуру установки в данной статье мы не будем, Вы можете найти информацию в открытых источниках и изучить все процессы.


Какие данные содержит в себе SSL сертификат?


В сертификате хранится множество информации и она доступна клиенту в браузере, а именно:

  • полное (уникальное) имя владельца сертификата или компании.
  • Открытый ключ владельца.
  • Дата выдачи / окончания SSL сертификата.
  • Полное (уникальное) имя центра сертификации
  • Цифровая подпись издателя сертификата.


Какая цена сертификата и какие они бывают?


  1. Сертификаты, которые подтверждают только доменное имя (Domain Validation — DV).
    Выдаются для самого сайта и шифруют передаваемые / полученные данные.

  2. Сертификаты, которые подтверждают домен и организацию (Organization Validation — OV).
    Данный тип сертификации подтверждает не только доменное имя и шифруют данные, но и отображают, какой организации принадлежит данное доменное имя (сайт), тем самым, подтверждая его официальность.
    Не может быть установлен частным лицом.

  3. Сертификаты, с расширенной проверкой (Extendet Validation — EV).
    В данном случае, центр сертификации проводит полную проверку и отображает все сведения об организации. Они проверяют: точно ли существует данная компания и сейчас она работает, принадлежит ли данный домен этой компании. Основное отличие, что проверяется это всё уже вручную и такие сайты имеют наивысший уровень доверия.
    Не может быть установлен частным лицом.

    Данные сайты выделяют среди всех не только знаком, но и зеленой адресной строкой с наименование компании (сокращение).


Цена всегда разная и за каждый тип сертификата — по своему.


Есть также и бесплатные сертификаты, которые предоставляет SSL Let's Encrypt.

Они выдаются автоматически сайтам, которые направили запрос, проверка происходит лишь на уровне доступности сайта в интернете.


Подходят в том случае, если сертификат нужен срочно и нет средств для покупки платных сертификатов, перевыпускаются раз в 3 месяца.


Другие сертификаты работают от 1 года и более.


* Все картинки используемые в материале взяты с Яндекс.Картинок (свободного источника)

Автор публикации: Иван Цыганков

TWEB
Никнейм: TWEB
Всего постов: 12
Всего комментариев: 9
Привет! Тебе понравилась моя статья?
Надеюсь на твою оценку!
Нравится Не нравится Рейтинг: +3
Ой, чуть не забыл, ещё можно поделиться!

Похожие публикации


Следующая публикация

Комментарии (1)

Добавить комментарий