Загрузка

Популярные статьи
Пять советов о защите сайта
HTTPS - важен для сайта?
25 янв, 01:32   3 551
Последнее обсуждаемое

Спасибо, полезная информация...

@fatMAD

10 сен 2021, 01:36

К посту: Пять советов о защите сайта

Спасибо за полезную информацию...

@tweb

09 сен 2021, 01:11

К посту: PNG, JPG, SVG, GIF - что лучше?

Благодарю  ...

@zizzao

09 сен 2021, 00:00

К посту: PNG, JPG, SVG, GIF - что лучше?

довольно полезная статья , все расписано очень информативно. автор Большой молодец =)...

HTTPS - важен для сайта?
Статьи / Безопасность 3 551 1 25.01.2021

HTTPS - важен для сайта?



HTTPS — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Данные в протоколе HTTPS передаются поверх криптографических протоколов TLS или устаревшего в 2015 году SSL. Так с чем его «едят»? Для чего вообще он нужен, в чём его особенность и преимущество старшего брата HTTP? Нужен ли он и столь важен, как о нём говорят или его переоценивают? Давайте разбираться!


Как отличить сайт с HTTPS/HTTP протоколом?

Сайты с HTTPS  отмечены в адресной строке.
В основном, установленным знаком «Замок», в закрытом виде.

Некоторые — выводят надпись HTTPS или зеленной строкой (не все сертификаты)


Если Вы перешли на сайт, где установлен сертификат — передача ваших данных сайту защищена шифрованием и не может быть перехвачена злоумышленником стандартным путём.


Однако, обратите внимание, что сам сайт всё также может подвергнуться атаке злоумышленников или с самого начала, быть не совсем надежным.
Об этом поговорим чуть дальше.


Как работает HTTPS протокол?

Браузер обращается к сайту устанавливая с ним соединение. Во время перехода на сайт, браузер запрашивает сертификат соответствия и проверяет, действительно ли сайт работает по всем стандартам, как и все его элементы.

Например. Если встроить на сайт любой элемент, будь то картинка, скрипт, которые работают на стороннем или внутреннем источнике по HTTP формату — защищенное соединение будет работать, но браузер выведет информацию о том, что сайт передает данные по стандартному HTTP протоколу и не так надежен, хоть и работает по защищенному протоколу HTTPS.


Живой пример ситуации.



Первый вариант — на сайте встроено изображение, адрес которого http://, браузер определил то, что его можно заменить или возможно, его заменило вредоносное ПО, что уже говорит об опасности портала или возможной попытки несанкционированного доступа к Вашему устройству.

Второй вариант — все элементы сайта работают на HTTPS протоколе с HTTPS:// адресом и не подменяются вредоносным ПО. Вы можете работать с сайтом, предоставляя ему данные, если доверяете самому веб-ресурсу.


Представим, что Вы ввели пароль на сайте, а злоумышленник попытался заполучить Ваши данные. Защищенное соединение зашифрует пароль и тогда, всё что получит «Хакер» — зашифрованный набор символов, который нельзя расшифровать и данные заполучить уже не получится.


Важен ли HTTPS протокол моему сайту, даже если он не запрашивает данные клиентов и не работает с данными банковских карт и паролями?


Да! Важен. Давайте разберемся, почему?

С 2020 года, такие поисковые системы, как Google и Yandex, которые, к слову, являются самыми часто используемыми поисковыми системами в странах СНГ и России — ввели новый алгоритм, который во время ранжирования сайта — даёт приоритет сайту работающему на безопасном (HTTPS) протоколе.

Это означает, что любой сайт, даже сайт-визитка, работающий на HTTP протоколе — будет ниже в поисковых позициях, чем сайт с подключенным безопасным соединением. Тем самым, Ваш сайт будет ниже в позициях, чем другие, а это уменьшит количество трафика, посетителей и клиентов, если Вы ведете свой бизнес. Это затрагивает все тематики, будь то интернет-магазин, веб-портал с информацией или сайт ресторана.

Поэтому — очень важно подключить SSL сертификат и работать на HTTPS протоколе.


А что если это не сработает?

Вероятность — крайне низкая, всё надежно шифруется и передается на веб-сервер, но даже если это произойдет, большинство центров сертификации (SSL) выплачивают пользователю компенсацию и берут всю ответственность на себя.

Это значит — что решать эту проблему будете уже не Вы и всю ответственность, в том числе материальную на себе берет центр сертификации, надежно застраховав Ваш сайт от подобных действий злоумышленников.

На нашем опыте — таких ситуаций ещё не было. (Взломов)


Как заполучить SSL сертификат и к кому обратиться для его установки?


SSL сертификат предоставляет множество компаний, которые занимаются сертификацией. Большинство хостингов также предоставляют свои SSL сертификаты и устанавливают их на сайты клиентов.

Если Ваш сайт расположен на виртуальном хостинге, к примеру — TimeWeb.

Установка происходит в пару кликов через панель управления и даже если Вам не понятно, Вы всегда можете обратиться в поддержку, которая установит его за Вас. Разбирать полную процедуру установки в данной статье мы не будем, Вы можете найти информацию в открытых источниках и изучить все процессы.



Какие данные содержит в себе SSL сертификат?


В сертификате хранится множество информации и она доступна клиенту в браузере, а именно:

  • полное (уникальное) имя владельца сертификата или компании.
  • Открытый ключ владельца.
  • Дата выдачи / окончания SSL сертификата.
  • Полное (уникальное) имя центра сертификации
  • Цифровая подпись издателя сертификата.


Какая цена сертификата и какие они бывают?


  1. Сертификаты, которые подтверждают только доменное имя (Domain Validation — DV).
    Выдаются для самого сайта и шифруют передаваемые / полученные данные.

  2. Сертификаты, которые подтверждают домен и организацию (Organization Validation — OV).
    Данный тип сертификации подтверждает не только доменное имя и шифруют данные, но и отображают, какой организации принадлежит данное доменное имя (сайт), тем самым, подтверждая его официальность.
    Не может быть установлен частным лицом.

  3. Сертификаты, с расширенной проверкой (Extendet Validation — EV).
    В данном случае, центр сертификации проводит полную проверку и отображает все сведения об организации. Они проверяют: точно ли существует данная компания и сейчас она работает, принадлежит ли данный домен этой компании. Основное отличие, что проверяется это всё уже вручную и такие сайты имеют наивысший уровень доверия.
    Не может быть установлен частным лицом.

    Данные сайты выделяют среди всех не только знаком, но и зеленой адресной строкой с наименование компании (сокращение).


Цена всегда разная и за каждый тип сертификата — по своему.


Есть также и бесплатные сертификаты, которые предоставляет SSL Let's Encrypt.
Они выдаются автоматически сайтам, которые направили запрос, проверка происходит лишь на уровне доступности сайта в интернете.
Подходят в том случае, если сертификат нужен срочно и нет средств для покупки платных сертификатов, перевыпускаются раз в 3 месяца.

Другие сертификаты работают от 1 года и более.

* Все картинки используемые в материале взяты с Яндекс.Картинок (свободного источника)

Информация об авторе
img
@TypeWeb

Максим

Администратор
Offline

Всего постов: 393
Всего комментариев: 2
Вам понравилась моя публикация?
Нравится Не нравится Рейтинг: +14
Оставьте комментарий если есть вопрос!
Комментарии (1)
  1. {title}
    +2
    Иван Цыганков
    Редакция
    Никнейм: tweb | 27.01.2021 в 17:09

    Наша первая статья blush
    Будем радовать дальше!