Какие сайты должны использовать сертификаты безопасности?
Краткий ответ: все.
В 2017 году производители самых популярных браузеров Google и Mozilla, как и было обещано, включили в новые версии Chrome и Firefox обязательное предупреждение пользователя о посещении небезопасного сайта. Попробуем разобраться, что случилось и какой вывод из этого следует для владельцев онлайн-ресурсов.
Как известно, в наиболее частом случае обмен информацией в интернете осуществляется по протоколу передачи гипертекста HTTP. При этом данные пересылаются в открытом виде. Если вероятный злоумышленник подслушает или, что хуже, перехватит трафик, он сможет
- узнать, какие разделы сайта посещал пользователь,
- получить конфиденциальную информацию - имя и пароль для доступа, номер банковской карты и т.п.,
- подменить запрашиваемые пользователем данные.
Проблему решает использование протокола HTTPS (HyperText Transfer Protocol Secure), благодаря которому обмен происходит по зашифрованному соединению. Трафик HTTPS-соединения, в отличие от HTTP представляет собой бессмысленный набор символов и бесполезен для потенциального злоумышленника. Сайт, работающий по безопасному протоколу при шифровании использует ключ, который заверен удостоверяющим центром (УЦ). В процессе подтверждения ключа, а это не что иное, как цифровая подпись, УЦ проверяет заявителя. Считается, что подделать ключ при современном уровне развития вычислительной техники невозможно. Информация о большинстве известных УЦ "зашита" в браузере, благодаря чему при предъявлении сайтом ключа, заверенного известным УЦ, подтверждается его аутентичность. Т.е. ни подслушать, ни подделать защищенный сайт нельзя. Веб-сервера, использующие HTTPS отмечаются браузерами как надежные.
![Сертификат безопасности Сертификат безопасности](/preview/original/pic/15935_4.png)
![Сертификат безопасности Сертификат безопасности](/preview/original/pic/15936_4.png)
Ключ, заверенный УЦ называют сертификатом безопасности. Сертификаты различаются по типу: защищают доменное имя (DV), организацию (OV) или имеют расширенные возможности(EV). Срок их действия ограничен, как правило 1-3 года. Сертификаты выпускаются на коммерческой основе, стоимость зависит от ряда факторов, самые дешевые на настоящий момент стоят от 500-600 рублей в год.
Относительная сложность внедрения, необходимость администрирования (перевыпуск), платный характер - всё это является тормозом в распространении защищенных сайтов. Кроме того, миграция сайта на HTTPS может повлечь "проседание" по выдаче поисковыми системами. Поэтому, безопасный протокол используется там, где он необходим, как правило, при проведении финансовых транзакций.
Так было до недавнего времени. Сейчас ситуация меняется буквально на глазах: по данным телеметрии браузера Firefox, доля глобального HTTPS-трафика в январе текущего года превысила 50% и продолжает расти. Гиганты индустрии имеющие ключевое влияние на инфраструктуру интернета начали активно мотивировать владельцев сайтов на переход на защищенный режим. В частности, Google при прочих равных условиях отдаёт предпочтение сайтам использующим сертификаты безопасности при ранжировании результатов поиска. Т.е. защищенный веб-сервер имеет больше шансов попасть в топ поисковой выдачи, по сравнению с устаревшим, по мнению Google, открытым HTTP-сайтом.
Произошел сдвиг парадигмы, интернет движется в сторону большей безопасности. Этот процесс стал возможным благодаря реализации усилий интернет-грандов, поддержавших проект Let's encrypt - консорциум по разработке и внедрению инфраструктуры доступного HTTPS. По своей сути создан интернет-стандарт по автоматизированной выдаче и обновлению сертификатов с доменной валидацией, Automatic Certificate Management Environment (ACME).
В настоящий момент ACME имеет статус кандидата в стандарты, но он уже подтвердил свою работоспособность, доступность и используется на более чем 14 миллионах сайтах. Сертификат от Let's encrypt бесплатен, сравнительно прост в управлении - вебмастеру надо установить скрипт на сервере, в процессе настройки подтвердить право владения доменом, после чего сертификат будет автоматически (или вручную, как решит администратор) обновляться каждые три месяца. Все распространенные на данный момент браузеры поддерживают УЦ Let's encrypt, есть проблемы со старыми версиями IE на Windows XP ниже SP3 и на Android до версии 2.3.6, доля которых исчезающе мала.
Как уже сказано, внедрение системы доступных сертификатов безопасности подвигнуло производителей браузеров на стимулирование владельцев сайтов на их установку. Сейчас любой HTTP-сайт, на котором предусмотрен ввод пароля помечается как ненадёжный. В будущем Google обещает помечать таким образом вообще любой онлайн-ресурс без сертификата и это лишь вопрос времени.
![Сертификат безопасности Сертификат безопасности](/preview/original/pic/15937_4.png)
![Сертификат безопасности Сертификат безопасности](/preview/original/pic/15938_4.png)
Поэтому владельцам стоит задуматься о защите своего сайта прямо сейчас:
- если на нём предусмотрены финансовые транзакции, обмен любыми критически важными данными, то, скорее всего сайт уже работает по HTTPS. Если это нет так, необходимо переходить на него немедленно и в безусловном порядке.
- если на сайте предусмотрена регистрация, личный кабинет, любые формы ввода имени и пароля - необходимо запланировать и провести миграцию на безопасный режим в ближайшее время. Помните, сейчас для большинства браузеров ваш сайт - небезопасный!
- если на сайте нет финансовых транзакций, нет регистрации и он вообще про котиков - запланируйте и переведите его на HTTPS в обозримом будущем. Рано или поздно браузеры начнут считать ваш сайт подозрительным.
![FAQ по онлайн кассе](/preview/blog_also/pic/21808_cash_s.jpg)
![Краткий демо-кейс импорта в инфоблоки](/preview/blog_also/pic/20797_easybutton.png)
![О формате XML-файла импорта в инфоблоки Битрикса](/preview/blog_also/pic/20774_image.png)
![Эффектные кнопки на сайте](/preview/blog_also/pic/20632_Dlya-knopok.png)
![Как приобрести уверенность в завтрашнем дне, работая с Bitrix - компонентами.](/preview/blog_also/pic/20633_Bitrix-komponenty.png)
![Перенос контента в инфоблоки Битрикс](/preview/blog_also/pic/20378_logo.png)
![Как 1С выгружает товары на сайт под управлением 1C Bitrix. Небольшой how to для тех кто не в теме](/preview/blog_also/pic/19273_1.jpg)
![Как я узнала, что такое хостинг](/preview/blog_also/pic/19287_2.png)
![Эффективные стратегии продвижения бизнеса в интернет в 2018 году](/preview/blog_also/pic/19196_Yeffektivnye-strategii-prodvizheniya-biznesa.png)
![Что ждет сайт без поддержки https протокола?](/preview/blog_also/pic/18710_2.png)
![Реклама на Facebook. Маркетинговые цели.](/preview/blog_also/pic/18117_Facebook.png)
![Контент для успешного сайта](/preview/blog_also/pic/17586_logo1.jpg)
![Бэкдор в WordPress](/preview/blog_also/pic/17514_WordPress.png)
![Настройка рекламных аккаунтов на Facebook](/preview/blog_also/pic/17450_Facebook.png)
![Вместе до результата или как правильно организовать работу с веб-студией](/preview/blog_also/pic/17358_Vmeste-do-rezultata-ili-kak-pravilno-organizovat-organizovat-rabotu-s-veb-studiej.png)
![Зачем и как правильно оформлять страницы сайта?](/preview/blog_also/pic/16799_clickon.png)
![Семинар по продвижению услуг учреждений культуры в социальных сетях](/preview/blog_also/pic/16784_Seminar.jpg)
![Как сэкономить на контекстной рекламе или не Директом единым...](/preview/blog_also/pic/16695_Kak-syekonomit-na-kontekstnoj-reklame-ili-ne-Direktom-edinym.png)
![Таргетинг по тематическим площадкам в РСЯ](/preview/blog_also/pic/16677_Targeting-RSYa.png)
![Зачем платить за рекламу в социальных сетях](/preview/blog_also/pic/16575_Zachem-platit-sotsseti.png)
![Что продается в социальных сетях](/preview/blog_also/pic/15912_Chto-prodaetsya-v-sotsialnyh-setyah.png)
![Контекстная реклама или SMM, что выбрать?](/preview/blog_also/pic/15458_Konntekstnaya-reklama-i-SMM-printsipy-raboty.png)
![Каким должен быть сайт медицинского учреждения?](/preview/blog_also/pic/15294_Kakim-dolzhen-byt-sajt-meditsinskogo-uchrezhdeniya.png)
![Палех. Жар-птица для оптимизатора](/preview/blog_also/pic/14942_Novyj-algoritm-Paleh.png)
![Участие в семинаре "Как создать успешную рекламную компанию в Google AdWords"](/preview/blog_also/pic/14780_Shablon.png)
![Google Tag Manager все скрипты в одном контейнере…](/preview/blog_also/pic/14668_Google-Tag-Manager-vse-skripty-v-odnom-kontejnere.png)
![UTM метки в SMM или как считать лиды из социальных сетей](/preview/blog_also/pic/13436_Shablon.png)
![Черная и белая стороны продвижения в Instagram](/preview/blog_also/pic/13384_Shablon-3.png)
![Новый пиксель ВКонтакте - новые возможности по сбору баз ретаргетинга с сайтов](/preview/blog_also/pic/13211_logo.jpg)
![Почему seo-продвижение сайтов это не только ссылки?](/preview/blog_also/pic/12417_Rynok_APK.png)
![Старые продукты. Польза или вред?](/preview/blog_also/pic/12379_cashFire.png)
![Версия для слабовидящих - нюансы разработки](/preview/blog_also/pic/12192_4.png)
![Почему мы используем Parser в большинстве своих проектов?](/preview/blog_also/pic/12067_Parser.png)
![Что показывает статистика Яндекс Wordstat](/preview/blog_also/pic/11950_skachannye-fajly-19.png)
![Стоит ли разделять CSS и JS на более мелкие](/preview/blog_also/pic/11467_css4.jpg)
![Что лучше адаптивная вёрстка или мобильная версия](/preview/blog_also/pic/11386_1111.jpg)
![Новый алгоритм "Владивосток" - ранжирование сайтов в мобильном поиске Яндекса](/preview/blog_also/pic/10810_Logo.png)
![Поздравление клиентов с новым 2016 годом](/preview/blog_also/pic/10295_image-3.jpeg)
![Адская капча](/preview/blog_also/pic/9650_capcha.png)
![Что нужно дизайнеру для работы в web-студии?](/preview/blog_also/pic/9207_preview_requirements.png)