ssl сертификат для сайта что это такое, для чего он нужен, как установить, 5 мифов от вэб разработчиков

Многие вэб-разработчики, верстальщики кода и просто активные владельцы сайтов считают, что ssl сертификат это одна из масштабных мистификаций последнего времени. Что такое ssl сертификат, зачем он нужен, как приобрести, правильно установить ― разбираемся по порядку.

Что такое SSL сертификат и как работает протокол

Простыми словами, SSL сертификат обеспечивает полную защиту данных при передаче файлов с вашего компьютера вашему хостер-провайдеру. Создавая сайты, загружая новые страницы, необходимо чтобы в тоннель между вами и вашим хостером никто не проник, не украл ваши файлы, не встроил новые вредоносные коды, или не повредил их.

Гугл Всемогущий придумал новые алгоритм работы и выдал новый протокол « https». Этот интересный значок перед именем домена указывает пользователям, что сайт на который они зашли использует супербезопасный протокол SSL и все данные которые вводятся на странице: пароли, номера банковских карт, адреса будут доставлены точно владельцу и не попадут в руки злоумышленников.

Работает протокол через сложную систему шифрования, алгоритм которой постоянно меняется, ключи от кода есть только у Вас как владельца сайта и вашего хостера, работу протокола обеспечивают специальные организации, которые проверены хостером и могут продавать, иногда за нескромную сумму свои безопасные тоннели.

Нужен ли ssl сертификат для сайта?

Практикой проверено, что сайты, работающие по протоколу https не взламываются при передаче данных от пользователя к серверу. Но ведь взломать можно не только в тоннеле следования файлов от одного пользователя к другому, есть еще десятки лазеек для хакеров, как проникнуть на ваш сайт, но пока поговорим только о безопасном тоннеле.

Какую роль играет SSL-сертификат при создании сайта и является ли он необходимым? Это зависит от того, какая информация располагается на Ваших страницах. Например, если Вы имеете интернет-магазин, где хранится множество конфиденциальных данных, то покупка SSL-сертификата является необходимой, поскольку:

• данный документ является Вашей защитой от хакерских атак;
• сайт, не имеющий его, в случае атаки понесёт значительные потери в виде похищенной базы данных.

Если же на Вашем сайте не имеется конфиденциальной или ценной информации, Вы не ведете рассылку, не собираете базу подписчиков, то приобретение сертификата не будет столь необходимым. В 99 % подобные интернет-ресурсы хакеры обходят стороной. К примеру, если Ваш сайт представляет собой личный электронный дневник, то его взлом не принесёт никому выгоды.

В противном случае (а таких около 95% по всему интернету) Вам придётся установить SSL-протокол на собственный сайт с целью максимального обеспечения безопасности ваших клиентов и гостей, которые на нём сидят, иначе Вы невольно поможете мошенникам и навредите самому себе.

Опасность SSL сертификата ―ложное ощущение безопасности

Сначала я расскажу свой собственный опыт, когда я создавал этот сайт, на котором Вы сейчас находитесь. Зарегистрировав домен. Все проплатив, установив движок Ворд Пресс я начал публиковать статьи и попросил своего друга проверить работу нового сйта. Поскольку сайт молодой ни о каком топ 10 или даже топ 50 не могло быть и речи. Меня радовало уже то, что сайт работает и неплохо смотрится.

Но через два дня мой друг встревоженный до неприличия, позвонил мне и сказал: ― «Серега, срочно что то делай, у меня на смартфоне выходит значок «!», и пишется что ресурс небезопасный. Твой сайт взломали…» Что за черт, сайту два дня, кому он нужен, почему проблема? Все просто, Ворд Пресс все сайты по умолчанию показывает по протоколу «http» я не покупал сертификат «https» и предложением своего хостера не воспользовался.

Мне пришлось потратить несколько часов и все перенастроить. Я подключил SSL сертификат и теперь Вы сами можете видеть этот значок возле домена.

Я то знаю, что для меня и моих посетителей одинаково безопасно, что «https», что «http», но вот это предупреждение «!» точно отпугнет с сайта человека который не разбирается во всех тонкостях. Согласитесь, если вы открыли сайт, а Вам пишется «Подключение не безопасно, это повредит Вашему компьютеру», что вы будете делать? Конечно, уйдете со страницы.

Безопасность чисто внешне

Но на самом деле наличие SSL сертификат дает пользователям только ложное ощущение безопасности. Почему?

Наличие сертификата у сайта никак не гарантирует, что на этом ресурсе нет вирусов или вредоносных программ. Вспомните, сколько раз Вы скачивали бесплатное приложение и получали в «придачу» кучу ненужного мусора, который потом приходилось с таким трудом удалять со своего браузера?

Получить SSL сертификат очень просто. Организации, которые выдают, (читай, продают) сертификаты никак не проверяют деятельность сайта. Любой хакер может создать сайт, получить протокол и собирать Ваши данные. На его сервер Ваши карты, емейлы попадут безопасно. А что с ними будет потом? Но самым неприятным остаются мифы, которые вэб мастера передают друг другу и путают новичков.

Сертификат SSL ― мифы и правда

Самый распространенный миф. Сайт с «httр»Гугл пометит красным знаком, после чего посетители испугаются и перестанут заходить на данный интернет-ресурс.

У этого мифа есть свои корни, за которыми скрывается очень забавная история. Всё дело в том, что Гугл довольно давно пугает веб-мастеров тем, будто все сайты, не имеющие в содержании ссылки «https», будут помечаться как «небезопасные» в новой версии браузера Google Chrome.

В самом начале планировалось, что подобное нововведение будет установлено в 53 версии браузера, затем — в 58, а после — в 62. На данный момент практически у всех веб-разработчиков браузер Google Chrome нормально функционирует при использовании «http», а не «https».

Что правда, вместо обещанного красного значка появляется жёлтая буква «i», которая является своего рода сигналом и свидетельствует о том, что подключение к данному интернет-ресурсу не защищено, а потому конфиденциальные данные на нём оставлять крайне нежелательно.

Миф 2. В браузере посетителя появится страшная надпись

Браузер выдаёт предупреждение о том, что подключение к интернет-ресурсу не защищено только тогда, когда Вы начинаете вводить свои личные данные в форму. Но если этого не сделать, то пользователь так и не узнает о том, что посещал потенциально опасный интернет-ресурс.

Если Вы внимательно читали первый миф, то должны были узнать, что сайт выдаёт предупреждение в виде жёлтой буквы «i» — это сигнал, говорящий о небезопасном подключении. Если Гугл в самом деле начнёт запугивать посетителей обычных интернет-ресурсов и они разбегутся.

Иными словами, Гугл потеряет свою поисковую выдачу, которая строилась далеко не один и не два года, а вместе с ней и значительную части прибыли. По факту система погубит сама себя, поскольку ввиду отсутствия поисковой выдачи пользователи перестанут использовать сам Гугл. В конечном итоге это может привести к печальным последствиям для поисковой системы.

По сути, если сайт не занимается сбором конфиденциальных данных своих пользователей, то Гугл даже не обратит на него внимания, а точнее –на наличие/отсутствие SSL-сертификата.

Миф 3. Сайты, имеющие в ссылке «https», располагаются выше других в поисковой строке

Вот она — основная причина, по которой SSL-сертификаты стали столь популярными! Дело далеко не в безопасности, а в том, что большинство сайтов гонятся за популярностью и стремятся быть первыми при поисковом запросе.

Веб-мастера схватились за эту идею, поскольку переезд на новый протокол для них более удобен, да и работать над раскруткой не особо надо, если всё решится переходом.

Но на самом деле это далеко нет. Да, Гугл говорил веб-разработчикам о том, что сайты, имеющие SSL-сертификат, получат приоритет среди своих аналогов, но влияние данного фактора будет минимальным — около 1% или даже меньше. В дальнейшем Гугл пообещал, что этот процент будет расти, но вот уже несколько лет как эта тема затихла и не поднималась целых 3 года. Из этого можно было сделать вывод, что система в этом случае себя не оправдала, и всё работает по-прежнему.

Официальных извещений Гугл больше не выдавал, а сайты, переехавшие на новый протокол, перестали высвечиваться в поисковой системе Яндекса, что тоже немаловажно. Возвращаться туда очень многим пришлось долго и кропотливо.

Наконец, в 2017 году Гугл признал, что данная цифра не увеличится, и всё будет работать так, как работает сейчас.

Эксперимент Гугл

Говоря кратко, поисковая система Гугла решила провести небольшой эксперимент с «http» и «https». Качество поисковой выдачи должно было улучшиться, но этого не произошло, эксперимент был завершён.

Итак, миф о преимуществах «https» очень легко опровергнуть. Например, вводим в поисковую строку запрос «контент-план», после чего просматриваем первые 5 сайтов.

В результате — на первом месте в выдаче стоит сайт с «https», а на втором популярный ресурс, без значка «https», и сегодня уже и желтым сверху ничего не горит, просто стоит значок и горит надпись «не защищено». хотя, если верить мифу, всё должно было быть наоборот.

Таким образом, переход на новый протокол не сказывается на продвижении интернет-ресурсов. Наличие SSL-сертификата совсем не обуславливает популярность того или иного сайта!

Переезд на новый SSL-протокол — это быстрый и полностью безопасный процесс!

На самом деле нет. Если Вы переезжаете, то для поисковых систем появляется совершенно новый интернет-ресурс, с чистой историей и новым местом при отображении в поисковых результатах.

Они — поисковые системы — не очень одобряют такое, а потому сайт теряет практически весь трафик. Успешный результат, если верить приведённой Гуглом же статистике, — когда сайту после переезда на защищенный протокол удалось вернуть практически весь трафик в течение 2-3 месяцев!

Иными словами, переезд будет весьма болезненным и долгим, а в результате Вы ничего не получите. Разве что — сайт может перестать отображаться в других поисковых системах (например, в том же Яндексе).

Скрытая опасность переезда

И это — ещё цветочки! Поскольку из-за обнуления сайт вылетает из поисковой строки на долгое время. Таким образом, Вы понесёте значительные потери, поскольку Ваш сайт перестанет приносить столько прибыли, сколько было до переезда. Чтобы восстановить баланс, придётся очень хорошо поработать!

И, как вариант, организация, которая выдавала Вам сертификат, может быть заблокирована в результате собственных ошибок, и Вам придётся либо приобретать новый, уже в другой компании, либо возвращаться обратно. Кстати говоря, заблокировать могут за любую, даже самую малейшую, провинность (именно этим, как правило, занимается Роскомнадзор).

Я постарался объяснить, что такое ssl сертификат и для чего он нужен, надеюсь май опыт Вам пригодится. А если Вы только в процессе создания сайта, тогда все в порядке, трудности с переездом Вам не грозят, сразу приобретайте сертификат у своего хостера и устанавливайте плагин. О том, как перенаправить сайт с http на https за 15 минут инструкция здесь… Всем удачи, пишите, комментируйте.