SSL — это протокол безопасной связи основанный на принципах криптографии. Первая обнародованная версия протокола SSL 2.0 была выпущена 1995 году, позже протокол SSL заменил TLS, но привычное название SSL осталось.
Как работает SSL?
Если коротко, то:
- браузер и сервер обмениваются информацией и сертификатами необходимыми для шифрования;
- происходит проверка сертификатов;
- сервер и клиент переходят в защищенный режим передачи данных;
Для чего нужен SSL-сертификат?
Ответить на этот вопрос можно как минимум с двух точек зрения: с технической и маркетинговой.
Техническая
Использование на сайте протокола HTTPS работающего через SSL позволяет избежать прослушивания и подмены данных передаваемых между сервером и браузером. На практике это позволяет передавать конфиденциальную информацию без возможности ее подмены или раскрытия в процессе передачи.
Маркетинговая
Клиент видит заветный значок замка рядом с адресом сайта и доверяет вашему сайту. Конечно, все зависит от ниши, целевой аудитории и функционала вашего сайта. Но в большинстве случаев от наличия этого значка будет зависеть уровень доверия и готовность посетителя передать вам конфиденциальные данные. К тому же и браузеры предупреждают о небезопасном подключении.
Поисковые системы рекомендуют переходить на защищенный протокол. В поисковой системе Google наличие HTTPS с 2014 является одним из факторов ранжирования. Яндекс не заявлял прямого влияния на ранжирование, но проводимые некоторыми специалистами исследования показали положительное влияние наличия SSL-сертификата на позицию в выдаче.
Типы сертификатов
SSL-сертификаты бывают разных типов, но все они хорошо справляются с задачей обеспечения безопасности соединения, давайте разберемся чем они отличаются.
Сертификаты по типу проверки делятся на 3 типа:
- Domain SSL (DV SSL) — самый простые и доступные. Быстро выпускаются без проверки документов организации. Доступны для физических лиц и юридических лиц. Считаются сертификатами с низким уровнем доверия.
- OrganizationSSL (OV SSL) — не только шифруют, но и подтверждают информацию о существовании организации которой был выдан сертификат. Из-за чего недоступны для физических лиц, выпускаются после проверки необходимых для выпуска документов организации и стоят дороже. Их часто используют крупные интернет-магазины. Считаются сертификатами со средним уровнем доверия.
- ExtendedSSL (EV SSL) — по сути все тоже что и в OV SSL, только для оформления нужно больше документов и стоят еще дороже. В некоторых браузерах отображается «green bar» визуально выделяющий адрес сайта. Часто используются банками. Считаются сертификатами с высоким уровнем доверия.
На примере яндекс браузера посмотрим чем отличаются эти сертификаты:
При этом в самом популярных браузерах Google Chrome, Mozilla Firefox и Edge разницы в отображении данных сайтов еще меньше. «Green bar» для EV SSL уже не отображается, осталось только наименование организации для EV сертификатов, но и это наименование не особо заметно.
И получается если смотреть с точки зрения простого пользователя сайта, то разницу между сертификатами увидеть не так просто как хотелось бы. Конечно, можно купить более дорогой EV SSL и наслаждаться green bar-ом в яндекс браузере, но большинство посетителей этого даже не оценит.
Сравним информацию о субъекте в сертификате.
Тут разница заметнее, но как часто вы просматриваете информацию о сертификате у сайтов которые посещаете?
Сертификаты по количеству доменов:
- SSL одного домена — тут вроде все понятно.
- Wildcard — это сертификат с поддержкой поддоменов. Подходит для сайтов с поддоменами для каждого региона или города.
- Multi-domain SSL (SAN/UCC) — мультидоменные сертификаты обеспечивают защиту нескольким доменам и являются расширяемыми.
В итоге под свои нужды можно подобрать сертификат исходя из требуемого количества сертификатов и типа проверки. Например, для информационного портала имеющего региональные поддомены нам подойдет DV Wildcard SSL-сертификат.
Мифы о SSL
SSL-сертификат защищает сайт от взлома
SSL-сертификат позволяет создать безопасное соединение, но почти не влияет на уровень защищенности от хакерских атак.
HTTPS негативно влияет на скорость загрузки сайта
HTTPS и правда влияет на скорость загрузки сайта, но малозначительно. Чаще при правильной настройке наблюдаются изменения лучшую сторону за счет использования более продвинутого HTTP/2.
Как итог
В настоящее время все кричат что SSL сертификат не просто нужен, он необходим. Но практика показывает что информационные сайты (например, государственных организаций) не требующие ввода данных спокойно живут и без SSL-сертификатов. При этом находятся в топе выдачи просто по причине подтвержденной официальности.
Но это скорее исключение из правила, и ssl-сертификат действительно нужен. Сейчас уже не стоит вопрос стоимости — есть бесплатный Let’s Encrypt, да и некоторые платные имеют довольно доступные цены.