Какие сайты должны использовать сертификаты безопасности?

adsvetadsvet   

Краткий ответ: все.

В 2017 году производители самых популярных браузеров Google и Mozilla, как и было обещано, включили в новые версии Chrome и Firefox обязательное предупреждение пользователя о посещении небезопасного сайта. Попробуем разобраться, что случилось и какой вывод из этого следует для владельцев онлайн-ресурсов.

Как известно, в наиболее частом случае обмен информацией в интернете осуществляется по протоколу передачи гипертекста HTTP. При этом данные пересылаются в открытом виде. Если вероятный злоумышленник подслушает или, что хуже, перехватит трафик, он сможет

  1. узнать, какие разделы сайта посещал пользователь,
  2. получить конфиденциальную информацию - имя и пароль для доступа, номер банковской карты и т.п.,
  3. подменить запрашиваемые пользователем данные.

Проблему решает использование протокола HTTPS (HyperText Transfer Protocol Secure), благодаря которому обмен происходит по зашифрованному соединению. Трафик HTTPS-соединения, в отличие от HTTP представляет собой бессмысленный набор символов и бесполезен для потенциального злоумышленника. Сайт, работающий по безопасному протоколу при шифровании использует ключ, который заверен удостоверяющим центром (УЦ). В процессе подтверждения ключа, а это не что иное, как цифровая подпись, УЦ проверяет заявителя. Считается, что подделать ключ при современном уровне развития вычислительной техники невозможно. Информация о большинстве известных УЦ "зашита" в браузере, благодаря чему при предъявлении сайтом ключа, заверенного известным УЦ, подтверждается его аутентичность. Т.е. ни подслушать, ни подделать защищенный сайт нельзя. Веб-сервера, использующие HTTPS отмечаются браузерами как надежные.

Сертификат безопасностиСертификат безопасности


Ключ, заверенный УЦ называют сертификатом безопасности. Сертификаты различаются по типу: защищают доменное имя (DV), организацию (OV) или имеют расширенные возможности(EV). Срок их действия ограничен, как правило 1-3 года. Сертификаты выпускаются на коммерческой основе, стоимость зависит от ряда факторов, самые дешевые на настоящий момент стоят от 500-600 рублей в год.

Относительная сложность внедрения, необходимость администрирования (перевыпуск), платный характер - всё это является тормозом в распространении защищенных сайтов. Кроме того, миграция сайта на HTTPS может повлечь "проседание" по выдаче поисковыми системами. Поэтому, безопасный протокол используется там, где он необходим, как правило, при проведении финансовых транзакций.

Так было до недавнего времени. Сейчас ситуация меняется буквально на глазах: по данным телеметрии браузера Firefox, доля глобального HTTPS-трафика в январе текущего года превысила 50% и продолжает расти. Гиганты индустрии имеющие ключевое влияние на инфраструктуру интернета начали активно мотивировать владельцев сайтов на переход на защищенный режим. В частности, Google при прочих равных условиях отдаёт предпочтение сайтам использующим сертификаты безопасности при ранжировании результатов поиска. Т.е. защищенный веб-сервер имеет больше шансов попасть в топ поисковой выдачи, по сравнению с устаревшим, по мнению Google, открытым HTTP-сайтом.

Произошел сдвиг парадигмы, интернет движется в сторону большей безопасности. Этот процесс стал возможным благодаря реализации усилий интернет-грандов, поддержавших проект Let's encrypt - консорциум по разработке и внедрению инфраструктуры доступного HTTPS. По своей сути создан интернет-стандарт по автоматизированной выдаче и обновлению сертификатов с доменной валидацией, Automatic Certificate Management Environment (ACME).

В настоящий момент ACME имеет статус кандидата в стандарты, но он уже подтвердил свою работоспособность, доступность и используется на более чем 14 миллионах сайтах. Сертификат от Let's encrypt бесплатен, сравнительно прост в управлении - вебмастеру надо установить скрипт на сервере, в процессе настройки подтвердить право владения доменом, после чего сертификат будет автоматически (или вручную, как решит администратор) обновляться каждые три месяца. Все распространенные на данный момент браузеры поддерживают УЦ Let's encrypt, есть проблемы со старыми версиями IE на Windows XP ниже SP3 и на Android до версии 2.3.6, доля которых исчезающе мала.

Как уже сказано, внедрение системы доступных сертификатов безопасности подвигнуло производителей браузеров на стимулирование владельцев сайтов на их установку. Сейчас любой HTTP-сайт, на котором предусмотрен ввод пароля помечается как ненадёжный. В будущем Google обещает помечать таким образом вообще любой онлайн-ресурс без сертификата и это лишь вопрос времени.

Сертификат безопасностиСертификат безопасности

Поэтому владельцам стоит задуматься о защите своего сайта прямо сейчас:

  • если на нём предусмотрены финансовые транзакции, обмен любыми критически важными данными, то, скорее всего сайт уже работает по HTTPS. Если это нет так, необходимо переходить на него немедленно и в безусловном порядке.
  • если на сайте предусмотрена регистрация, личный кабинет, любые формы ввода имени и пароля - необходимо запланировать и провести миграцию на безопасный режим в ближайшее время. Помните, сейчас для большинства браузеров ваш сайт - небезопасный!
  • если на сайте нет финансовых транзакций, нет регистрации и он вообще про котиков - запланируйте и переведите его на HTTPS в обозримом будущем. Рано или поздно браузеры начнут считать ваш сайт подозрительным.

Сюда ещё никто не добрался. Первым будешь?

Создание и продвижение сайтов для бизнеса только кликни мы откликнемся
8-800-77-55-123 Меню
В порядке и на условиях, определённых Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Согласие на обработку следующих моих персональных данных: фамилии, имени, отчества, года, месяцы, даты и места рождения, пола, гражданства, места жительства, в том числе сведения о регистрации по месту жительства, месту пребывания, места работы, социального положения (статуса), реквизитов документа, удостоверяющего личность. Обработка моих персональных данных Оператором осуществляется исключительно в целях защиты моих прав на регистрацию доменного имени, услуги по созданию и продвижению сайтов, услуги по размещению рекламных компаний в интернет и обеспечения соблюдения законов и иных нормативных правовых актов, связанных с предоставлением этих услуг. Я предоставляю Оператору право осуществлять следующие действия с моими персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение персональных данных, передача персональных данных между: - Оператором ООО «КликОН», в котором мне будут осуществляться вышеперечисленные услуги ; - Оператором АНО «Региональный Сетевой Информационный Центр», осуществляющим непосредственную регистрацию доменных имён ; Мне гарантируется конфиденциальность моих персональных при обработке их и хранении не дольше срока, предусмотренного нормативными актами. Настоящие согласие данное мной и действует бессрочно. Я оставляю за собой право отозвать своё согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку уполномоченному представителю Оператора.