Разработка сайтов в Ярославле
c 2001 года
Более 20 лет опыта!
(4852) 58-66-40
Новый протокол HTTPS все больше вытесняет HTTP, и сейчас мы постараемся кратко и просто объяснить, что это за протокол и для чего он нужен. Обращаем внимание, что данный текст рассчитан на неспециалистов, это скорее научно-популярный рассказ про протоколы интернета и сертификаты безопасности.
Исторически, для доступа к сайту использовался протокол HTTP (Hyper Text Transport Protocol - Протокол доставки гипертекста). Адрес любого сайта в интернете начинался с http://, например http://yandex.ru или http://neonstudio.ru. Даже если вы писали просто адрес сайта, браузер автоматически подставлял вначале эти буквы, сообщавшие всем программам, которые используются для передачи данных через интернет, что нужно использовать именно протокол HTTP. Протокол - это просто соглашение, формат данных, которыми обмениваются программы и сервера в интернете. Они же не могут слать друг другу просто разнообразный набор файлов или команд, они все должны соблюдать единые правила, стандарты - т.е. единый протокол. Вы, как пользователь сайта, конечно об этом не задумываетесь, вы набираете адрес сайта, а тексты и картинки вам показывает браузер. Все работает, все нормально.
Но у протокола HTTP оказался серьезный изъян. Он разрабатывался в те времена, когда интернет только-только зарождался, а информацией по сети обменивались только научные центры, исследователи, разработчики. Передавались в основном научные данные, и ни у кого не возникало ни сомнений в подлинности, как самих данных, так и отправителя. Но пришел 21 век, интернет стал частью всей нашей жизни, через него стала передаваться приватная, конфиденциальная, секретная, финансовая и прочая важная информация. И конечно сразу же нашлись желающие эту информацию похитить или перехватить. А незащищенный протокол HTTP позволял злоумышленникам это сделать. Как это может выглядеть? Хакеры создают копию сайта известного банка, и перехватывают ваше соединение с ним, так что набирая известный вам адрес http://saitbanka.ru вы попадаете на сайт мошенников, вводите там данные для доступа к финансовой информации. Или во время оплаты банковской картой в интернет-магазине можно подменить сайт платежной системы, и перехватить данные вашей карты.
Чтобы не допустить всего этого безобразия, и был разработан протокол HTTPS (Hyper Text Transport Protocol Secured - Протокол доставки гипертекста безопасный), и при его использовании подменить сервер или сайт невозможно. Соответственно, адрес сайта немного меняется, вначале становится https, например https://neonstudio.ru. И для работы сайта по этому протоколу требуется сертификат SSL ( Secure Sockets Layer — уровень защищённых сокетов или соединений). Если очень упрощенно - SSL это такой очень сложный пароль, подобрать который с использованием даже очень мощных компьютеров невозможно. Он устанавливается на сервер, на котором работает сайт, и каждый раз, когда ваш браузер пытается установить соединение с этим сайтом, то этот пароль запрашивается, проверяется его подлинность, и если все нормально, то вы заходите на этот сайт. А если нет - то браузер выдаст грозное предупреждение, что соединение с этим сайтом незашифрованное и незащищенное.
Сообщение о незашифрованном соединении.
Кроме того, вся информация которой вы обмениваетесь с этим сайтом, шифруется с помощью этого сертификата-пароля, поэтому даже если кто-то перехватит эти данные, он получит бессмысленный набор букв и цифр, а не личные сообщения и не номера банковских карт.
Если же на сайте вообще нет сертификата SSL и он доступен только по протоколу HTTP, то браузер это также отметит и выдаст предупреждение. Согласитесь, если ваши клиенты зайдут на ваш сайт и увидят такое предупреждение, то с большой долей вероятности они его покинут, т.к. посчитают небезопасным.
Сообщение о том, что подключение к сайту незащищено
Если же на сайте корректно установлен и работает сертификат SSL, то такое соединение отмечается как безопасное, на такой сайт можно смело заходить, вводить логин и пароль, проводить оплату банковскими картами.
Сообщение о том, что подключение к сайту безопасно
Кроме того, что соединение защищено и зашифровано, поисковые системы гораздо лучше ранжируют сайты с https, и они при прочих равных будут выше в результатах поиска, чем без него. А это очень важный аспект при продвижении сайта, особенно при высокой конкуренции. Таким образом, наличие https стало фактически обязательным для любого более-менее серьезного сайта, даже если на нем нет платежей или авторизации пользователей по логину и паролю.
Существуют три основных вида SSL-сертификатов, условно назовем их начального уровня, среднего и высокого. Сразу обращаем внимание - на безопасность сайта уровень сертификата не влияет, он влияет на количество проверенной информации, и на то, будут ли защищены еще и поддомены вашего сайта.
Сертификат SSL начального уровня, обеспечивает защиту только одного вашего домена. Например, если адрес (домен) сайта sitebanklogin.ru, то проверяется подлинность только этого домена, и больше ничего.
Сертификат среднего уровня обеспечивает защиту не только основного домена, но и поддоменов. Например, если у вашего сайта sitebanklogin.ru есть дочерние домены cabinet.sitebanklogin.ru или transfer.sitebanklogin.ru, то проверяется подлинность и их тоже.
Сертификат высокого уровня подтверждает подлинность не только сайта и его поддоменов, но и вообще вашей организации. Проверяется, что компания действительно существует, ее данные вносятся в сертификат, и при клике на значок [замок] эти данные можно просмотреть. Вы можете это проверить на сайтах крупных и известных компаний, например yandex.ru. В подавляющем большинстве случаев на сайтах установлены сертификаты начального или среднего уровня, сертификат высокого уровня может потребоваться крупным компаниям и банкам.
Мы предлагаем нашим клиентам SSL-сертификаты начального уровня, точно также как и доменное имя сайта их необходимо ежегодно продлевать. Стоимость - 3000 руб. за один сертификат в год, в нее входит оформление сертификата, установка на сайт, необходимые консультации с техподдержкой хостингов. Кроме того, за месяц и при необходимости за неделю до истечения срока его действия, мы с вами свяжемся различными способами (телефон, почта, мессенджеры) , напомним о необходимости его продления. Как показывает наша практика, владельцы сайтов часто не помнят таких казалось бы мелочей, как необходимость продления регистрации домена, хостинга или SSL-сертификата, и в результате сайты вдруг перестают работать, а затем и резко теряют позиции в результатах поиска, так что их бизнес начинает нести большие убытки. Мы этого не допустим, ваш сайт всегда будет с защищенным протоколом HTTPS.