Ваше полное руководство по SSL/TLS и HTTPS

В свете постоянно возрастающих глобальных угроз кибербезопасности и ужесточения стандартов безопасности Google, для владельцев бизнеса становится всё более важным предпринимать активные меры для защиты своих сайтов.

В противном случае вы подвергаете риску как себя, так и ваших клиентов. Это плохо.

Но есть надежда! Вы можете показать пользователям, что они могут вам доверять, предложив им безопасный, зашифрованный опыт через то, что называется Протокол безопасной передачи гипертекста (HTTPS). Чтобы использовать HTTPS, вам необходимо приобрести сертификат уровня безопасного сокета (SSL) или безопасности транспортного уровня (TLS), который подтверждает, что ваш сайт безопасен. Мы расскажем об этом подробнее позже.

Этот пост объяснит, что такое SSL/TLS и HTTPS, и обсудит важность наличия этих функций на вашем веб-сайте. Затем мы покажем вам, как реализовать сертификат SSL/TLS. Давайте начнем!

Введение в SSL/TLS и HTTPS

SSL и TLS — это сертификаты, которые вы можете добавить на свой сайт. Они создают зашифрованные соединения между браузерами и веб-серверами. Когда вы посещаете сайт, использующий соединение, сертифицированное с помощью SSL или TLS, только этот сайт может получить доступ к данным, которые вы отправляете.

SSL является предшественником TLS, который теперь считается устаревшим и небезопасным. Тем не менее, аббревиатура «SSL» часто используется как взаимозаменяемая при упоминании любого типа сертификата. Поэтому мы будем называть их «SSL/TLS».

Чтобы настроить SSL/TLS, вам необходимо установить сертификат на вашем сайте. Это убедит пользователей в безопасности вашего сайта. На практике ваш сайт будет использовать протокол HTTPS для установления соединений. Вы можете узнать его как безопасную версию стандартного HTTP.

Вот как HTTPS защищает ваш сайт

1. Шифрование для предотвращения перехвата данных во время обмена.
2. Целостность данных, чтобы попытки вмешательства были обнаруживаемы.
3. Аутентификация для предотвращения атак и создания доверия у пользователей.

SSL/TLS позволяет вам предоставлять ваш сайт через HTTPS, что обеспечивает безопасное, конфиденциальное соединение между вашим сайтом и вашими пользователями. Если URL сайта использует http://, то он не защищен SSL/TLS. Однако, если используется https:// он защищен — и для этого вам потребуется сертификат SSL/TLS.

В Google Chrome вы можете определить сайты, которые используют HTTPS, по значку замка в адресной строке браузера. Когда посетитель запрашивает соединение с веб-сайтом, страница отправляет SSL-сертификат, который содержит открытый ключ, необходимый для защиты сеанса. Затем сервер и браузер начинают процесс, известный как SSL/TLS-рукопожатие. В двух словах, компьютеры общаются друг с другом, чтобы установить безопасное соединение.

Почему сертификат SSL/TLS важен для вашего сайта

Наличие сертификата SSL/TLS (и, в свою очередь, использование HTTPS-соединения) критически важно для безопасности вашего сайта. Это гарантирует, что никто не сможет перехватить или получить доступ к передаче данных между вашим сервером и браузерами посетителей (также известное как атаки «человек посередине»).

Это не единственные типы атак. Ранее в этом году была обнаружена уязвимость в mitmproxy: открытом HTTPS прокси, который позволил бы проводить атаки с контрабандой HTTP-запросов.

С учетом многочисленных угроз безопасности в интернете, использование протокола HTTPS является необходимостью. На самом деле, начиная с июля 2018 года, Google Chrome стал отмечать сайты, использующие HTTP как «небезопасные»:

Потеря доверия Google может серьезно повлиять на ваше положение в поисковой выдаче. Это также может сделать посетителей вашего сайта настороженными. В конце концов, если их браузер предупреждает их о том, что ваш сайт может быть опасным, вероятность потери трафика увеличивается.

Google начал изменять свой алгоритм еще в 2014 году, предпочитая сайты, использующие SSL-сертификаты. Сегодня компания уделяет им еще больше внимания, заявляя, что сайты с SSL-сертификатами будут иметь более высокий рейтинг, чем те, у которых их нет, даже если все остальные факторы одинаковы.

Еще одна важная причина для установки сертификата SSL/TLS заключается в том, что если вы работаете в отрасли, которая требует соблюдения определенных стандартов. Например, в финансовой отрасли требуется соответствие стандартам безопасности в отношении платежной информации. Организация по стандартизации платежных карт (PCI) устанавливает рекомендации, которым должны соответствовать владельцы сайтов, чтобы безопасно принимать информацию о кредитных картах на своих веб-сайтах.

Как узнать, использует ли ваш сайт SSL/TLS

Важно убедиться, что ваш сайт использует сертификат SSL или TLS. Также необходимо постоянно следить за тем, чтобы он не истек. Отчет Keyfactor показал, что за последние два года 81% компаний столкнулись с простоем из-за проблем с сертификатами.

Если ваш сертификат неожиданно истекает, это может поставить ваш сайт под угрозу. Восстановление после сбоев может занять несколько часов, а продолжительное простои могут навредить вашему бизнесу.

Проверка наличия действующего SSL/TLS сертификата – это очень простой процесс. Чтобы начать, откройте ваш сайт в Google Chrome (или в любом другом браузере). Затем проверьте адресную строку в верхней части вашего браузера, чтобы увидеть, использует ли ваш сайт http:// или https://.

Вы также можете увидеть цветной замок рядом с URL. Если цвет красный, то ваш сайт не использует SSL/TLS. Однако, если ваш сайт защищен с помощью SSL/TLS, вы можете увидеть зеленый замок:

Однако не все сайты с сертификатом SSL/TLS отображают этот значок. Наличие значка зависит от типа используемой проверки (об этом позже). Например, некоторые сертификаты SSL/TLS будут отображать простой серый значок:

Это означает, что сайт может быть незащищенным, но браузер не может с уверенностью это определить. Если ваш сайт, похоже, не защищен SSL/TLS, у вас все еще может быть сертификат. Однако, скорее всего, он истек, что вы можете проверить, нажав на значок предупреждения рядом с URL:

Здесь вы можете кликнуть по ссылке на сертификат, чтобы увидеть больше информации. Например, мы можем видеть, что у этого сайта есть сертификат SSL/TLS, но он истек:

Наконец, также возможно, что у вас есть действующий, актуальный SSL/TLS сертификат, но ваш сайт по умолчанию не использует его. В этом случае вам нужно заставить ваш сайт перенаправлять на HTTPS.

Различные типы SSL-сертификатов

Если вы обнаружили, что на вашем сайте нет сертификата SSL/TLS, вам нужно будет его приобрести. Перед этим, однако, вам нужно знать, какой именно сертификат вы ищете.

Сертификаты SSL/TLS бывают разных видов, каждый из которых имеет свои уникальные преимущества и недостатки. Чтобы получить такой сертификат, ваш сайт должен быть проверен Удостоверяющим Центром (CA). В зависимости от типа сертификата SSL/TLS, который вы решите приобрести, ваш сайт будет проверяться на предмет различной информации.

Ваш выбор сертификата во многом зависит от ваших требований и бюджета. Давайте рассмотрим различные категории, чтобы помочь вам найти оптимальный вариант:

Проверка домена (DV)

Этот тип сертификата требует от вас доказательств того, что у вас есть право использовать определенный домен. Это делает его наименее безопасным вариантом. Однако это также самый дешевый тип сертификата SSL/TLS, и вы даже можете получить его бесплатно. Вы также можете получить его одобрение очень быстро — даже в течение нескольких минут. Это рекомендуется для меньших сайтов, которые не обрабатывают конфиденциальные данные, таких как блоги или портфолио.

Проверка организации (OV)

Это более безопасный вариант, который требует более тщательной проверки вашего сайта. Центр сертификации проверит вашу организацию, чтобы убедиться, что вы являетесь законным и надежным. Как следствие, это также немного дороже и займет больше времени для получения. Однако этот тип сертификата рекомендуется для крупных сайтов, которые обрабатывают пользовательские данные и покупки.

Расширенная проверка (EV)

Это самый безопасный вариант, но также самый дорогой и затратный по времени. Получение сертификата с расширенной проверкой требует тщательного процесса проверки и обычно более дорогостоящее, чем предыдущий вариант. Это также означает, что на его одобрение уходит больше времени. Такой тип сертификата ориентирован на очень крупные сайты с высоким трафиком, такие как интернет-магазины и официальные государственные сайты.

Как мы отмечали ранее, тип сертификата SSL/TLS, который вам нужен, полностью зависит от цели и требований вашего сайта. Рекомендуем вам узнать больше о различных уровнях сертификатов, чтобы убедиться, что вы выбираете правильный вариант.

Где получить сертификат SSL/TLS для вашего сайта

На этом этапе вы уже знаете, что вам нужен сертификат SSL/TLS. Более того, у вас есть представление о типе сертификата, который требуется вашему сайту. Теперь вам просто нужно его приобрести.

Вы можете получить сертификат SSL/TLS от центра сертификации, такого как GlobalSign. Кроме того, некоторые хостинг-провайдеры предлагают их в качестве бесплатных дополнений или включают в свои платные планы.

В DreamHost сертификаты SSL/TLS можно легко добавить на ваш сайт из вашей панели управления. Давайте рассмотрим доступные варианты:

Sectigo-проверенный SSL

Это DV-сертификат (ранее известный как Comodo), который стоит 15 долларов в год. Он гарантирует, что ваш сайт будет отображаться в браузерах как полностью защищенный. Это делает его лучшим выбором для коммерческих сайтов или сайтов, обрабатывающих конфиденциальные данные.

Let’s Encrypt SSL/TLS

Это еще один бесплатный сертификат DV, но он более безопасный, чем предыдущий вариант. Сертификат Let’s Encrypt почти так же безопасен, как Sectigo. Таким образом, он идеален для небольших сайтов, которые не обрабатывают много личных данных, например, для блогов.

Если у вас уже есть аккаунт DreamHost, вы можете получить один из этих сертификатов, перейдя в раздел Websites > Secure Certificates в вашей панели управления. Здесь вы увидите все ваши домены и доступные опции SSL/TLS:

Кликните на кнопку Add рядом с вашим доменным именем. Это перенаправит вас на экран, где вы сможете выбрать между бесплатным SSL-сертификатом от Let’s Encrypt или платным DV-сертификатом от Sectigo.

Когда вы решите, какой вариант лучше всего подходит для вашего сайта, нажмите на Выбрать этот сертификат:

Ваш сайт на DreamHost теперь будет защищен с помощью SSL/TLS. Пожалуйста, дождитесь внесения изменений на сервер, это займет 15 минут.

Однако, возможно, вы задаетесь вопросом: что если я хочу использовать сертификат SSL/TLS, который я уже приобрел в другом месте? В следующем разделе мы покажем вам, как установить сертификат, приобретенный у стороннего поставщика.

Как установить SSL/TLS сертификат на вашем сайте WordPress (2 варианта)

Если вы приобрели SSL/TLS сертификат от внешнего CA, вам необходимо подключить его к вашему сайту и установить. Процесс может отличаться в зависимости от вашего сайта, вашего веб-хоста и типа выбранного вами сертификата.

Однако существует два основных способа установки сертификата SSL/TLS: с помощью плагина и вашей панели управления хостингом. Давайте подробнее рассмотрим каждый из методов.

Вариант 1: Установка плагина Really Simple SSL

Один из самых простых способов добавить сертификат SSL/TLS на ваш сайт — использовать плагин. Really Simple SSL — это инструмент, который оправдывает своё название:

Инструмент можно бесплатно загрузить и установить, хотя также доступна премиум-версия. Он также невероятно прост в использовании, с простым процессом конфигурации и удобным интерфейсом.

Плагин выполнит весь процесс установки и активации за вас. Всё, что вам нужно, это сертификат SSL/TLS, и инструмент справится практически со всем остальным.

Начните с установки и активации Really Simple SSL на вашем сайте WordPress. Затем, в вашей панели управления появится сообщение с дополнительной информацией о том, что вам нужно сделать перед активацией SSL/TLS. Убедитесь, что вы выполнили все эти шаги, прежде чем продолжить:

Если на вашем сайте уже подключен сертификат SSL/TLS, вы увидите опцию Вперед, активируйте SSL! Если вы нажмете на эту кнопку, плагин установит и активирует ваш сертификат.

Однако, если вы не добавили SSL/TLS через вашего веб-хоста, вы увидите сообщение, информирующее вас об этом. Вам нужно будет вернуться на панель управления вашего хоста и следовать их конкретным рекомендациям по добавлению вашего сертификата.

После этого вы можете вернуться в вашу панель управления WordPress и активировать ваш SSL/TLS сертификат:

Во время процесса установки инструмент будет информировать вас о статусе. Вы можете просмотреть некоторые задачи, которые вам возможно еще предстоит выполнить, а также обновить процесс в любой момент.

Вариант 2: Использование панели управления DreamHost

Мы уже показали вам, как DreamHost упрощает процесс покупки и активации SSL/TLS сертификата через вашу панель управления. Вы можете использовать аналогичный процесс для добавления сертификата от стороннего поставщика.

Сначала вам нужно войти в свой аккаунт и перейти в раздел Веб-сайты > Безопасные сертификаты. Затем выберите вкладку Импортировать сертификат. На этом экране вы сможете установить сторонний SSL/TLS сертификат на ваш сайт:

Вам нужно будет добавить сертификат SSL/TLS, а также ваш закрытый ключ и запрос на подпись сертификата. Если у вас есть промежуточный сертификат, вам также потребуется добавить эту информацию сюда. Важно, чтобы все эти элементы были получены от одного CA и приобретены одновременно, иначе они будут несовместимы.

Кроме того, вы должны убедиться, что вы включаете все при добавлении этой информации. Например, когда вы вставляете свой сертификат, вы также должны включить строки —–BEGIN CERTIFICATE—– и —–END CERTIFICATE—– в начале и в конце соответственно.

Когда вы добавите все необходимые данные, нажмите на Сохранить изменения. Если сертификат SSL/TLS действителен и вы всё ввели правильно, он теперь будет активен на вашем сайте.

Вы можете проверить правильность выполнения процесса с помощью метода, который мы показали вам ранее. Просто зайдите на ваш сайт в браузере и убедитесь, что он использует https:// и рядом с URL отображается зеленый замок (если это применимо). Если это так, вы успешно добавили SSL/TLS на ваш веб-сайт WordPress!

Есть ли риски при переходе вашего сайта на HTTPS?

Риски переключения вашего сайта с HTTP на HTTPS минимальны, и преимущества значительно перевешивают любые возможные недостатки. Единственным реальным риском является то, что ваш сайт может быть временно недоступен во время процесса. Однако это обычно очень незначительная проблема, которую можно быстро решить.

Тем не менее, есть некоторые моменты, на которые стоит обратить внимание при переходе с HTTP на HTTPS. Лучший способ обеспечить безопасный и плавный переход — заранее спланировать его.

Перед началом процесса миграции важно убедиться, что купленный вами SSL-сертификат работает. Вы можете сделать это, используя инструмент для тестирования SSL Labs:

Вы также захотите создать детальный план миграции и перенаправления. 301 перенаправление должно быть установлено на каждый HTTP URL, указывающий на его HTTPS эквивалент.

Существует также несколько факторов поисковой оптимизации (SEO), которые следует учитывать. Вам следует убедиться, что ваша XML-карта сайта обновлена и содержит только ваши HTTPS-URL. Также важно обновить все ваши внутренние ссылки, а также любые внешние ссылки, ведущие на ваш сайт, над которыми у вас есть контроль.

Мы также рекомендуем воспользоваться помощью разработчика или эксперта по WordPress для помощи в процессе миграции. После завершения миграции убедитесь, что ваша версия HTTPS подключена к вашим учетным записям Google Analytics и Search Console.

Будущее безопасности веб-сайтов

По мере развития интернета возрастает и потребность в безопасности веб-сайтов. Ранее обновления безопасности выпускались по мере необходимости, обычно в ответ на конкретную угрозу или обнаруженную уязвимость.

Однако сегодняшняя ситуация с безопасностью веб-сайтов значительно отличается. С развитием сложных атак и появлением новых угроз каждый день, владельцы веб-сайтов больше не могут позволить себе ждать, пока что-то пойдет не так, чтобы принять меры.

Вместо этого им необходимо активно заниматься безопасностью сайта и постоянно искать новые способы защиты своих онлайн-активов. Это означает необходимость постоянно быть в курсе последних тенденций в области безопасности и следить за новыми обновлениями, которые могут помочь улучшить защиту вашего сайта.

Будущее безопасности веб-сайтов постоянно развивается, и следить за последними тенденциями и технологиями может быть непросто. В ближайшие годы мы ожидаем увидеть ряд значительных обновлений безопасности, которые могут серьезно повлиять на способы защиты веб-сайтов их владельцами. Давайте рассмотрим некоторые новые тенденции, которые, по нашему мнению, сыграют важную роль в будущем безопасности веб-сайтов.

Переключение на HTTPS по умолчанию

Одно из самых значительных изменений в области безопасности сайтов — это переход на HTTPS по умолчанию. Это изменение готовилось на протяжении нескольких лет, но теперь оно наконец начинает становиться реальностью.

Google настаивает на этом изменении с 2014 года и даже начал отдавать предпочтение сайтам на HTTPS в своих результатах поиска. Поэтому все веб-сайты должны перейти на HTTPS, если хотят оставаться на шаг впереди. Это не только поможет в SEO, но и сделает ваш сайт более безопасным для ваших пользователей.

Новые функции безопасности доменных имен

Для защиты от захвата доменных имен Интернет-корпорацией по присвоению имен и номеров (ICANN) был введен новый набор функций безопасности для всех доменов, зарегистрированных после 1 января 2018 года. Эти функции включают блокировку домена, которая предотвращает несанкционированные изменения в записях DNS, и блокировку регистратора, которая предотвращает несанкционированную передачу домена другому регистратору.

В настоящее время эти меры безопасности не являются обязательными. Однако, вероятно, они станут более популярными, поскольку они могут существенно помочь в защите вашего имени домена от несанкционированного захвата.

Ещё одно важное изменение, которое произойдет в 2022 году, — это внедрение Расширений безопасности системы доменных имен (DNSSEC). Этот новый протокол безопасности поможет защитить серверы DNS от эксплуатации и усложнит злоумышленникам подделку записей DNS.

DNSSEC уже используется некоторыми из крупнейших компаний в мире, включая Google, Facebook и Netflix. Это лишь вопрос времени, когда он станет обязательным для всех сайтов.

Более сложные атаки

По мере того, как хакеры становятся более изощренными, можно ожидать увеличения числа сложных атак. Это может включать в себя все, от целенаправленных фишинговых атак до масштабных распределенных атак типа «отказ в обслуживании» (DDoS). Владельцам веб-сайтов необходимо быть готовыми к этим угрозам и иметь план восстановления.

Увеличение регулирования

С введением Общего регламента по защите данных (GDPR) и других регулирований конфиденциальности данных, мы можем ожидать увеличения контроля за тем, как владельцы сайтов собирают и используют личные данные. Это может привести к более строгим требованиям к сайтам, а также к большим штрафам для тех, кто не соблюдает новые регулирования.

Повышенное внимание к рискам безопасности

По мере того как безопасность сайтов становится более актуальной проблемой, можно ожидать, что все больше людей будут предпринимать шаги для защиты своей онлайн-информации. Это может включать в себя всё, от использования надёжных паролей до инвестирования в продукты и услуги по безопасности сайтов. Оставаясь в курсе последних тенденций в области безопасности сайтов, вы можете помочь защитить свой сайт от атак.

Защитите ваш сайт на WordPress

Обеспечение безопасности вашего сайта — постоянная задача, и так же важно, чтобы ваши пользователи знали, что им можно доверять. Добавив на ваш сайт SSL/TLS сертификат и настроив принудительное использование безопасных соединений через HTTPS, вы можете защитить себя и ваших пользователей, убедившись, что ваш сайт безопасен для использования.

К счастью, существует несколько различных типов сертификатов SSL/TLS. Найти сертификат, соответствующий вашим требованиям, не должно быть сложно, когда вы знаете, что вам нужно. Вы даже можете получить его через вашего веб-хоста. Более того, установка сертификата SSL/TLS также проходит легко, благодаря WordPress и DreamHost.

В DreamHost наши тарифы включают в себя различные функции управляемой безопасности. Ознакомьтесь с ними сегодня, чтобы узнать больше о том, как DreamHost может упростить обеспечение безопасности вашего сайта!