HTTPS – це розширення протоколу HTTP із підтримкою шифрування. Шифрування забезпечує підключений сертифікат SSL.
Навіщо переводити сайт на HTTPS?
- Для захисту від перехоплення особистих даних та платіжної інформації відвідувачів Вашого сайту.
- Google вважає сайти, які використовують протокол HTTPS, більш надійними і дає їм перевагу в пошуковій видачі. Оскільки поки що на HTTPS перекладено не так багато сайтів, зараз хороша можливість отримати перевагу перед конкурентами підключивши SSL-сертифікат, і навіть якщо роки через 3 основна маса конкурентів перейде на HTTPS, у Вас залишиться перевага у вигляді довіри до сайту з більш тривалою історією захищеного з'єднання.
- Багато браузерів на сайтах без HTTPS додають до полів форм авторизації, реєстрації та оплати інформацію приблизно наступного характеру: «Це з'єднання не захищене. Логіни та паролі, введені тут, можуть бути скомпроментовані. Подібне повідомлення може злякати відвідувачів сайту.
Скільки коштує переведення сайту на HTTPS?
Вартість робіт з переведення сайту на зашифрований протокол HTTPS (SSL) залежить від сервера (хостингу), а вірніше – від його налаштувань, панелі управління та компетенції техпідтримки, і, в окремих випадках – від двигуна сайту. У середньому вартість переведення сайту на HTTPS становить 75-150 USD.
Окрім цього, оплачується придбання SSL-сертифікату. Вартість сертифіката залежить від його типу та від центру сертифікації, який видає сертифікат (точніше, від рівня довіри до такого центру сертифікації). Ціна коливається дуже сильно. Діапазон, який ми зустрічали від безкоштовного до 4500 USD на рік. Більшості клієнтів ми рекомендуємо придбати SSL-сертифікат за 20 USD на 3 роки.
У чому різниця між сертифікатами SSL?
Сертифікати поділяються за двома характеристиками: кількість доменів та тип перевірки власника.
Щодо кількості доменів, сертифікат може видаватися на один домен, на домен та його субдомени та на кілька доменів.
За способом перевірки власника сертифікати бувають такі:
SSL із перевіркою домену. У цьому випадку, при реєстрації сертифікату, Вам потрібно буде підтвердити лише права на домен.
SSL із перевіркою компанії. У цьому випадку під час реєстрації буде потрібно підтвердження належності сайту реєструючої компанії, а також інформація про компанію.
SSL з розширеною перевіркою. У цьому випадку, при реєстрації Вас можливо змусять пошкодувати про те, що Ви вирішили піти складним шляхом))) Зате після мук із підтвердженнями, при відкритті вашого сайту адресний рядок браузера буде виділено зеленим кольором і в ній буде вказано назву Вашої компанії.
Безкоштовні SSL сертифікати. Видаються в рамках проведення кампанії популяризації SSL центром сертифікації Let's Encrypt. Кожен може виписати собі самостійно без спеціальних технічних навичок, на сайті SSL For Free. Особливість: ці сертифікати видаються лише на 90 днів та їх потрібно продовжувати вручну після завершення. Безкоштовні сертифікати від Let's Encrypt є сертифікатами типу «з перевіркою домену», але від платного вони відрізняються повною відсутністю інформації про сайт, що реєструється.
Самопідписний SSL сертифікат (безкоштовний). Технічно такий сертифікат нічим не відрізняється від сертифікату, виданого довіреним центром сертифікації (ЦС). Тільки в цьому випадку, автор сертифіката сам грає роль ЦС. Це призводить до того, що сертифікат неможливо відкликати. Це створює вразливість. Зловмисник може перехопити сертифікат під час передачі та замінити його своїм підробленим, за допомогою якого дані можна буде розшифрувати. Скомпрометований таким чином сертифікат неможливо виправити.
Зайти на сайт із самопідписним сертифікатом може бути проблематично. Фаєрволи, антивіруси та браузери дружно відмовлятимуть Вас, мотивуючи це тим, що сайт використовує ненадійне шифрування. До того ж, в адресному рядку сайту з таким сертифікатом ви побачите перекреслений https.
Підбиваючи підсумки. скажу, що спосіб шифрування даних не відрізняється у всіх типах сертифікату, а всі різновиди існують для того, щоб дати можливість сайту переконати користувача в надійності компанії та в тому, що вона подбає про збереження ваших особистих даних.