Обязательно для внедрения. Уже не ставится вопрос нужен ли интернет-магазину SSL сертификат. Нужен обязательно. Он влияет на позицию сайта в поисковой выдаче Яндекса и Google. И он обеспечивает безопасность. Давайте разберемся, какой сертификат подойдет именно для вашего интернет-магазина.
SSL (Secure Socket Layer) — криптографический протокол, который представляет собой «безопасный канал» связи за счет аутентификации и шифрования. Протокол позволяет безопасно устанавливать соединения между пользовательским браузером и сайтом.
Благодаря технологии SSL данные между интернет-магазином и пользователем передаются в зашифрованном виде по HTTPS.
SSL сертификаты выдаются специальными организациями — удостоверяющими центрами сертификации (CA). При выдаче сертификата, в зависимости от его вида, CA проверяет соответствие доменного имени и саму организацию. Как правило, выдаются сроком на 1 год, но бесплатные версии, например, от Let’s Encrypt только на 90 дней.
Установка SSL сертификата для онлайн магазина преследует 3 цели:
- организовать безопасную передачу данных между сайтом и пользователем, что позволяет избежать мошенничества;
- повышение рейтинга в поисковой выдаче Google и Яндекс;
- повышение доверия пользователей к интернет-магазину.
Типы SSL сертификатов по типу валидации
Самоподписанные (self-signed certificate)
Этот тип бесплатных сертификатов вы создаете себе сами. Технически он ничем не отличается от других типов и проводит шифрование данных. Роль удостоверяющего центра (CA) берет на себя создатель сертификата, т.е. вы сами.
Браузеры не доверяют самоподписанному сертификату и выдают предупреждение “Сертификат безопасности сайта не является доверенным” или какое-либо другое сообщение в этом роде.
Самоподписанные версии могут применяться, например, при разработке и отладке интернет-магазина на тестовых доменах.
С проверкой доменного имени DV (Domain Validation)
SSL сертификат с проверкой доменного имени — самый базовый уровень из проверяемых CA. Выпускаются удостоверяющими центрами в автоматическом режиме, в большинстве случаев, в течение нескольких минут. Удостоверяющий центр только убеждается, что вы владелец проверяемого домена. Существует несколько способов подтверждения владения доменом:
- с кликом по ссылке в письме, которое приходит на электронный адрес, находящийся в том же домене, для которого вы приобретаете SSL сертификат. Адрес должен начинаться с: admin@, administrator@, hostmaster@, postmaster@, webmaster@ или должен быть указан в whois домена;
- добавления специального поля в запись DNS;
- разместить файл проверки в корне сайта.
Сертификаты этого типа выдаются частным лицам и организациям без предоставления каких-либо документов. Никакая информация о владельце в сертификате не отображается.
Для интернет-магазина версии DV достаточно для полноценной работы.
С проверкой организации OV (Organization Validation)
OV имеют право получать только юридические лица, информация о которых указывается в самом SSL сертификате. Подходят для ведения электронной коммерции. Удостоверяющий центр проверяет от 3 до 10 дней официальную государственную регистрацию организации и принадлежащего ей домена. В процессе валидации потребуется предоставить юридические документы компании и пройти проверку домена, по алгоритму с получением DV сертификата, а также CA проверит наличие компании в справочниках организаций, на сайте регистрирующего органа (налоговой инспекции), наличие названия компании в whois домена, сделают проверочный звонок в офис.
С расширенной проверкой организации EV (Extended Validation)
Максимальную степень защиты предоставляют сертификаты с расширенной проверкой EV. В браузерах они имеют “green bar” — зеленую полоску с названием компании, что вызывает наибольшее доверие у пользователей, особенно при онлайн транзакциях.
Более высокий уровень защиты обеспечивается за счет подтверждения существования компании в центре сертификации. При выпуске сертификата с расширенной проверкой удостоверяющий центр проверит реальность существования организации, запросит официальные документы, убедится в наличие прав на домен. Выпуск осуществляется в течение 10-14 дней.
Типы SSL сертификатов по свойствам
Wildcard
Производит шифрование всех поддоменов домена второго уровня. Как правило, используются крупными интернет-магазинами, которые имеют свои филиалы в разных городах, а также выносят бренды на отдельные поддомены. Бесплатно сертификаты Wildcard можно получит у Let’s Encrypt.
SAN
SAN (Subject Alternative Names) применяются для шифрования группы разных доменов, размещенных на одном сервере. Обычно один SAN сертификат распространяется на 5 доменов. Удобен когда у вас на одном сервере расположены несколько проектов и вы хотите купить один мультидоменный сертификат для всех.
С поддержкой IDN (Internationalized Domain Names)
SSL-сертификаты с поддержкой национальных доменных имен (нелатинские домены), например, кириллицы, арабского алфавита и др.
Советы по выбору и получению SSL сертификата для интернет-магазинов
Если вы только разрабатываете интернет-магазин на технических или тестовых доменах, то достаточно выпустить самоподписанный сертификат или воспользоваться бесплатным, например, от Let’s Encrypt.
В ситуации когда у вас небольшой местный интернет-магазин и вы самозанятый или индивидуальный предприниматель, подойдут DV сертификаты. Если возникает потребность в валидации компании, то останавливайтесь на OV версии.
У вас большой бизнес и важно максимально создавать доверие у пользователей, то смело выбирайте EV SSL сертификаты.
Будьте внимательны, учитывайте особенности вашего интернет-магазина:
- если у вас кириллический домен, то должны быть поддержка IDN.
- в зависимости от структуры интернет-магазина, может понадобиться версия Wildcard или SAN. Wildcard для всех поддоменов, SAN — разных доменов на одном сервере.
Чтобы выгодно получить сертификат, проведите анализ ценовых предложений основных удостоверяющих центров: GlobalSign, Comodo, GeoTrust, Thawte, DigiCert и др. И приобретите подходящую для вас версию. В целом, у какой конкретно компании покупать сертификат не имеет значения. Главный довод в пользу покупки сертификата у центра сертификации – гарантия денежной компенсации. Если пользователь получил убытки на фишинговом сайте в результате ошибочного предоставления сертификата удостоверяющим центром, то он возместит ему убытки. Размер компенсации зависит от типа сертификата и колеблется в пределах от 10 000 до 1 500 000 долларов.
При необходимости вы всегда можете поменять один SSL сертификат на другой.