Даже если в проекте совсем нет денег на безопасность, перевести его на протокол https все-таки стоит. Это позволяет обезопасить посетителей сайта от мошенничества и дать им чувство защищенности: многие современные браузеры помечают веб-страницы на протоколе http как незащищенные.
Для перевода сайта на https нужен SSL-сертификат. Как правило, их приобретают за определенную сумму в год. Если же денег совсем нет, сертификат с некоторыми ограничениями можно получить бесплатно.
Как это работает
Для начала разберемся, что такое SSL-сертификат. Когда сайт переводят на протокол https, каждый его посетитель вступает не в открытый, как обычно в сети, а в зашифрованный обмен данными. Сертификат играет ключевую роль в установке такого соединения. Он содержит открытый и закрытый ключи шифрования, которые используются при обмене информацией, а также своеобразный цифровой паспорт сайта.
Сертификат можно выпустить и самостоятельно, но это имеет смысл только для проектов с ограниченным кругом участников, где все доверяют всем. В интернете кто-то должен ручаться за этот сертификат, желательно и репутацией компании, и деньгами. Поэтому выпуском сертификатов занимаются специальные центры. Сертификационные центры – это крупные компании, которые выдают сертификаты со страховым покрытием от десяти тысяч до полутора миллионов долларов. При выпуске SSL выполняется проверка, в зависимости от которой выделяются основные виды SSL сертификатов:
- проверка домена (Domain validation). Она делается автоматически, нужно только выполнить ряд простых инструкций, чтобы подтвердить владение доменом;
- проверка организации или расширенная проверка (Organisation Validation/Extended validation). Это – проверка, которая длится 10-14 рабочих дней, и подтверждает, что доменом владеет конкретная компания. Такие сертификаты стоят дороже, но и выглядят респектабельнее. В частности, вместе с ними предоставляют печать доверия, которую можно установить на сайте.
Еще недавно не было другого способа, кроме как получить ssl-сертификат за деньги. Но теперь есть надежный вариант для проектов, в которых совсем нет бюджета.
Что такое Let’s encrypt
Let’s encrypt – это некоммерческий сертификационный центр, перед которым стоит задача сделать безопасными как можно больше сайтов в интернете.
Как мы уже видим, проверку владения доменом вполне можно автоматизировать, и именно это сделали создатели центра. Получить бесплатный SSL-сертификат let's encrypt можно, выполнив несколько простых команд, а то и в один клик на админпанели.
Это будет исключительно сертификат с валидацией домена, расширенная проверка не проводится. Один сертификат защищает один домен. Некоторое время назад появились Let’s encrypt с поддержкой Wildcard, которая дает возможность защитить домен и все его поддомены.
У сертификатов Let’s encrypt есть и другие ограничения:
- они выдаются только на 90 дней, затем нужно продлевать;
- нет страхового покрытия;
- нет техподдержки, в которую можно обратиться.
Пользователь получает только сертификат – без печатей доверия, имиджевых бонусов в виде репутации крупного сервисного центра. Этот сертификат вполне надежен, он позволяет шифровать все взаимодействия с сайтом и обезопасить посетителей от фишинга.
Установить сертификат довольно просто. Его получают тремя путями:
- с помощью командной строки, этот путь выбирают наиболее опытные;
- через cPanel, где есть соответствующая вкладка в разделе “безопасность”;
- у хостера. Провайдеры хостинга, ставшие партнерами проекта Let’s encrypt, добавляют автоматическую настройку.
После этого сайт нужно перевести на протокол https в обычном порядке.
Кому подходит Let’s encrypt
Это, безусловно, не для крупного бизнеса. Так же, как бесплатный хостинг, например. Let’s encrypt не только не создает у клиентов нужного впечатления, но и не покрывает ущерба, поэтому там, где риски значительны, рассчитывать на него не стоит.
А вот для небольших и особенно некоммерческих проектов это совсем не проблема. Все идет к тому, что переводить на https придется все сайты. Бесплатный сертификат очень пригодится:
- проектам-хобби. Если вы ведете небольшой кулинарный блог или сайт с любительской музыкой, тратить деньги на сертификат может быть очень некстати;
- стартапам, которые только начинают работу;
- некоммерческим площадкам, в том числе посвященным благотворительности.
Все сайты, владельцы которых не располагают большим бюджетом, но и не собирают с пользователей ценных данных, например, номеров кредитных карт, вполне могут использовать Let’s encrypt.