Итак, у вас есть сайт*, и вы как разумный человек задаёте себе вопрос: "Зачем мне нужен SSL-сертификат?". Начинает казаться, что это всемирный заговор хитрых масонов, которые только и хотят, что получить с вас 15-300$ в год, продавая воздух. Но не спешите делать такие выводы! В этой статье постараюсь "на пальцах" объяснить зачем нужен сертификат и что с ним делать.
Что такое HTTPS-соединение?
Чтобы понять, что такое защищённое соединение, нужно хотя бы иметь представление о том как работает незащищённое.
Передать какую-либо информацию в интернет можно только по цепочке. Например, чтобы загрузить страницу сайта, ваш компьютер передаёт запрос к роутеру, роутер провайдеру, провайдер дальше в интернет, (ещё несколько узлов), "интернет" передаёт запрос к хостингу сайта, хостинг к конкретной машине, на которой установлен сайт.
И вот любое из звеньев этой цепи может "посмотреть" что же конкретно вы запрашиваете у сайта и что ему передаёте. Очевидное — явки, логины, пароли. Менее очевидное — личные сообщения. Ещё менее очевидное — контент статьи, которую вы сейчас читаете, или специфический товар, который желаете приобрести ;)
Кроме того, можно было бы ещё что-то на сайте поменять, а вы бы и не заметили. Например, подставить скрипт, который майнит биткойны у вас в браузере.
А вот что-то подобное увидит злоумышленник, если сайт использует SSL:
Страшно? А каково ему?
И подменить это тоже нельзя благодаря IT магии.
Вот так выглядит защищённый сайт в разных браузерх.
Первые два — Google Chrome и Firefox. Чувствуете как наполняетесь силой и уверенностью в завтрашнем дне посещая такой сайт? Кроме того, знак зелёного замочка был символом защиты у древних кельтов (но это не точно).
Последние — Microsoft Edge и Internet Explorer. Им плевать на ваши чувства! Но, тем не менее, вы защищены.
А ещё вот так Google Chrome 68 будет помечать HTTPS-сайты:
Считаю, что зря не пошли дальше! Надо было бы так сделать... и красный баннер поверх страницы :)
Кроме того, не забывайте, что согласно правилам AdWords (хм... опять Google... совпадение?), SSL сертификат обязателен для страниц, предназначенных для сбора персональной информации.
Как установить SSL сертификат?
Самый простой способ — обратиться в поддержку хостинг-провайдера и узнать что для этого нужно.
Также есть крутая штука Let's Encrypt (ныне Certbot), который по сути является центром сертификации. Особенность Let's Encrypt в том, что сертификаты выдаюются на 3 месяца (а не на год как обычно), но при этом процесс их выдачи можно полностью автоматизировать и забыть о том, что вы когда-то были без сертификата.
Как настроить LE есть море инструкций в интернете, но я покажу на примере ISPManager 5 Lite как это (может быть) просто!
Трюк сработает, если у вас есть root-права для доступа к серверу.
1. В разделе "Интеграция" - "Модули" нужно включить модуль для Let's Encrypt, если он не включён. Настраивать его нет необходимости.
2. Входите от имени пользователя - владельца сайта, переходите в раздел WWW -> SSL-сертификаты
3. Нажимаете OK и ждёте некоторое время.
Сертификат готов и настроен бесплатно без регистраций и СМС! При желании можно включить редирект на HTTPS-версию в настройках WWW-домена.
На этом всё! Надеюсь, мне удалось пролить свет на столь популярный сейчас вопрос. Подписывайтесь, ставьте лайки :) Вопросы пишите в комментариях.
* Если сайта нет, можем сделать ;)
