Защита данных с помощью HTTPS

Для начала разберёмся что такое HTTPS.

HTTPS — это не что иное как обычный протокол HTTP но с добавлением шифрования. То есть прежде чем передавать какие либо данные клиент и сервер договариваются о том как они будут шифровать данные, а клиент в добавок проверяет действительно это тот сервер за который он себя выдаёт.

Как это работает?

В следующей таблице показано каким путём пользователь получает данные.

Пользователь

 

Браузер

 

Сервер

 

Центер сертификации (CA)

Открытие ссылки

Запрос соединения

Получение запроса

 

 

 

 

Ключ получен

Соединение нужно защитить, передаю ключ для расшифровки соединений

 

 

 

 

Кому принадлежит этот ключ?

Поиск данных

 

 

Сравнение владельца и адреса сервера

Владелец найден

 

 

Запрос страницы

Формирование ответа

 

 

 

 

Расшифровка данных ранее полученным ключом

Шифрование данных

 

 

Просмотр страницы

Отображение результата

 

 

 

 

Теперь для примера рассмотрим не защищённое соединение.

Пользователь

 

Браузер

 

Сервер

Открытие ссылки

Запрос соединения

Установление соединения

 

 

Соединение установлено

 

 

Запрос страницы

Формирование ответа

Просмотр страницы

Отображение результата

Передача данных

Как видите, не защищённое соединение содержит гораздо меньше шагов и как следствие работает гораздо быстрее, а так же создаёт меньшую нагрузку на сервер при том же количестве посетителей.

Но защищённое соединение имеет множество преимуществ. Если вы имеете интернет-магазин, то Ваши клиенты будут уверены что при оформление заказа его личные и платёжные данные не будут перехвачены третьими лицами.

Создавая сертификат Вы можете разместить в нём информацию о Вашей компании, а Ваши клиенты будут уверены что они работают именно с Вами.

Как можно получить сертификат?

Получить сертификат можно двумя путями:

  1. Создать самому — это самоподписанный сертификат. Браузер не сможет проверить действительно он принадлежит Вам или нет. Его преимущество только в шифрование соединения. Но к нему не будет доверия клиента, браузеры по умолчанию не будут работать с такими сайтами. Этот способ подходит для внутренних сервисов компании, когда можно пренебречь удобством в пользу быстроты и стоимостью решения.

    Самоподписанный сертификат в браузере Google Chrome

  2. Получить сертификат в центре сертификации — этот способ необходим для общедоступных сайтов, т. к. он подтверждает владельца сертификата или хотя бы сервер на котором используется сертификат.

Можно ли получить бесплатно подписанный сертификат?

Да, например StartSSL и WoSign. Но данные сертификаты подтверждают только владение доменом. А так же скорость ответа центра сертификации бывает очень низкой, из за этого ожидание открытия первой страницы Вашего сайта новым пользователем может значительно затянуться. И это может сложить о Вас плохую репутацию.

Подобные платные сертификаты стоят не так уж и дорого если сравнивать с другими расходами на ведение бизнеса REG.RU.

Какие бывают подписанные сертификаты?

  • Для физических лиц — не все сертификаты могут быть выданы физическим лицам, некоторые сертификаты предназначены только для компаний.

  • Wildcard — можно использовать множество поддоменов. Например Ваш сайт разбит на множество сервисов: www.mycompany.ru — основной сайт, shop.mycompany.ru — интернет-магазин, cabinet.mycompany.ru — кабинет для постоянных клиентов, portal.mycompany.ru — внутренний портал компании. Сертификаты данного типа как правило дороже чем сертификат для одного домена и перед его покупкой следует внимательно посчитать, может дешевле купить несколько обычных сертификатов. Так же обычные сертификаты как правило будут поддерживать два домена mycompany.ru и www.mycompany.ru.

  • IDN - Internationalized Domain Names — интернационализованные доменные имена) — это доменные имена, которые содержат символы национальных алфавитов, например, президент.рф.

  • EV, расширенная проверка — расширенная проверка владельца, так называемые «зелёные сертификаты». Пользователь может проверить какой компании принадлежит сертификат.

    EV сертификат на сайте Сбербанк Онлайн в браузере Google Chrome

    Для получения такого типа сертификатов Вам потребуется предоставить множество документов подтверждающих владение компанией и доменом. Но к этому типу сертификатов в интернете самое высокое доверие!

  • SGC, Server-Gated Cryptography — Увеличение защиты за счёт увеличения длинны ключа.

Как быстро выпускаются сертификаты?

Самоподписанный сертификат до нескольких часов в зависимости от опыта администратора.

Подписанные сертификаты без расширенныйх проверок, с проверкой владения только домена, от одно до трёх дней. С расширенной проверкой, до двух недель.

Есть ли минусы при переходе на защищённые соединения?

Да.

  1. Обманчивая защищённость. Вы считаете что Ваши клиенты защищены, но это не так. При получение или установке сертификаты Вы доверились «не тому» администратору и он использует Ваши ключи для перехвата сообщений. Или сервер который Вы использовали был взломан. И самый частый случай — при получение сертификата он был скомпрометирован при передаче через не защищённые каналы.

    Данная проблема решается исправлением выявленных проблем и перевыпуском сертификата.

  2. Увеличение нагрузки на сервер. Серверу потребуются дополнительные ресурсы на шифрование и дешифрование трафика. Администратор может отключить лишние настройки или оптимизировать код сайта, но как правило дешевле купить или арендовать дополнительные ресурсы для сервера.

  3. Расходы на администрирование сервера. Для подключения сертификата может понадобится помощь специалиста. Особенное если Вы хотите получить действительно защищённое соединение. Проверить свой сервер Вы можете тут https://www.ssllabs.com/ssltest/ .

А есть ли дополнительные плюсы?

Да.

  1. Ускорение загрузки. Можно создавать защищённые соединения которые будут удерживать соединения. После получения основной страницы в том же соединение будут получены стили и изображения с этой страницы.

  2. Увеличение позиций в поиске. Google отдаёт предпочтение сайтам с HTTPS.

Пока нет коментариев. Будьте первым!

Наши услуги

Профессиональная разработка web-сайтов и приложений на основе web-технологий, информационных систем любой сложности. Не только разработка, но и поддержка и сопровождение проектов...

далее..
Наши работы

Профессионалный дизайн сайта, интуитивная система управления сайтом, доработка модулей сайтов различной сложности.. Взгляните сами

далее..
Полезные статьи

Делимся опытом! Читайте статьи о том как преуспеть в интернет-бизнесе без потерь

далее..
О команде

Мы - молодые специалисты, но опыт работы уже более 7 лет в области web - технологий позволяет нам создавать и развивать современные информационные ресурсы в сети.

далее..