Статья

Рекомендую

Что такое SSL и зачем он нужен вашему сайту

Что такое SSL и зачем он нужен вашему сайту

Знаете, был у меня в жизни момент, который я запомнил навсегда. Сижу я как-то вечером, проверяю статистику одного своего старого сайта — небольшого блога, который я вел лет пять назад. И вижу дикую картину: посещаемость упала процентов на 70%, а отказы выросли до небес.

Я полез разбираться. Думал, алгоритмы поисковиков поменялись, думал, конкуренты засыпали. А оказалось, всё банальнее. У закончился сертификат SSL, и браузеры начали пугать людей страшными красными экранами: «Сайт небезопасен! Уходите!».

Люди ушли. Я потерял трафик, деньги и пару седых волос.

С тех пор я отношусь к SSL серьезно. И сегодня расскажу вам всё, что знаю об этом «зеленом замочке» — простыми словами и с историями из жизни.

Что вообще такое этот ваш SSL?

Давайте сразу договоримся: я не буду грузить вас техническими дебрями. Если коротко и по-человечески:

SSL — это цифровая печать на двери вашего сайта.

Представьте, что ваш сайт — это квартира. Обычное соединение без SSL — это дверь из картона. Любой проходящий мимо (хакер, провайдер, сосед по вайфаю) может заглянуть внутрь, посмотреть, что вы там делаете, какие данные передаете, может даже подслушать разговоры.

SSL-сертификат превращает картонную дверь в бронированную, да еще с кодовым замком. Все данные, которые передаются между сайтом и посетителем, шифруются. Даже если их перехватят, увидят просто бессмысленный набор символов.

А зеленый замочек в адресной строке — это просто значок, который говорит посетителю: «Не бойся, тут всё чисто, заходи».

Часть 2. Как я впервые столкнулся с SSL (и почему это было больно)

Был у меня клиент лет шесть назад. Хороший мужик, свой бизнес — продажа запчастей. Сделал я ему сайт, запустили рекламу, всё летает. И тут звонок: «Слушай, у меня менеджеры жалуются, что клиенты звонят и говорят — не можем оформить заказ, браузер ругается».

Я захожу на сайт и вижу: Chrome выдает огромный красный экран с надписью «Соединение не защищено». Чтобы перейти на сайт, надо нажать на ссылку «Принять риск и продолжить». Кто из обычных людей, простите, будет нажимать на «Принять риск»? Ну от силы 5% самых отчаянных.

Оказалось, у клиента закончился SSL-сертификат, который я ставил год назад, а он просто забыл его продлить. Я ему объясняю: «Срочно продлеваем, это вопрос выживания». А он мне: «Да зачем? У меня же просто сайт-визитка, ничего серьезного, никто меня взламывать не будет».

Пришлось объяснять, что дело не во взломе. Дело в доверии.

Зачем SSL нужен именно вашему сайту

Я часто слышу: «У меня просто блог, я ничего не продаю, зачем мне эта морока?» Или: «У меня маленький сайт-визитка, мне нечего скрывать».

Давайте разберем по пунктам, почему SSL нужен любому сайту. Даже если у вас просто страничка с котиками.

1. Доверие посетителей

Поставьте себя на место обычного человека. Вы заходите на сайт, а браузер вам говорит: «Осторожно, здесь опасно». Какая у вас реакция? Правильно — закрыть вкладку и больше сюда не возвращаться.

Я сам так делаю. Даже если очень нужно что-то найти, я лучше поищу другой сайт, чем буду тыкать в «Принять риск». Потому что в голове сразу картинка: либо украдут данные, либо вирус поймаю.

И таких людей, как я, — большинство. Исследования говорят, что 85% пользователей не совершают покупки на сайтах без SSL. А если у вас нет продаж, а просто информация — они просто уходят и не читают.

2. SEO и позиции в поиске

Это для многих неочевидно, но Google уже давно (с 2014 года!) использует наличие SSL как фактор ранжирования . То есть сайты с защищенным соединением получают преимущество в выдаче перед теми, у кого его нет.

И это логично. Google хочет отправлять людей на безопасные ресурсы. Зачем им показывать сайты, которые пугают пользователей красными экранами?

Когда у того клиента с запчастями протух сертификат, его сайт просто выпал из топа. Потому что Google сказал: «Раз у вас дырявая дверь, я не буду рекомендовать вас людям».

3. Защита данных (даже если вы ничего не продаете)

Вы думаете, что если у вас нет форм оплаты, то и защищать нечего? А как насчет формы обратной связи? А как насчет комментариев? А как насчет просто фактов, что конкретный человек заходил на ваш сайт в такое-то время?

Без SSL любой, кто подключен к той же Wi-Fi сети (в кафе, в аэропорту, в офисе), может перехватывать трафик. Это называется Man-in-the-Middle. То есть ваш сосед по коворкингу теоретически может видеть, какие страницы вы читаете, что пишете в комментариях.

И да, я знаю, звучит параноидально. Но ровно до тех пор, пока это не случается на самом деле.

4. Законодательство

Тут важно знать: во многих странах есть законы о защите персональных данных. В России это 152-ФЗ. Если вы собираете любые данные пользователей (имя, email, телефон) через формы на сайте, вы обязаны их защищать. Отсутствие SSL — это грубое нарушение.

Штрафы, конечно, не космические, но сам факт. А если дело дойдет до утечки данных — тогда уже веселее.

Как я однажды сэкономил на SSL и что из этого вышло

Был у меня период, когда я думал: «А зачем платить за сертификаты, если есть бесплатные?». Ну, знаете, Let’s Encrypt — бесплатный SSL, автоматически продлевается, красота.

И я ставил их на все свои проекты. Работало отлично. Пока однажды не случилась история.

Сайт одного моего знакомого бизнесмена (я ему помогал по дружбе) лежал на хостинге, который не умел нормально автоматически продлевать Let’s Encrypt. Раз в три месяца надо было заходить и жать кнопку. Ну, я забыл. И сертификат протух ровно в момент, когда у него была рекламная кампания с бюджетом 200 тысяч рублей.

День просто вылетел в трубу. Люди заходили, видели страшное предупреждение и уходили.

С тех пор я для коммерческих проектов ставлю платные сертификаты. Хотя бы потому, что:

  • Служба поддержки — если что-то пойдет не так, есть кому позвонить.

  • Гарантии — платные сертификаты дают определенный уровень подтверждения, что сайт действительно принадлежит этой компании.

  • Срок — чаще всего на год, реже на два. Не надо дергаться каждые 3 месяца.

А для блогов и мелких проектов Let’s Encrypt за глаза хватает. Главное — чтобы автоматическое продление работало.

Какие бывают SSL (коротко и по делу)

Чтобы вы не запутались в этих ваших интернетах, вот простая классификация:

1. DV (Domain Validation) — самый простой
Проверяется только то, что вы владеете доменом. Вам просто присылают письмо или просят положить файл на сайт. Через 15 минут сертификат готов. Сюда входят и бесплатные Let’s Encrypt, и дешевые платные. Подходит для блогов, визиток, мелких проектов.

2. OV (Organization Validation) — серьезнее
Тут уже проверяют вашу компанию: сверяют документы, звонят, смотрят, существуете ли вы вообще. В адресной строке можно увидеть не только замочек, но и название организации. Дороже и дольше. Для бизнеса, интернет-магазинов — самое то.

3. EV (Extended Validation) — высший пилотаж
Раньше адресная строка становилась зеленой, и там писалось название компании. Сейчас браузеры упростили отображение, но уровень проверки остался максимальным. Для банков, крупных корпораций, серьезных финансовых сервисов.

Для 95% проектов достаточно DV. Не переплачивайте.

Как SSL спас мой сайт (реальная история)

Пару лет назад я зашел на свой сайт с телефона, подключившись к открытому Wi-Fi в аэропорту. Просто проверить почту. И увидел, что мой антивирус (стоял на телефоне) выдал предупреждение: «Попытка перехвата трафика заблокирована».

Кто-то в этом же аэропорту пытался ловить данные тех, кто сидит в открытой сети. И если бы у меня не было HTTPS (то есть SSL), этот кто-то увидел бы все, что я делаю: какие страницы открываю, какие логины ввожу.

А так — шифрование сработало. Данные ушли в виде каши.

Вот тогда я окончательно понял: SSL защищает не только от абстрактных хакеров, а от вполне реальных людей в соседнем кресле.

Что будет, если SSL протухнет

Давайте просто перечислю по пунктам, потому что это важно знать:

  1. Красный экран в браузере — самый страшный сон владельца сайта.

  2. Падение позиций в поиске — Google помечает сайт как небезопасный.

  3. Отказ пользователей — никто не хочет рисковать.

  4. Проблемы с оплатой — если у вас интернет-магазин, платежные системы просто не пропустят транзакцию.

  5. Утечка данных — если сайт без SSL, любой может перехватывать трафик.

У меня был случай, когда клиент забыл продлить сертификат, и его сайт не работал три дня, пока я не приехал и не разобрался. Три дня простоя для интернет-магазина — это сотни тысяч потерь.

Как проверить, всё ли в порядке с SSL на вашем сайте

Есть простой способ. Зайдите на свой сайт и посмотрите в адресную строку.

  • Висит зеленый замочек — всё ок, можно спать спокойно.

  • Серый замочек — тоже ок, просто браузер так показывает.

  • Нет замочка — беда, срочно ставить.

  • Красный замочек или перечеркнутый — совсем беда, сертификат либо протух, либо настроен криво.

Еще можно зайти на специальные сайты-проверялки (например, SSL Labs), вбить свой адрес — они покажут подробный отчет: всё ли в порядке, какой уровень шифрования, не протух ли.

Мои личные правила по SSL (делюсь опытом)

За годы практики я выработал для себя простые правила. Может, вам пригодятся:

Правило 1. Ставлю SSL сразу, как только покупаю домен. Даже если сайта еще нет. Потому что потом забуду.

Правило 2. Для проектов, где есть деньги, беру платный. Пусть это даже самый дешевый платный, но с техподдержкой.

Правило 3. Напоминание в календаре за месяц до окончания. Сертификаты живут максимум год-два, надо продлевать.

Правило 4. После установки проверяю, чтобы все ссылки на сайте были с https, а не с http. Иначе браузер будет ругаться на «смешанный контент».

Правило 5. Раз в полгода захожу на SSL Labs и проверяю, всё ли в порядке. Профилактика никогда не помешает.

Коротко о главном (для тех, кто дочитал до конца)

Если у вас есть сайт, SSL ему нужен. Точка.

Не важно, продаете вы что-то или просто пишете заметки про рыбалку. Не важно, маленький у вас сайт или огромный портал. Не важно, стоит он на популярном хостинге или на домашнем сервере.

Зеленый замочек в адресной строке — это не просто техническая деталь. Это знак уважения к своим посетителям. Это способ сказать: «Я забочусь о вас, ваши данные в безопасности, мне можно доверять».

А доверие в интернете — это та валюта, которая дороже любых денег. Без него вы просто еще один сайт в миллионе других. С ним — вы человек, которому не страшно открыть кошелек.

Так что проверьте прямо сейчас: висит ли замочек на вашем сайте? Если нет — бегом исправлять. Это пять минут времени и, возможно, лучшая инвестиция в ваш бизнес за этот год.

Поверьте моему опыту с протухшим сертификатом и потерянными деньгами. Лучше предупредить, чем потом собирать людей с красных экранов.