Блог4 мин. чтения31 просмотр

Есть ли жизнь без SSL-сертификата? Как обезопасить свой сайт в 2022 году

Многие российские сайты остались без SSL-сертификатов. Это значит, что незашифрованные данные пользователей легко могут попасть в открытый доступ. Предлагаем несколько вариантов решения этой проблемы

Есть ли жизнь без SSL-сертификата? Как обезопасить свой сайт в 2022 году

3 марта произошло весьма значимое, хоть и со знаком минус, событие для российского интернета. Comodo, крупнейший сервис-поставщик SSL-сертификатов, прекратил их продажу для сайтов, находящихся в доменной зоне .ru. Думаете, вас это не касается? Ошибаетесь!

Совершение покупок в интернете предполагает передачу продавцу персональных данных, в частности платежных. Разумеется, вы заключаете при этом соглашение о недопустимости их использования сайтом, кроме как для заключения сделки. Но что делать, если на них покусится кто-то еще?

Защитить ваши данные сайт может единственным способом — использовать для их передачи вместо незащищенного протокола HTTP протокол HTTPS. Он подтверждает подлинность ресурса и шифрует всю передаваемую информацию.

Чтобы подтвердить наличие на сайте этого протокола, браузер при обращении к серверу проверяет наличие ключа безопасности, который и называют SSL-сертификатом. Вы точно сталкивались с ним, если хотя бы раз совершали покупки в интернете. Сертификат обычно — удовольствие платное. Получить его можно только у специализированных провайдеров, коих в принципе немного, причем российских среди них — ни одного.  

Чем грозит отзыв SSL-сертификатов?

Незащищенностью данных на всех сайтах, которые имеют либо привязанную банковскую оплату, либо личный кабинет пользователя с регистрацией. Незашифрованные данные вполне могут похитить злоумышленники и слить в Сеть либо использовать в корыстных целях — от шантажа до прямой кражи денежных средств со счетов.

Ситуация может сильно подорвать доверие к интернет-сектору у рядовых пользователей. В основном под удар попали банки и банковские сервисы. Но и у интернет-магазинов наступают непростые времена.

Что делать российскому бизнесу?

В первую очередь, понять, что оснований для паники нет. Проблема решаемая и относится, скорее, к категории неприятностей.

Начнем с того, что рынок покинул не только Comodo, но и другие SSL-провайдеры меньшего калибра, например DigiCert и Sectigo. Катастрофа ли это? Нет, потому что остались провайдеры с европейской и азиатской пропиской, которые не делают в своей политике акцента на ограничения для Рунета. Их сертификаты по-прежнему работают. Но стоить они стали дороже, что легко объяснить уходом крупных монополистов с рынка. Есть трудности и с региональными реселлерами, которые точно появятся при нынешнем векторе развития ситуации, однако на это уйдет время.

Существуют три принципиально разных варианта, решающих эту проблему.

  • Платные сертификаты без гарантий. Как ни крути, самые удобные для пользования и вызывающие наибольшее доверие сервисы — американские. Далеко не все из них объявили об уходе на настоящий момент. Можно пойти на риск и все же купить SSL за океаном. Но опыт последних полутора месяцев говорит о том, что любая карета зарубежного производства в одночасье может превратиться в тыкву, и вы снова окажетесь один на один с той же проблемой. Гарантий вам никто не даст. 
  • Собственные сертификаты. Никто не мешает вам сделать свой сертификат, но загвоздка в том, что большинство российских пользователей плотно «сидят» на зарубежных браузерах, а они попросту не будут распознавать ваш сертификат. 
  • Бесплатные сертификаты. Масса компаний, например Let’s Encrypt, предоставляют SSL-сертификаты бесплатно. Однако могут возникнуть сложности с их продлением. Какие-то хостеры их продлевают сами, где-то придется делать это вручную. Вы можете просто пропустить этот момент. Отсутствует техподдержка. Если выбрать не того поставщика, есть вероятность, что сертификат не сработает. НО! Даже с учетом всех «если» на данный момент именно этот вариант видится оптимальной временной мерой.

Основной путь, выбранный Рунетом в этом случае, — импортозамещение. Уже пошли разговоры о создании отечественного сертификационного центра, который будет выдавать сертификаты, основанные на российских методах шифрования данных.

Это не решит проблему глобально. Для владельцев западных браузеров заблокировать российские SSL-сертификаты еще проще, чем отозвать ранее проданные свои же. Но в контексте внутреннего рынка такой вариант приемлем.

Наши сертификаты уже реализованы в российских браузерах «Спутник» и «Яндекс». Так что при совершении финансовых операций в российском сегменте интернета все возможности для защиты конфиденциальной информации есть.

Кроме того, существует вероятность отката ситуации на прежние позиции. Западные компании, игнорируя российский рынок, теряют колоссальные деньги. Бизнес в ущерб себе работать не умеет. Так что самое правильное сейчас — выбрать простое временное решение и занять выжидательную позицию, не делать резких движений.

Подпишитесь на полезные материалы по интернет-маркетингу
Нажимая на кнопку, вы даете согласие на обработку ваших персональных данных согласно политике конфиденциальности
Комментарии