¿Necesito un certificado SSL y cómo obtenerlo?

El artículo fue preparado por Victoria Fedoseenko, editora. Sistema de ISP.

Desde 2014, Google ha instado a los propietarios de sitios a conectarse a una conexión segura instalando un certificado SSL / TLS. Pero no todos están de acuerdo. Permítanos examinar todos los pros y contras y decirle cómo obtenerlo.

Google insiste en https

HTTPS se introdujo en los estándares de Internet en 2000. Pero el mayor interés en el tema se produjo a finales de 2013, a principios de 2014. Luego hubo noticias sobre la intención de Google de considerar HTTPS en los resultados de búsqueda. En agosto de 2014, la compañía confirmó los rumores al publicar un artículo en el blog de webmasters. Tenía un mensaje claro: HTTPS es un factor de clasificación porque garantiza la seguridad de la transferencia de datos.

Para la comunidad de webmasters y propietarios de sitios, las noticias de Google deberían haber sido una señal: si desea estar en la cima del problema, conecte una conexión segura. Pero hubo reservas: mientras que el factor se tiene en cuenta en menos del 1% de todas las solicitudes, e incluso allí tiene menos peso que, por ejemplo, la singularidad del contenido. Aunque se dijo que, con el tiempo, al factor se le puede dar mayor importancia, la transición masiva a HTTPS no ocurrió.

Más tarde, la compañía comenzó a operar a través de Google Chrome.

  • A partir de enero de 2017, el navegador comenzó a marcar las páginas HTTP que recopilan las contraseñas y la información de la tarjeta de crédito como inseguras.
  • En octubre de 2017, se lanzó Chrome 62, que considera que las páginas HTTP no son seguras, recopilan datos (direcciones de correo electrónico, inicio de sesión, etc.) y en modo Incógnito, en general, todos los sitios sin SSL.
  • En julio de 2018, se lanzará Chrome 68, que celebrará todos Los sitios HTTP como poco fiables. Los estudios han demostrado que las personas no notan que no hay signos o están completamente ciegos a tales advertencias. A partir de julio, el marcado se verá así:

En general, el cambio para cambiar a HTTPS proviene de CA / Browser Forum, que incluye autoridades de certificación, fabricantes de navegadores y otras aplicaciones que funcionan con SSL / TLS.

Formalidad o necesidad

A partir de marzo de 2019, el 48,2% de los usuarios de runet utiliza Google Chrome, por lo que los webmasters deben tener en cuenta a Google. Sin embargo, muchos de ellos no están de acuerdo con el gigante de TI.

Los principales argumentos "contra":

  1. No todas las páginas de Internet contienen o recopilan datos confidenciales, cuya intercepción puede ser dolorosa para los visitantes;
  2. el efecto de HTTPS en el ranking de páginas en la búsqueda parece ser insignificante;
  3. La conexión HTTPS requiere la compra de un certificado SSL / TLS, lo que lleva a algunas personas a pensar en otra extorsión de dinero.

Por lo tanto, muchos webmasters simplemente ignoran las recomendaciones de la compañía.

Argumentos de google

Considerar que HTTPS es necesario solo para los sitios que procesan datos confidenciales es un engaño. Así que piensa en Google. Aquí están los argumentos principales.

Seguridad

La interceptación de cualquier dato es peligrosa. Cada solicitud HTTP no protegida puede revelar información sobre los intereses y el comportamiento de los usuarios. Al agregar acciones en diferentes sitios, los atacantes sacan conclusiones sobre su comportamiento e intenciones, y también revelan sus personalidades.

Una cosa más. Al introducirse en la conexión entre el sitio y el usuario, un atacante no solo puede robar, sino también reemplazar la información. Es como si el cartero abriera las cartas y las reescribiera. Los piratas informáticos agregan virus a las páginas HTTP, publicitan sitios pornográficos o productos ilegales. El usuario cree que este es su sitio. HTTPS protege contra historias similares.

Siguiendo las tendencias

El protocolo es necesario para las "aplicaciones web progresivas" (sitios que funcionan en el escritorio como páginas web estándar, y en dispositivos móviles o tabletas) como aplicaciones. Son fiables, se cargan rápidamente, trabajan fuera de línea.

Por lo tanto, Google cree que HTTPS es el futuro de Internet. A partir de 2015, se puede proporcionar de forma gratuita con la ayuda de Let's Encrypt, una entidad de certificación patrocinada por Google y otras compañías.

Conclusiones

SSL es necesario si usted:

  • recopilar datos confidenciales del usuario (contraseñas, datos de tarjetas bancarias);
  • desea eliminar parte de las objeciones de los clientes antes de comprar;
  • No desea que los estafadores aprovechen la vulnerabilidad de su sitio;
  • Trabajar en SEO y todo es importante para usted, incluso los factores mínimos de aumento en la emisión.

Al conectarse a un certificado SSL, pueden surgir dificultades:

  • Descenso temporal en los resultados de búsqueda. Un robot de indexación percibe un recurso que transmite datos utilizando dos protocolos diferentes como dos sitios diferentes. Por lo tanto, la transición a HTTPS puede disminuir el tráfico del sitio a partir de la búsqueda. Si sigue las recomendaciones de "Yandex" y Google, se restaurarán las posiciones en el problema.
  • Aumento de tráfico El cifrado aumenta la cantidad de información transmitida. Sin embargo, la mayoría de los proveedores proporcionan alojamiento sin restricciones en la cantidad de tráfico transmitido, por lo que la transición a una tarifa más costosa probablemente no será necesaria.

Cómo elegir un certificado SSL

Hay varios tipos de certificados SSL. Ya hemos escrito más sobre ellos, así que tomemos una tesis. La elección depende de si el sitio es propiedad de una persona física o jurídica, así como del número de sitios y subdominios.

Propietario del sitio

El propietario determina el nivel de verificación que debe atravesar el sitio para obtener un certificado SSL.

Independientemente del tipo, el certificado SSL realiza la función principal: encripta los datos transmitidos y elimina la notificación de una conexión no segura.

Persona fisica

Si el recurso es propiedad de un individuo, solo se puede instalar un certificado del tipo Validación de Dominio (DV). Este certificado confirma la propiedad del dominio y nada más. Para la verificación, necesita correo en el dominio del sitio. Los certificados DV gratuitos son emitidos por el centro de confianza de Let's Encrypt.

Organizacion

Si la empresa es propietaria del sitio, puede haber varias opciones:

  • Tarjeta de visita del sitio de una empresa u organización. El sitio no recoge ninguna información de pago. Solo hay que informar. En este caso, es adecuado un certificado con un nivel de validación de Validación de Dominio. Encripta los datos, elimina el código auxiliar que dice "inseguro" en el navegador, y eso es todo.
  • Sitios de bancos, sistemas de pago, hipermercados de red o medios de comunicación. El sitio recopila dinero o datos que dan acceso al dinero. Para obtener acceso al dinero, los estafadores pueden copiarlo. Por lo tanto, necesitamos un certificado con la verificación de la organización - Validación ampliada (EV). Solo lo puede obtener el verdadero propietario de la organización del sitio, su nombre y tipo de actividad se indicarán en el certificado. Aparecerá una barra verde con el nombre de la empresa en la barra del navegador.
  • Una pequeña tienda en línea, un sitio de una fundación caritativa, un foro. El sitio no es interesante para los estafadores, pero los clientes pueden desear verificar la existencia de la organización. Aquí necesita un certificado con verificación de la organización - Validación de la organización (OV). El nombre de la organización se reflejará en el certificado, aparecerá un candado verde en la línea del navegador.

La presencia de certificados SSL no solo muestra a Google Chrome. También se muestra mediante el navegador Yandex, Microsoft Edge, Firefox, Safari, Opera.

El número de sitios y subdominios.

  • Un sitio y varios subdominios (comodín, WC) - * bestsite.ru, * forum. bestsite.ru, * blog.bestsite.ru, etc.
  • Varios sitios (Multi Domain, MD) - * bestsite.ru, * bestsite.com, * perfectsite.ru. Si hay dos o tres sitios, es más rentable comprar varios SSL con el soporte de un dominio: es más difícil de instalar y renovar, pero es varias veces más barato.

El precio de SSL depende de su tipo. Los certificados más baratos (de 1 mil rublos) - DV con soporte para un dominio. El más caro (de 22 mil rublos) - multi-dominio con verificación extendida de la organización.

Cómo elegir un centro de certificación.

Revisó los puntos anteriores y resultó que necesita un certificado SSL de varios dominios con el nivel de verificación OV. Queda por elegir dónde comprarlo. SSL emite los centros de autenticación (CA). Confirman la autenticidad de las claves de cifrado mediante certificados de firma electrónica.

Se publica una lista de todas las entidades de certificación de confianza en el sitio web de CA / Browser Forum. Los 10 principales centros de problemas de SSL se pueden ver en el sitio web w3tech.com. Desde el punto de vista del usuario, solo hay una diferencia significativa entre los centros de certificación: el precio de los certificados SSL. Según nuestra experiencia, podemos hacer algunos comentarios, pero no están respaldados por ninguna investigación. Advertir, estos son solo nuestros pensamientos.

El precio no es un indicador

Con certificados SSL no es lo mismo que con pan o una máquina: más caro no significa mejor calidad. Todos los centros de certificación confiables emiten certificados SSL de acuerdo con los estándares establecidos, por lo que no tiene sentido pagar extra por una marca. La gran diferencia de precios es más probable que se explique por la política de comercialización de los centros de certificación: alguien está dirigido a clientes corporativos, alguien está interesado solo en los mercados occidentales y alguien quiere vender tanto como sea posible y, por lo tanto, reduce el precio al mínimo. Por lo tanto, es razonable elegir por precio. También es aconsejable utilizar sitios web intermedios (como LeaderTelecom, FirstSSL o ISPsystem) para la comparación de precios: a menudo, los certificados SSL son más baratos que los vendedores directos.

La marca no garantiza fiabilidad.

Una autoridad de certificación puede perder la confianza o simplemente deshacerse. Esto ya ha sucedido. En este caso, el nombre eminente no garantiza nada. Recientemente, el negocio de certificados SSL de Symantec ha perdido su credibilidad. En este caso, la empresa Symantec, uno de los líderes en el campo de la producción de software, continuó existiendo. Los compradores de certificados de Symantec no han perdido dinero: desde diciembre de 2017, Symantec SSL ha estado lanzando DigiCert SSL. Todavía se pueden comprar e instalar.

Comodo Note

Una nota más de nuestra experiencia. Hoy en día, Comodo es el centro de certificación más popular del mundo. Esta CA emite certificados rápidamente, aquí uno de los certificados más baratos y de emisión rápida. Al mismo tiempo, los certificados con verificación de organización o verificación extendida se emiten solo después de la compra de un número DUNS. Debido a esto, el certificado es varias veces más caro. Otro CA no tiene tal requisito.

Quizás hay otras características que nos son desconocidas. Si tiene algo que decir sobre las diferencias entre los centros de certificación, escriba en los comentarios, lo discutiremos.

Cómo obtener el certificado SSL

El proceso de recepción depende del lugar de compra. La historia universal se ve así:

  1. Seleccione SSL en el sitio del intermediario o en el TC.
  2. Introduzca los datos requeridos. Requerido: dominio y dirección de correo electrónico, número de teléfono de la persona de contacto. Para certificados DV esto es suficiente. Para OV o EV, necesitará información y documentos que confirmen la existencia legal de la organización y el cumplimiento de la actividad declarada (TIN, extracto del registro, mención en libros de referencia disponibles públicamente como nalog.ru o yellowpages.com y otros).
  3. Obtenga un correo electrónico de activación para su correo electrónico, siga el enlace.
  4. Pasar la verificación (de 20 minutos a varios días o incluso semanas, dependiendo del tipo de SSL). En este momento, la CA puede solicitar documentos adicionales.
  5. Obtener archivos de certificado de correo. Instalar

Cómo instalar SSL

El certificado SSL se instala en los archivos de configuración del servidor web (Apache o Nginx). Las instrucciones de instalación son enviadas por la autoridad de certificación. El proceso se simplifica si utiliza el panel de control del servidor web: ISPmanager, CPanel, Plesk y otros. Las instrucciones de instalación se pueden encontrar en la documentación del desarrollador del panel.

Después de configurar el certificado SSL, debe comprender los motores de búsqueda. Primero, agregue un sitio accesible por el nuevo protocolo a su lista de sitios en Yandex.Webmaster y configure un espejo del sitio siguiendo las recomendaciones de Yandex. Después de agregar una nueva dirección a la Consola de búsqueda de Google, como lo recomienda Google. Configure una redirección de HTTP a HTTPS para el dominio en el panel de control del servidor web.

Loading...

Deja Tu Comentario