Нужен ли SSL для коммерческих сайтов?

Создание SSL / TLS Trust

SSL или SecureSocketsLayer является стандартной технологии безопасности для создания зашифрованной связи между веб - сервером и браузером. Он шифрует данные при передаче и гарантирует, что вся информация , которая передается безопасна (без данных , пересылаемых в виде обычного текста). SSL сертификаты криптографически подписаны центром сертификации (Certificate Authority - CA), и каждый браузер имеет доверительный список CA. Любой сертификат, подписанный CA дает зеленый висячий замок в адресной строке браузера, поэтому сайт становится «доверенным» и относится к этому домену.

28,9% пользователей обращают внимание на зеленую адресную строку, как уверяет нас GlobalSign

Это мгновенно повышает доверие, и это мы называется «SSL Trust(доверие).» Очень важно , чтобы посетители знали, что они в безопасности и что их информация будет защищена .

По данным Европейского опроса от GlobalSign, 77% посетителей сайтов обеспокоены  перехватом их данных или неправильно используются онлайн. Так, есть большой красивый сайт, информативный по странице, положительные отзывы и т.д. Если посетителям нравится то, что продается, то это означает, что они, вероятно, на грани совершения покупки. Но если они не чувствуют себя в безопасности, возможно внезапно нарушится доверие, которое строилось с ними. Ниже приведены несколько различных способов, которые могут установить SSL доверие.

И нельзя забывать о TLS (Transport Layer Security). SSL и TLS очень часто являются условиями, которые используются как взаимозаменяемые, но SSL, как правило, известен в качестве предшественника TLS. TLS имеет более бдительное описание, он работает не только с SHA и MD5, но с более широким спектром hash functions, а так же новейшими версиями TLS, как правило, более безопасными, чем SSL.

1. Установить SSL Cert

Основные проверки сертификатов домена SSL теперь дешевы (менее $ 10), или даже бесплатно благодаря Let’s Encrypt. Так что нет больше оправданий, что это дорого.  Необходимо помнить, что нужно иметь сертификат SSL , установленный на оба  сервера главный (веб - хостинг) и  зеркальный сервер (CDN). Если веб - хостинг не поддерживает всё же Let’s Encrypt, то настоятельно рекомендуется обратиться к списку https://github.com/letsencrypt/letsencrypt/wiki/Web-Hosting-Supporting-LE , там имеется каждая функция, которая нужна. Если необходимо приобрести SSL Cert, то есть производители, которые рекомендуются, такие как  gogetssl.com  и  ssls.com. 

Также можно получить сертификат Let’s Encrypt для веб - сервера с помощью  Certbot . Certbot является простым в использовании автоматическим клиентом, который получает и развертывает сертификаты SSL / TLS для веб - сервера. Certbot был разработан EFF и сторонними разработчиками в качестве клиента Let’s Encrypt и ранее был известен как «the official Let’s Encrypt client»

Некоторые организации считают, что  информация должна быть бесплатной и именно поэтому они имеют собственную интеграцию с Let’s Encrypt.

2. Пойдём далее с сертификатами Extended Validation 

Существуют различные типы SSL сертификатов и расширенных SSL сертификатов, которые могут, безусловно, повысить уровень доверия еще выше! Сертификаты Extended Validation требуют гораздо более сложного процесса: бизнес проверки, которая является более дорогой. Эти типы сертификатов показываю название компании в адресной строке, и, как правило, используются крупными организациями, которые хотят более высокий уровень «SSL Trust.»

35% пользователей смотрят на название компании в адресной строке. - GlobalSign

Кроме того, можно использовать средства проверки домена в пределах расширенной проверки веб-сайта.

3. Дважды Проверить конфигурацию SSL / TLS 

Можно проверить конфигурацию и силу сертификатов, запуская их через инструмент такой, как QUALYS SSL Labs . Держа сертификаты в курсе,  проверка может гарантировать, что есть защита от уязвимостей в старых версиях SSL / TLS.

Инструмент будет сканировать запущенные  протоколы.

Он также будет возвращать все детали протокола и смотреть, насколько хорошо  складывается защита против недостатков в некоторых версиях SSL / TLS, таких как BEAST, POODLE, Hearbeat и Heartbleed.

Это хороший способ сохранить конфигурацию SSL / TLS на веб-сервере актуальной.

4. Создание хорошей политики конфиденциальности

Помимо юридического требования всегда хорошо иметь развитую политику конфиденциальности на сайте. Только видимость этого в сноске сайта добавляет доверие, что на сайте  есть политика и  этот сайт хорошо известен.

Как защищается информация: Принимается соответствующий сбор данных, хранения и их обработки и  мер безопасности для защиты от несанкционированного доступа, изменения, раскрытия или уничтожения личной информации: имени пользователя, пароля, информации о транзакции и данных, хранящихся на сайте. Чувствительный и частный обмен данных между сайтом и его пользователями происходит через SSL, безопасный канал связи, зашифрованный и защищенный  цифровыми подписями.

Резюме

Проще говоря, увеличивая  SSL доверие, происходит увеличение объема продаж, конверсии и более высокого уровня доверия со стороны посетителей по сравнению с конкурентами без доверия. И нельзя  забывать, что есть много других преимуществ  SSL , например, фактор рейтинговых преимуществ HTTP / 2, SEO, и многое другое. При запуске веб - сайта, необходимо делать все , что возможно сделать  для укрепления  доверия, и показать посетителям , что сайт заботиться о их безопасности и конфиденциальности.