Защищенные протоколы и HTTPS в качестве стандарта

Закономерность между развитием технологий и ростом количества кибер(и не только)угроз, а также совершенствованием алгоритмов их работы, к сожалению, очевидна. Однако это не повод опускать руки и ждать беды – это вызов для профессионалов в сфере веб-хостинга и новые тенденции в его безопасности, об одной из которых мы и расскажем в этой статье.

 

Вернемся в 2020 год, который никто из нас уже не забудет: тогда пандемия внесла коррективы практически во все сферы жизни, в частности, она спровоцировала масштабные утечки персональных данных по всему миру, которыми активно пользовались киберпреступники, в ходе самой крупной из них было взломано 7млрд пользовательских записей. А в России настоящий бум кибератак был спровоцирован иными известными событиями, однако, имеет место до сих пор. Все это возводит обеспечение безопасности и защиты конфиденциальности пользователей в статус первостепенной задачи среди хостинг-провайдеров.

 

Решить эту приоритетную задачу помогают такие мероприятия как проверка CMS на уязвимости, зашифрованное хранение данных, получающее все большее распространение и использование защищенных протоколов, например, HTTPS (для его работы требуется SSL сертификат), о котором подробнее будет рассказано далее в этой статье.

 

Конфиденциальность домена также является одной из важных защитных функций, которые может предложить веб-хостинг. Это дополнительная опция, предлагаемая многими провайдерами, которая гарантирует, что все данные об администраторе и его домене, которые, как правило, высвечиваются в WHOIS и находятся в открытом доступе, будут заблокированы от просмотра пользователями без соответствующих прав.

 

Таким образом, нарастающий объем киберугроз стимулирует хостинг-провайдеров лучше защищать своих клиентов, их проекты и аудиторию, внедряя специальные защищенные протоколы как дополнительные опции для обеспечения безопасности и повышения уровня надежности.
 

Выше мы уже упоминали об использовании SSL-сертификатов как защитной опции для владельцев веб-проектов и их аудитории. Казалось бы, о преимуществах SSL-сертификатов и HTTPS-протокола, который он обеспечивает, сказано столько, что HTTPS действительно должен стать нормальным и даже обязательным атрибутом любого сайта.

Еще в 2018 году Google всячески стимулировал владельцев сайтов к переходу на HTTPS, обещая таким ресурсам повышение позиций в поисковой выдаче и грозясь помечать сайты без SSL-сертификата как ненадежные, что по сути и было реализовано в будущем.

 

Но уже в 2021 SSL Labs выяснили, что 32,6% сайтов имеют недостаточную безопасность. 

 

Как же дела обстоят сейчас? Хостинг-провайдеры внесли большой вклад в популяризацию SSL и HTTPS тем, что стали предлагать своим клиентам бесплатные сертификаты для их сайтов или поддерживать работу таких сертификатов в рамках своих сервисов. В современном мире сознательный отказ профессионального сообщества от прибыли в пользу защиты миллионов пользователей – это огромный шаг, вселяющий надежду на светлое будущее.

 

Однако бесплатное не всегда является синонимом лучшего, но часто вполне имеет право на жизнь.

 

Давайте рассмотрим этот аспект подробнее на примере за и против. 
 

Если говорить о бесплатном SSL-сертификате  Let's Encrypt, вот его ключевые отличия от платных конкурентов:

 

✔ Отсутствие финансовой гарантии, что очевидно, ведь бесплатный сертификат, предоставляемый некоммерческой организацией просто не может предоставлять денежные компенсации пользователям за возможные взломы, тогда как платные сертификаты обязуются вернуть клиентам суммы, измеряемые в десятках тысяч долларов, если что-то пойдет не так.

Но!
Бесплатная гарантия никому никогда не выплачивалась, так стоит ли платить больше?

 

✔ Let's Encrypt выпускает сертификаты только одного вида – DV (Domain Validation), которые считаются самыми простыми и подтверждают подлинность только доменного имени, что не позволяет им обеспечить вашим проектам зеленую адресную строку, в отличие от платных сертификатов, которые предлагают OV (Organization Validation) – сертификаты с проверкой подлинности организации и EV (Extended Validation) – сертификаты с расширенной проверкой, считающиеся самыми продвинутыми. Именно OV и EV SSL-сертификаты гарантируют своим заказчикам все преимущества: от надежной защиты пользователей сайтов от фишинга до повышения позиций сайта в поисковой выдаче.

Но!
Часто пользователям все равно на разновидность SSL-сертификата, их вполне устраивает наличие HTTPS-протокола. 

 

✔ Срок действия сертификата: платные гарантируют свою функциональность на срок от 1 календарного года, в то время как Let's Encpypt выпускает свои сертификаты на срок не более 90 дней. На случай возникновения каких-либо непредвиденных ошибок, например, на стороне центра сертификации, лучше всего дополнительно проверять правильность открытия сайта через HTTPS после перевыпуска сертификата.

Но!
При использовании бесплатного сервиса мы априори соглашаемся на определенные уступки/неудобства.

 

Что же получается: Let's Encpypt действительно работающий и совершенно бесплатный SSL-вариант, существенным минусом которого является срок его действия и периодические технические проблемы, например, нашумевшая история с глобальным истечением срока действия всех выпущенных сертификатов в сентябре 2021 или масштабный сбой, когда Let's Encpypt не работал несколько дней в январе 2022.

 

Получается, что Let's Encpypt идеально подойдет для некоммерческих проектов, которым важна экономия на каждом этапе, но которые определенно заслуживают получить некоторые преимущества SSL на бесплатной основе.

 

Но и это еще не все в разговоре о бесплатных SSL: здесь импортозамещение успело представить свою разработку: с марта 2022 года на портале Госуслуги юридические лица смогли бесплатно заказать SSL-сертификат, работающий исключительно в браузерах, которые поддерживают сертификаты российского удостоверяющего центра: Яндекс.Браузер, Спутник и Atom.

 

Помимо этого ограничения сам процесс его получения разделен на три не самых простых этапа, но, пожалуй, главный его нюанс в том, что государственная роль в данном вопросе может подразумевать расшифровку трафика между сервером и браузером в случае необходимости, несмотря на наличие протокола HTTPS, что может быть вполне оправданным в определенных ситуациях, но ставит под угрозу защищенность в сети. Пока что о полном переходе на сертификаты российского образца не сообщается.

 

В связи с нарастающим запуском санкций и уходом западных вендоров отечественный рынок SSL может быть представлен тремя игроками: Let’s Encrypt, который оптимален только для некоммерческих проектов, отечественной разработкой, которая больше подойдет для поддержки государственных проектов и профессиональных сертификатов GlobalSign, которые доказывают, что все преимущества SSL могут быть доступны по разумной стоимости, например, в Rusonyx Вы можете заказать SSL-сертификат этого удостоверяющего центра всего от 2 300 рублей в год – узнайте больше в соответствующем разделе нашего сайта.
И все же 100% переход на HTTPS можно назвать важной и необратимой тенденцией безопасности для веб-хостинга.
 

Безопасность, действительно, превыше всего, а веб-хостинг как значимый элемент поддержки Всемирной сети может и должен вносить свой вклад в защиту от возможных угроз не только своих клиентов и их сайтов, но и их аудиторию – конечных пользователей, которые исчисляются миллионами.
Эта философия крайне близка команде Rusonyx: защита Вас, Ваших IT-инфраструктур, Ваших веб-проектов и их пользователей – наша приоритетная задача – мы говорим об этом с уверенностью.

Вот перечень наших сервисов, которые помогут вам защитить свои проекты и их аудиторию всего за несколько кликов.