Введение в SSL-сертификаты для WooCommerce

Опубликовано: 2015-12-24

Частью процесса запуска интернет-магазина является поиск способа обеспечить удобство для ваших покупателей. Конечно, вы хотите, чтобы ваши потенциальные клиенты чувствовали себя в безопасности и знали, что их данные не попадут в чужие руки.

Если вы новичок в электронной коммерции, возможно, вы слышали болтовню о сертификатах SSL или HTTPS как части этого процесса безопасности. И вы можете быть совершенно сбиты с толку этим. Расслабьтесь — это нормально, и мы можем помочь.

SSL звучит как сложная тема, но как только вы поймете предпосылку и то, почему это может понадобиться вашему магазину, вам не придется тратить время на беспокойство . Фактически, для большинства владельцев магазинов вы можете получить сертификат для добавления SSL в свой магазин всего за несколько минут.

Давайте рассмотрим, что такое SSL, зачем он вам может понадобиться и как вы можете получить сертификат для своего магазина. В конце этого поста ваше замешательство должно исчезнуть, и вы должны быть еще более подготовлены к началу продаж в Интернете.

Объяснение SSL-сертификата

Чтобы понять, что такое SSL-сертификат и зачем он вам может понадобиться, давайте сначала кратко рассмотрим лежащую в его основе технологию.

Быстрый урок по SSL

SSL расшифровывается как «Secure Sockets Layer», хотя его также иногда называют «Transport Layer Security» (или TLS). SSL сам по себе — это протокол, используемый для обеспечения безопасности и защиты транзакций — хотя и не обязательно финансовых — между пунктами назначения в сети .

SSL использует шифрование, чтобы сделать эти транзакции конфиденциальными. Каждое передаваемое сообщение должно пройти внутреннюю проверку на целостность этого шифрования, прежде чем оно будет успешным. Если проверка не пройдена (из-за повреждения данных или любой неожиданной попытки изменить или захватить данные), зашифрованные данные не будут раскрыты.

Мы используем SSL каждый день, когда просматриваем обычные веб-сайты, такие как Facebook, YouTube и интернет-магазины. Используемое шифрование не позволяет злоумышленникам перехватывать транзакции, такие же невинные, как ваши поисковые запросы… или такие опасные, как данные вашей кредитной карты.

Как SSL применяется к сертификатам веб-сайтов

Когда веб-сайт хочет защитить свои транзакции, он получает SSL-сертификат для этого домена. SSL-сертификат применяет шифрование, описанное выше, ко всем действиям на веб-сайте , включая отправку страниц и форм, финансовые транзакции и т. д. Это предотвращает кражу данных или другие подобные атаки.

SSL-сертификаты также содержат важную информацию о безопасности , в том числе:

  • Название организации
  • Местоположение компании
  • Срок действия сертификата
  • Сведения об органе, выдавшем сертификат

Это позволяет лицам, которые не уверены в подлинности или надежности веб-сайта, щелкнуть зеленый значок «замок» в своем браузере, чтобы просмотреть дополнительную информацию. Если они все еще не чувствуют себя в безопасности, они могут покинуть сайт.

Пример информации, которую вы можете увидеть при просмотре SSL-сертификата — в данном случае это блог Google Webmaster Central.
Пример информации, которую вы можете увидеть при просмотре SSL-сертификата — в данном случае это блог Google Webmaster Central.

Как узнать, использует ли веб-сайт SSL/TLS

Есть два быстрых способа узнать, есть ли у какого-либо веб-сайта SSL-сертификат. Искать:

  • Зеленый значок «замок» в адресной строке и
  • URL-адрес, начинающийся с https вместо http

В зависимости от того, как сайт использует SSL, это может относиться не к каждой странице, как вы узнаете ниже.

Как меняется использование SSL

В течение некоторого времени стандартом Интернета было то, что SSL-сертификаты рекомендовались только для доменов или определенных страниц веб-сайтов, где конфиденциальная информация (например, финансовые данные) будет передаваться или получаться. Однако эта рекомендация постепенно меняется.

В августе 2014 года Google объявил, что безопасность веб-сайтов будет добавлена ​​в качестве «облегченного сигнала ранжирования» для результатов в его поисковой системе . Это означало, что веб-сайт, защищенный с помощью SSL/TLS, имел больше шансов получить более высокий рейтинг по запросу, чем незащищенный, при условии, что все остальные факторы были одинаковыми.

Из объявления:

[Мы] проводили тесты с учетом того, используют ли сайты безопасные зашифрованные соединения в качестве сигнала в наших алгоритмах ранжирования поиска. Мы видим положительные результаты, поэтому начинаем использовать HTTPS в качестве сигнала ранжирования. Пока это очень легкий сигнал […], пока мы даем веб-мастерам время переключиться на HTTPS. Но со временем мы можем решить усилить его, потому что мы хотели бы призвать всех владельцев веб-сайтов перейти с HTTP на HTTPS, чтобы обезопасить всех.

За последний год потенциальные последствия этого изменения заставили многих владельцев веб-сайтов, а не только владельцев магазинов, шифровать свои сайты с помощью полных SSL-сертификатов, изменяя свои URL-адреса на «https» вместо «http».

Однако это не требует от кого-либо защиты всего сайта с помощью SSL . При желании владельцы веб-сайтов и магазинов могут по-прежнему размещать все свои конфиденциальные страницы на поддомене и приобретать сертификат только для этого домена, оставляя остальные страницы незашифрованными.

Как узнать, нужен ли вашему интернет-магазину SSL

Прочитав все это, вы можете убедиться, что вам нужен SSL-сертификат. В конце концов, безопасность важна для вас, верно?

Однако, если вы не собираете и не храните конфиденциальные данные, вам может не понадобиться сертификат . Это может показаться странным, так что давайте покопаемся.

Наиболее распространенным сценарием, из-за которого владельцы магазинов освобождаются от необходимости использования SSL, является использование стороннего платежного процессора, например PayPal. Это связано с тем, что PayPal отвечает за сбор и хранение всей конфиденциальной платежной информации вашего клиента, поэтому она никогда не сохраняется в вашей базе данных .

У внешних платежных систем есть свои собственные стандарты безопасности, сертификаты и методы безопасной передачи данных из вашего магазина и в него. Поэтому вам не обязательно нужен SSL, потому что он будет покрыт.

Если вы не храните конфиденциальную платежную информацию, вам может не понадобиться SSL.
Если вы не храните конфиденциальную платежную информацию, вам может не понадобиться SSL.

Другой сценарий — если вы не разрешаете клиентам создавать учетные записи или логины с использованием паролей любого типа. Даже если вы используете сторонний платежный шлюз, полностью удаленный от вашего сайта, у вас все равно могут быть клиенты, создающие у вас учетные записи, чтобы сохранить свои адреса доставки и выставления счетов .

Хотя это гораздо менее конфиденциальная информация, многие клиенты склонны использовать один и тот же пароль для каждой учетной записи. Таким образом, небольшой обратный инжиниринг может привести хакера к получению доступа, скажем, к электронной почте покупателя, банковскому счету и т. д. Это означает, что если создание учетной записи не отключено в вашем магазине, вам потребуется SSL для защиты этих паролей и логинов .

Напомним, что есть два фактора, которые могут исключить SSL как требование:

  • Использование полностью удаленного платежного шлюза и
  • Абсолютно никакая учетная запись или пароль, разрешенные клиентами

Если у вас нет обоих этих факторов, вам понадобится сертификат для вашего магазина. И даже если вы это сделаете, вам все равно следует подумать об этом , учитывая возможность того, что HTTPS станет более важным для рейтинга и спокойствия клиентов в будущем.

Нужен SSL? Как получить сертификат (два способа)

До недавнего времени стандартным способом защиты вашего магазина с помощью SSL была оплата сертификата третьей стороне. Однако теперь есть еще один вариант, как упоминалось во время доклада The State of the Word на WordCamp US.

Вот два способа, которыми вы можете защитить свой магазин и сделать своих клиентов счастливыми.

Оплата сертификата

SSL-сертификаты можно приобрести у самых разных третьих лиц . Многие реселлеры доменов предлагают их своим клиентам (иногда даже в комплекте с вашим доменным именем), а также есть независимые компании, которые продают только SSL-сертификаты.

Лучше всего начать с компании, у которой вы приобрели (или планируете приобрести) доменное имя вашего магазина, чтобы определить, предлагают ли они сертификаты или какой-либо пакет. Если нет, простой поиск должен найти несколько надежных вариантов.

Перед покупкой потратьте несколько минут на тщательное обдумывание типа сертификата, который вам нужен . Базовые SSL-сертификаты охватывают только один домен — напр. example.com или субдомен.example.com. Но вы также можете приобрести многодоменные сертификаты или сертификаты с подстановочными знаками для покрытия нескольких поддоменов (example1.domain.com, example2.domain.com…).

Цены на платные сертификаты обычно колеблются от 30 до 50 долларов в год для одного домена и до 300 долларов в год для вариантов с несколькими доменами или подстановочными знаками.

Бесплатные сертификаты от Let's Encrypt

Исследовательская группа по безопасности в Интернете (ISRG) в настоящее время имеет общедоступную бета-версию программы Let's Encrypt. Let's Encrypt позволяет любому бесплатно защитить свой сайт с помощью SSL/TLS , фактически предоставляя владельцам веб-сайтов и магазинов бесплатный постоянный SSL-сертификат .

Подвох: Let's Encrypt не так прост, как работа с регистратором домена для покупки и установки вашего сертификата. Он также все еще находится в стадии бета-тестирования, поэтому возможны ошибки. Тем не менее, он по-прежнему полностью бесплатный и с открытым исходным кодом.

Диаграмма от Let's Encrypt, показывающая, как работают их сертификаты.
Диаграмма от Let's Encrypt, показывающая, как работают их сертификаты.

Если вы заинтересованы в том, чтобы пойти по этому пути, мы рекомендуем отправить документацию Let's Encrypt вашему разработчику, который может определить плагин и клиент, необходимые для вашего сервера, и выполнить для вас процесс установки сертификата.

Последствия отсутствия сертификата

Вы можете задаться вопросом: «Что произойдет, если я проигнорирую все это и просто не получу SSL-сертификат?»

По правде говоря, ничего не может случиться. Но могут быть и ужасные последствия, в том числе:

  • Покупатели теряют доверие к вам, потому что ваш магазин выглядит незащищенным
  • Неприятные лица «подделывают» ваш магазин, потому что нет никакого способа доказать, что вы являетесь настоящим владельцем или производителем ваших товаров.
  • Хакер, использующий обратный инжиниринг, чтобы захватить электронную почту покупателя, социальные сети или другую учетную запись в Интернете с помощью информации, полученной из вашего магазина.
  • Кража конфиденциальных личных или финансовых данных, хранящихся на вашем сервере
  • Общественная и потенциальная финансовая реакция, вызванная любым из вышеперечисленных событий.

Как видите, лучше просто заплатить за SSL-сертификат и быть спокойным, чем рисковать. Даже то, что потенциальные клиенты пристают к вам из-за пропавшего значка замка — и потенциально уходят без покупки, потому что он отсутствует — стоит 30 долларов или около того в год, вы так не думаете?

SSL не должен быть сложным вопросом

Мы надеемся, что это введение в SSL-сертификаты для электронной коммерции помогло вам немного лучше понять, почему вам может понадобиться — или не понадобиться — сертификат для вашего собственного интернет-магазина.

Если повезет, теперь вам должно быть намного проще понять SSL и безопасность магазина. Но если у вас остались вопросы, мы будем более чем рады ответить на них в комментариях ниже! Спросите, мы всегда здесь, чтобы помочь.