TLS-сертификаты обеспечивают безопасную передачу данных между клиентской и серверной машиной. Браузер и сайт обмениваются информацией в зашифрованном виде, а значит если злоумышленник встроится в сессию, он не сможет понять суть происходящего.
Без SSL/TLS сертификатов имена, адреса, номера телефонов и банковских карт, пароли, документы и другие конфиденциальные сведения свободно бы «разгуливали» по сети и ни о какой виртуальной безопасности не было и речи.
Что представляют собой TLS-сертификаты
SSL/TLS-сертификат – это криптографический протокол, с помощью которого выстраивается «мост» безопасности между сервером и пользователем. Для пользователей процесс «строительства» проходит незаметно. Сервер и браузер встречаются, здороваются и проверяют, могут ли они общаться в защищенном режиме. Если да, то устанавливается соединение и человек без проблем заходит на сайт.
В случае, если безопасное соединение не может быть установлено, браузер выдает соответствующее предупреждение. Тогда юзер сам решает, переходить ему на сайт или нет.
Также при первом входе на сайт пользователь может увидеть сообщение о том, что ресурс использует криптографическое средство защиты или на нем действуют определенные правила. В этом случае достаточно один раз согласиться с условиями площадки и далее спокойно выполнять различные действия.
Визуально ресурс с TLS-сертификатом отличается от других сайтов знаком закрытого замочка в адресной строке и расширенной версией протокола http — https.
Зачем организациям и ИП TLS
Для обеспечения безопасности сайтов и информационных систем.
Если компания занимается сбором и хранением персональных данных, то в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ должна позаботиться о сохранности и защите этих данных. В этом случае использование криптографического протокола является обязательным — конечно, если данные собираются в виртуальной среде, а не на бумаге. Не обойтись без сертификата, если клиенты вводят на интернет-площадке любые личные сведения, а также оплачивают товары и услуги онлайн.
Что будет, если не использовать SSL-сертификат
Если вести дела в сети без TLS-сертификата, то можно столкнуться с рядом проблем:
- Утечка персональных данных и платежной информации. За подобные утечки грозить серьезное наказание. Штрафы для должностных лиц составляют до 2 млн. руб., для организаций — до 15 млн. руб. Также в 2024 году будут введены оборотные штрафы — до 3% от годовой выручки компании, и уголовная ответственность до 10 лет за намеренное распространение личных сведений. Законопроект № 502104-8 с обозначенными мерами наказания был принят 23.01.2024 в первом чтении. Конечно, защита персональных данных включает в себя целый комплекс мероприятий, но наличие TLS-сертификата с ГОСТ в этом комплексе играет большую роль.
- Недоверие пользователей. Цифровая грамотность населения растет, и уже далеко не каждый пользователь готов заходить на небезопасные ресурсы и уж тем более оставлять на них личные и платежные сведения. Даже если человек не знает ничего про SSl/TLS-сертификаты, он все равно может обратить внимание на наличие заветного замка в адресной строке.
- Снижение позиции ресурса в поисковой выдаче. Наличие TLS является важным фактором ранжирования для поисковых систем, таких как Yandex и Google. Сертификат содержит в себе достоверные сведения о владельце домена и о самой компании, а значит поисковая система считает сайт надежным и скорее выдаст его в результатах поиска, чем сайты конкурентов без TLS.
Где купить TLS-сертификат
В Удостоверяющем центре Айтиком юридические лица, ИП и физические лица могут приобрести TLS с ГОСТ — отечественную криптографию, имеющую сертификат соответствия. Для всех операторов персональных данных TLS с ГОСТ является обязательным, так как при его использовании сведения не подлежат утечке или взлому. Без TLS с ГОСТ информационные системы персональных данных не смогут пройти аттестацию.
Также SSL необходим всем компаниям, которые хотят защитить данные своих клиентов, а также планируют продвигаться в поисковиках и занимать верхние позиции в поисковой выдаче.
Как получить и установить сертификат
Процедура выдачи SSL/TLS схожа с выпуском электронной подписи. Для получения сертификата нужно:
- Обратиться в Удостоверяющий центр лично или оставить заявку на выпуск
- Предоставить пакет документов и подтвердить принадлежность доменного имени или ИС
- Оплатить услугу
- Получить сертификат на защищенном носителе (токене)
- Установить TLS на рабочую станцию (сервер)
У нас вы можете полностью закрыть вопрос в части обеспечения безопасности своей информационной системы или сайта — приобрести TLS с ГОСТ, софт для шифрования КриптоПро и защищенный носитель. В случае необходимости технические специалисты Айтиком окажут консультационную поддержку по вопросам установки сертификата.