Логотип Валидатор Валидатор Качество создания сайта

БЕЗОПАСНОСТЬ

Старатель ИнтернетаПозволяет прямо и быстро вернуться назад на карту сайта.

Безопасность сайта

Создать эту страницу о безопасности сайта меня вынудило "новшество" браузеров, которые стали помечать сайты, открывающиеся по обычному протоколу http, вот таким довольно неприятным значком Осторожно! который у несведущих пользователей вызывает настороженность. И ещё!
Браузеры, снабжённые технологией "Protect" (защита), ещё и добавляют на этот значок своё предупреждение. Открывается, если кликнуть по значку, вот такое: Предупреждение!

Обидно! Очень обидно!

Безопасность сайта

Знаю точно: сайт DOPINFORM.RU полностью БЕЗОПАСЕН(!), что, кстати сказать, безоговорочно подтверждают ВСЕ антивирусные сканеры. Вот. Пожалуйста! Смотрите: Вирусов нет! ⇽ это DrWEB, а это VirusTotalЧисто! который проверил сайт аж по 80(!) антивирусным сканерам, что отлично видно из приложенного скриншота.

В том, что сайт безопасен, и на него аналогичным образом реагируют абсолютно ВСЕ антивирусные сканеры, сможете легко убедиться сами. Для этого достаточно зайти на любой сервис защиты компьютера от вирусов, которому Вы полностью доверяете, и ввести в его сканер адрес http://www.dopinform.ru

Любые сомнения исчезнут сразу! Моментально!

Кстати! Кстати!  В начале страницы "Уход за компьютером" (откроется в новом окне) храню несколько очень полезных прямых ссылок на такие сервисы.

Уверен, кто прошёл и проверил всё вышесказанное мною о безопасности сайта, теперь тоже убедился в этом!

Правда, всё же может возникнуть законный вопрос.Почему?!

А почему тогда браузеры помечают мой сайт как опасный(!), отображая в адресной строке имя его страниц с настораживающим красным треугольником и восклицательным знаком?!
Как раз об этом следующий подраздел данной страницы.


Значки в браузере

Вот они "красавцы", которыми с некоторых пор браузеры (в своей адресной строке) стали помечать сайты в зависимости от протокола соединения с ними.

Знаки в браузере

Внимание! Важно!  К безопасности САМОГО сайта они ровным счётом никакого отношения НЕ ИМЕЮТ! Они лишь говорят о том, по какому протоколу(?) сайт открывается по запросу пользователей: обычному http или защищённому https, позволяющему создавать защищённый канал связи между сервером сайта и браузером на компьютере пользователя.
Так что - значки эти говорят только о канале связи, и ни о чём более!


Виды значков

Значок обычного протокола HTTP   Так браузеры отмечают обычное соединение http.


Значок защищённого протокола HTTPS   А так они помечают защищённое https.


Значок защищённого, но НЕ проверенного протокола HTTPS   И так тоже защищённое, но НЕ проверенное https.


Значок проверенного защищённого протокола HTTPS   Это тоже защищённое https, и, якобы, тщательно проверенное.

Мой сайт, как это и видит в адресной строке браузера любой зашедший на него пользователь, "награждён" первым из показанных значков - неприятным, настораживающим красным треугольником, хотя, что любой желающий мог проверить и убедиться, он полностью безопасен!Проверить: Безопасность сайта

* * *

Значком же таким его "наградили" только потому, что я не установил (не купил!) для него SSL-сертификат, позволяющий сайтам работать по протоколу https.

А вот почему(?) не купил, обязательно скажу дальше, но сначала о том, чем отличаются названные протоколы соединений.


Протоколы соединений

Интернет - это соединение, и передача данных от пользователя к серверу сайта и обратно по определённым правилам, которые и называются протоколом.

  • Протокол http – HyperText Transfer Protocol ← протокол передачи гипертекста.
  • Протокол https – HyperText Transfer Protocol Secure ← защищённый протокол передачи.

Но, по сути, протокол https это всё тот же http, но только (для безопасности соединения) с надстройкой криптографического шифрования.

SSL-сертификат

Шифрование же это как раз и реализуется с помощью упомянутого SSL-сертификата, являющегося цифровым файлом, содержащим "ключи шифрования".

Благодаря такому сертификату между сайтом и браузером генерируется "секретный ключ", который обновляется для каждого сеанса связи.

Вот это и позволяет защитить данные, передаваемые при соединении по протоколу httpsА защищать есть от кого! Поскольку соединения с нужным сервером происходят НЕ НАПРЯМУЮ, а через целую кучу посредников, т.е. ретрансляторов.

Схематично интернет-соединения выглядят так.

Схема интернет-соединений

Из показанной схемы интернет-соединений становится понятно, что, если хотя бы к одному лишь узлу ретрансляции получит доступ злоумышленник, то он сможет перехватить личные данные пользователя: пароли к аккаунтам, к банковским счетам, и так далее.   Это возможно в случае использования сайтом, на который зашёл пользователь, обычного, незащищённого протокола http.

Чтобы защитить от чужого вмешательства в передаваемые по сети интернет личные данные, и было придумано криптографическое шифрование по протоколу https.

Оно сделало перехват зашифрованных сообщений бесполезным для злоумышленника. Без секретного ключа он не сможет их понять и как-либо использовать в своих целях.

Образно это можно представить так.

Соединение по протоколу HTTPS


Однако!  Иногда бывает и так.
И особенно часто так бывает с общедоступным бесплатным Wi-Fi.

Хакерская атака MITM

На этом рисунке показал схему давно уже известного типа хакерской атаки в криптографии, носящей название: "MITM" (*англ. - Man In The Middle), т.е. "человек посередине", который перехватывает трафик, и становится посредником между пользователем и сервером нужного пользователю ресурса.

Как всё происходит практически, желающие могут узнать по данному ниже адресу.
https://habr.com/ru/post/249181/

А как защититься, описано на общепризнанном антивирусном ресурсе Касперского.
https://www.kaspersky.ru/blog/chto-takoe-chelovek-poseredine/740/

*Prim.  Для перехода по указанным адресам, нужно их скопировать, и вставить в адресную строку браузера.

И кроме этого!

Внимание! Интересно!  Принципы работы этих сертификатов, а так же о том, каким сайтам они действительно нужны, узнаете из небольшой 9-ти страничной книги, которую я составил по материалам двух разных (что особенно интересно) профессиональных программистов.
Назвал эту книгу: "Что такое, и нужен ли сайту протокол HTTPS".

Взять её можно здесь: Что такое, и нужен ли сайту протокол HTTPS

В книге всё подробно рассказано, а единственное, что нужно добавить в этом подразделе о протоколах, так это то, о чём напрямую в ней не говорится.

В настоящее время используется TLS-шифрование - более современная версия SSL, а принцип работы тот же самый, только современная версия шифрования более надёжна.

Поэтому зачастую, говоря о сертификатах, указывают их так: SSL/TLS, чтобы не сбивать пользователей с толку.

И ещё, что нужно знать о сертификатах.

Типы SSL-сертификатов

На показанном скриншоте, что я взял с ресурса своего хостера, указаны три основных типа сертификатов, а видов их (всяких-разных) ОГРОМНОЕ КОЛИЧЕСТВО! Тьма-тьмущая!

Но принцип работы у них всех абсолютно одинаковый. Это технология шифрования.

Более подробную информацию о показанных выше трёх основных типах сертификатов, их аббревиатурах (DV SSL,  OV SSL,  EV SSL), найдёте в статье "Типы SSL-сертификатов" из нижнего архива.

Статья здесь: Типы SSL-сертификатов

* * *

Ну а теперь перехожу, как и обещал, к вопросу: "Почему не установил на свой сайт этот самый SSL-сертификат?".


Причины отсутствия на сайте SSL-сертификата

И таких причин (кто прочитал книгу, хорошо понимает) несколько. Самая же главная из них - он ему нафиг не нужен! Нафиг он сдался?!Скачать книгу: Что такое, и нужен ли сайту протокол HTTPS

А если без эмоций, то есть достаточно много довольно веских, важных причин.

  • Потеря сайтом его многолетнего "стажа", потому что по протоколу https - это уже будет другой сайт для поисковых систем.
  • Страницы из-за "обмена любезностями" (сертификатами) будут грузиться  гора-а-аздо дольше.
  • Установка сертификата - это та ещё "пляска с бубнами", а установив однажды, нужно будет его продлевать постоянно, причём, за немалые деньги! Ого! Ну и цены!
  • Стоимость SSL-сертификатов

  • У меня на сайте несколько поддоменов, поэтому для него мне пришлось бы покупать мультидоменный сертификат "Wildcard", что в 3 раза ДОРОЖЕ содержания самого сайта (и такая 3-ёх кратная цена - это вдобавок к плате за его содержание).
  • Если же(!), после окончания срока действия сертификата, его НЕ продлить, то сайт по протоколу https открываться перестанет, и браузер будет выдавать: ошибка!
  • Придётся менять ссылки, данные на сайт, во всех-всех аккаунтах: социальных сетях, форумах, блогах и т.д..
  • А ещё повторюсь:  к безопасности САМОГО сайта никакой SSL-сертификат вообще никакого отношения НЕ ИМЕЕТ!   Почему?!Потому что: О безопасности самого сайта
  • Так зачем мне и моему сайту эта "головная боль", если ... ... ...

  • У меня совершенно простой, учебный HTML-сайт (учебно-тренировочный).
  • Он не собирает ничьих личных данных.
  • Нигде не нужно регистрироваться, чтобы скачать что-либо.
  • Ни на что и нигде не нужно подписываться.
  • Ничего не продаю, и никаких денег ни за что не прошу.
  • Если что-то делаю, так бесплатно - исключительно ради собственного обучения.
  • И так далее, и тому подобное ... ... ... .
  • Кроме всего прочего, основной цели своего создания - хранение надёжной, полезной, проверенной лично информации - сайт соответствует без всяких сертификатов!

Вот основная цель его создания! Самая главная!

Учебно-тренировочный сайт

А это основной раздел сайта: "Полезное" (откроется в новом окне).

И даже если со временем поисковики вообще выкинут сайт из поиска из-за отсутствия у него SSL-сертификата, то своей основной цели создания он всё равно будет соответсвовать полностью! Да! На все 100!

И вот поэтому, я не вижу ни одной причины, по которой следовало бы "швырять деньги на ветер", и покупать абсолютно НЕ нужный простому учебно-тренировочному сайту какой-либо SSL-сертификат.

* * *

Считаю, что причин отсутствия на моём сайте SSL-сертификата, и как следствие, защищённого протокола, указал более чем достаточно. Хочу лишь добавить ещё несколько слов о мнимой безопасности.


Иллюзия безопасности сайтов

А Вы никогда не задумывались - по какому(?!) протоколу открываются ВСЕ МОШЕННИЧЕСКИЕ сайты?

Ответ очевиден! HTTPS!

Вот Вам и HTTPS!!!

Уверен, что мошеннические сайты самыми первыми заимели SSL-сертификаты "безопасности" (как эти самые сертификаты частенько называют).

А как же иначе?! Иначе никак!

Если простым честным сайтам, к тому же - не собирающим ничьих личных данных, скрывать и шифровать нечего, да и незачем, то мошенники всегда стараются на себя разные "прикиды" навешать. Чтобы им верили!

В данном же случае всё очень легко и просто.  Заплатил - получил сертификат.

Зарегистрировать же какую-нибудь фирму "Рогов и копыт", чтоб получить "расширенный" сертификат, для мошенников, сами понимаете, не проблема.

Короче, купить можно любой!  Даже самый-самый "зелёный", т.е., якобы, тщательно проверяемый - "расширенный".  Аж целых две недели проверяют! Смех да и только!

А кто проверяет-то?! Очень уж это интересно!

ФСБ?  Полиция?  Прокуратура?  Налоговая?  Роспотребнадзор?
Ага! Делать им больше нечего.
У этих структур своих забот "выше крыши", а тут - какие-то там сертификаты. Смешно!

Проверяют всё так называемые "центры сертификации" ... ... ...
(то есть те, кто и разрабатывает эти самые сертификаты).

Название "громкое", конечно. Только вот почему-то всякие-разные "хитрые конторки" прекрасно себя чувствуют после этих "тщательных проверок", так же как и, к примеру, печально известная в своё время "МММ".

Или, тоже к примеру, некая контора под именем: "Гермес-Финанс".   Лично, к большому своему сожалению, имел с ней дело 24 октября 1994 года. Так до сих пор вспоминаю этих тварей "тихим, добрым словом". Жульё поганое!

Но уж с разными сертификатами у них всегда был полный порядок!

* * *

Так что - насчёт безопасности (для пользователей) самих сайтов с разными сертификатами "безопасности" (именно в кавычках) - речь в принципе идти не может!

Благодаря наличию SSL-сертификата (абсолютно любого!), речь может идти только лишь об одном - о защищённом соединении с сервером сайта.  И всё!

Ну а безопасно соединиться можно с кем угодно!
С мошенниками в том числе.У них же значок безопасности стоит!

И мне лично кажется, что подобные значки "безопасности", появившиеся в браузерах, только сбивают пользователей с толку ... ... ... .

Знаки в браузере

Ведь, на самом деле, очень небольшое количество пользователей интернета понимает истинное значение этих значков.

Обычному пользователю (не веб-мастеру) разбираться в тонкостях веб-технологий как-то недосуг, да и, по большому-то счёту, - незачем!

И большинство считает так: Значок защищённого протокола HTTPS ◄ сайт безопасный,   Значок обычного протокола HTTP ◄ сайт опасныйТолько так, и никак иначе! Обычные пользователи считают именно так!

Ну, а уж если ресурс вот на такой значок "разорился": Значок проверенного защищённого протокола HTTPS  то, сами понимаете, обычные пользователи считают подобный сайт чуть ли не "отцом родным", и готовы на таком сайте все свои секреты выложить: номера банковских карт, пароли, SV-коды, телефоны, почты и так далее, не понимая того, что этот значок свидетельствует всего лишь о безопасном соединении с сервером сайта, и что это действительно тот самый сайт, которому данный сертификат выдан.

А дальше, безопасно соединившись с сервером сайта, пользователь попадает на ресурс, где наличие/отсутствие опасного контента зависит от целей веб-мастеров, создавших этот ресурс. Точнее - от владельцев ресурса, конечно, нанявших их себе на работу.

О целях же владельцев ресурса точно знать могут только они сами!

Осторожно!

ВСЕГДА!  Всегда нужно внимательно смотреть в адресную строку браузера, если мы собираемся что-то оплачивать он-лайн. Особенно, если сайт незнакомый.

Внимание! Очень важно!

Если, после выбора способа оплаты, нас НЕ перекинуло с сайта продавца на выбранный платёжный сервис, и мы остались на ресурсе продавца, пусть даже и на его, якобы, платёжной странице с формой оплаты (это видно в адресной строке браузера), то вводить данные своей банковской карты: номер, а уж тем более пароль, - КАТЕГОРИЧЕСКИ НЕЛЬЗЯ! Ни в коем случае!

А если мы всё же их введём, то ... ... ... .

Никакие "https-ы" тут уже не помогут!  Ведь тот, кто обслуживает сайт, с которым мы безопасно соединились, отлично ВИДИТ все наши "явки-пароли". Перехват их посторонним - бесполезен. Соединение зашифровано, и у него нет ключа. А вот на сайте, с которым мы так "безопасно", защищённо соединились, их видят прекрасно! Видно всё!

И вот поэтому, для собственной безопасности всегда нужно думать своей головой:
с кем(?!) мы соединяемся, какие(?!) данные, и куда(?!) мы вводим
.

Короче говоря, - всё как всегда.

"Спасение утопающих - дело рук самих утопающих!"... ...И ничьих больше!

И чтобы никому не казалось, что упомянутая "крылатая" фраза написана ради "красного словца", приведу пример, который произошёл со мной (на момент написания этих строк) совсем недавно.
Правда, это не касается напрямую безопасности сайтов, но всё настолько тесно связано в век информационных технологий, что рассказать об этом маленьком эпизоде стоит.


Подмена телефонных номеров

На мой мобильный телефон поступил звонок с номера "900", а всем известно, что данный короткий номер закреплён за Сбербанком. С него приходят SMS-ки о любых операциях, проводимых с прикреплённой к номеру мобильного картой банка.

Естественно, что на звонок я ответил, хотя всё же было довольно странно, почему вдруг звонок(?!), а не SMS, как обычно. Очень странно!

Поэтому, отвечая на него, предпринял простейшую меру безопасности.

А какую именно меру, и от кого это был звонок на самом деле, желающие могут узнать под коллажом, специально сделанным в фотошоп по данному поводу.

Осторожно - мошенники!

Не стал здесь расписывать, что и как происходило. Страница и так очень длинная получилась, поэтому решил обещанную информацию упаковать в архив.

В архиве находится 4-ёх страничная "сборная" статья, которую я составил по материалам, взятым из нескольких абсолютно надёжных источников.

Ну а назвал статью соответственно: "Мошенники!", и основной упор в ней сделал на то, как вычислить(?!), что мы имеем дело с мошенниками.

Она в этом архиве: Мошенники!

Вовсе не случайно решил вставить подобный небольшой подраздел о подмене телефонных номеров в раздел "Иллюзия безопасности сайтов", т.к. и в данном случае речь идёт именно об иллюзии. Об иллюзии безопасности и надёжности всем известных коротких телефонных номеров.

 Нет!  Настоящие популярные короткие номера действительно безопасны и надёжны, но в том то всё и дело, что НАСТОЯЩИЕ! Только они!

И те, кто прочитал предложенную статью, уже знают, что, к сожалению, мошенники научились их подделывать.

Я быстро пробил настоящий номер звонка, о котором идёт речь в данном подразделе, а как это просто сделать(?) - рассказал в самом начале статьи.

Но здесь хочется сказать немного о другом.

Конечно, короткие номера очень удобны, но они же и "гипнотизируют" пользователя. Как?!
Да очень просто!  Увидел знакомый номер - всё!  Полное доверие!   А напрасно!

Остаётся лишь к сказанной выше "крылатой" фразе об утопающих добавить ещё одну.

"Доверяй, но проверяй!" ... ...   ВСЕГДА! И непременно!

Поскольку психологическое действие на пользователя: что известных коротких номеров, что не раз уже упомянутых различных значков "безопасности" - одинаково!

Видя их, пользователь теряет бдительность!

Ну а к чему это может привести, к каким неприятным последствиям, уверен, каждый легко может представить себе сам, без всяких пояснений.
Поэтому снова возвращаюсь к браузерам и разным значкам, появившимся в них.

* * *

Надеюсь, что понятно изложил свою мысль об иллюзии безопасности, которую создают такие значки, появившиеся в браузерах.
А дальше - выскажу предположение о причинах появления подобных "знаков отличия".


Причины появления значков "опасный/безопасный" сайт

Браузеры

Десятки лет браузеры обходились БЕЗ всякого "навешивания" значков различий на сайты, а тут вдруг - "нате вам, получите распишитесь ... ...". Что? Не ждали?!

И так все владельцы сайтов оказались перед выбором: покупать SSL-сертификат, или же получить обидный значок на свой сайт. Выбирайте!

Нет!
Безусловно, технология SSL-шифрования чрезвычайно полезна!

Такая технология позволяет создавать защищённые соединения по обычным, т.е. незащищённым каналам связи.
Именно она сделала возможным относительно безопасно получать, не выходя из дома, услуги государственных учреждений, проводить различные платежи с домашнего компьютера, покупать в интернет-магазинах, общаться в социальных сетях, в конце концов.

Короче говоря, - банкам, интернет-магазинам, сайтам госуслуг и так далее, т.е. всем, кто собирает личные данные, подобные шифрованные соединения необходимы!
 

Но такие ресурсы давно используют защищённые соединения.

А вот интересно, с чего это вдруг браузеры, т.е. их владельцы, разумеется, так уж сильно забеспокоились о защищённых соединениях с серверами сайтов? Очень интересно!

Десятки лет не беспокоились, а тут вдруг ... ... ... .

Причём, они настолько сильно забеспокоились, что стали все подряд сайты своими значками метить. И не важно, - собирает сайт личную информацию или нет, торгует ли он чем-либо или нет, т.е. необходим сайту такой "прибамбас" как сертификат или нет, - всё равно!

Деньги!

Думаю, здесь ответ лежит на поверхности.

          Деньги!

И деньги, как уже показывал на скриншоте, немалые!   Вспомнить: Стоимость SSL-сертификатов

Конечно, деньги за SSL-сертификаты браузеры напрямую НЕ получают. Их собирают центры сертификации, и чаще всего через своих партнёров - хостеров, которые являются "реселлерами" (англ. - reseller - торговый посредник) центров сертификации.

Тогда причём здесь они, т.е. браузеры?
А вот причём!

На мой взгляд, чётко прослеживается отлаженная схема бизнеса Бизнес! И только бизнес!

SSL-приманка для веб-мастеров

Браузеры - они выступают в роли активаторов продаж, помечая своими значками ВСЕ сайты, вынуждая тем самым веб-мастеров покупать для своих сайтов SSL-сертификаты.

Хостеры - предлагают и продают сертификаты, попутно предлагая свою помощь в их установке (за дополнительные деньги, конечно).

Партнёры - "рекламщики", помогающие продавать со страниц своих сайтов этот цифровой товар, пытаясь убедить начинающих веб-мастеров, что БЕЗ упомянутых сертификатов им теперь ну никак невозможно обойтись.

Центры сертификации - программисты, т.е. создатели этих самых цифровых файлов, т.е. SSL-сертификатов, и они же одновременно являются, похоже, основными сборщиками средств, которыми потом и делятся между всеми участниками бизнеса.

Хитро придумано.Очень хитро!  Деньги из воздуха!

Как потом они эти деньги делят?

Конкретных цифр я, естественно, знать не могу, т.к. никогда не принимал участие в этом хитром бизнесе с "запахом" вымогательства.  Лично мне он неприятен! Да просто - противен!

Однако, "ничто не ново под луной", и можно с полной уверенностью сказать, что делятся они в соответствии с партнёрскими договорами, где прописан процент каждого участника этого бизнеса: чем весомее его вклад - тем процент выше.

Честно говоря, с большим трудом удержался, чтобы в верхнем предложении вместо слова "участники" не написать: "подельники".Очень похоже!  Но ... ... они действуют в рамках закона.Ничего тут не поделаешь!

А вообще, схема их бизнеса мне сразу напомнила то, как зарабатывают биржи фриланса, которые за деньги раздают аккаунтам участников разные значки: мастер, эксперт, профессионал, и т.д., вне зависимости от опыта заплатившего за них.

Полюбуйтесь! Ниже показал значки, какие продают на одной из самых популярных бирж фриланса всем желающим. Точнее - не продают, а дают "в аренду", т.к. прикрепляют их к аккаунту пользователя (фрилансера) на оплаченный период времени. Кончился срок аренды (обычно 1 месяц) - плати снова.

Вот их "громкие титулы" за деньги.
'Громкие титулы' за деньги

Внешне они отличаются от значков в браузере, но по сути - всё одно и то же!

Заплатил - получай такой значок: Значок защищённого протокола HTTPS или такой: Значок проверенного защищённого протокола HTTPS (на что денег хватит), а вот если НЕ заплатил - сам виноват, тогда - "лови фашист гранату": Значок обычного протокола HTTP

А что означают такие значки, и главное - как к ним относится подавляющее большинство пользователей, уже подробно рассказал в середине страницы.   Вспомнить: Знаки в браузере

Ну а здесь я продолжу.

Ясно, что основной заработок браузеров идёт со всевозможных реклам, поэтому в том, что они имеют свою хорошую долю от продвижения этого бизнеса, сомневаться не приходится.

Не зря же в современных версиях браузеров появился программный код, позволивший им отображать тот или иной значок в зависимости от наличия/отсутствия сертификата.

Вот они и рекламируют этот бизнес своими значками, вешая их на все сайты подряд, тем самым очень хорошо продвигая его.
Настолько хорошо, что количество сайтов, установивших SSL-сертификаты, за последнее время возросло в разы!

Кстати!  Самый дешёвый и самый популярный SSL-сертификат подтверждает лишь наше право владения доменом, ПОЭТОМУ!

Получается уж очень "хитрозадо"! Это мягко говоря!
С какой стати мы должны его подтверждать дважды?!
Это УЖЕ подтверждено!

Браузер "Яндекс", к примеру, и без этого имеет подтверждение. Ведь каждый из его счётчиков - это его код на странице, который я не смог бы на неё добавить, не владея доменом. Только владелец домена может это сделать!

Так что - подобное желание браузеров получить двойное подтверждение права владения доменом от веб-мастера, полностью доказывает мои слова об их роли в этом бизнесе.  Активаторы продаж!

Внимание! Ещё достаточно много интересной информации о поведении браузеров я дал в конце подраздела о доверенных центрах сертификации.   Желающие могут смотреть сразу: Страница о непризнанном сертификате

А теперь немного о создателях этих самых сертификатов.


Центры сертификации

Так именуют себя те, кто разрабатывает упомянутые цифровые файлы, называемые "сертификатами", и кто проверяет сайты перед их выдачей. И есть возможность получить у них БЕСПЛАТНЫЙ SSL-сертификат. С чего это вдруг?! В чём подвох!?

Бесплатные SSL-сертификаты

В интернете достаточное количество ресурсов, на которых предлагают получить SSL-сертификат бесплатно.

Вот лишь несколько адресов таких ресурсов:

  • https://www.openssl.org
  • https://letsencrypt.org/ru/
  • https://zerossl.com
  • https://ru.comodo.com/
  • https://freessl.space
  • https://www.sslforfree.com

А это ссылка на страницу "Яндекс.Дзен" с подробной (пошаговой) информацией, как установить бесплатный сертификат:
https://zen.yandex.ru/media/seopulses/kak-poluchit-besplatnyi-sslsertifikat-poshagovaia-instrukciia-5d691e653f548700ad539c8d

*Prim.  Правила получения бесплатных сертификатов на sslforfree.com изменились в июле 2020 года. Более 3-ёх раз поставить сертификат бесплатно на один и тот же аккаунт - уже не получится.

Ну вот, собственно, в выделенном мелким шрифтом примечании и ответ на вопрос: "с чего это вдруг" SSL-сертификаты раздаются их создателями бесплатно.

Практика предоставления бесплатного "тестового сертификата" (как они его называют) на ограниченный срок используется повсеместно.

Поэтому, вовсе не зря к подразделу о причинах появления подобных "знаков отличия", о которых идёт речь, я сделал в фотошоп такую иллюстрацию.   Вспомнить: SSL-приманка для веб-мастеров

А ещё можно легко встретить "подводный камень" при самостоятельном выборе центра сертификации, о котором нужно обязательно знать.

Очень важно! Очень важно!

Естественно, что все разработчики центров сертификации нахваливают результаты своего творчества, говоря, что их признают 99,9% браузеров.
Насколько это соответствует действительности - следует проверять! Непременно!

Иначе, можно "вляпаться" вот в такое.

Страница о непризнанном сертификате

*Prim.   Проверить валидность сертификата
можно здесь ➠ https://www.sslshopper.com/ssl-checker.html

А на показанном скриншоте видно, что(?!) откроется вместо сайта, если браузер НЕ доверяет установленному сертификату. Жуть!
И такое, к сожалению, встречается в интернете отнюдь не редко. Почему?!

Потому, что ранее доверенные центры сертификации по разным причинам перестают быть таковыми, но продолжают продавать сертификаты.

Могу лишь предположить, что дело опять-таки в деньгах.  Видимо, слишком уж мало рекламы стали заказывать подобные центры у браузеров. Вот они и "обиделись".Жмоты!

Но это лишь, как уже сказал, - моё предположение.

Гораздо чаще такое бывает из-за другого.
Либо веб-мастер неправильно установил/настроил сертификат на сервере сайта, либо же забыл оплатить его продление. И в том и в другом случае результат будет один.

Кроме этого!
Кроме выше названных причин появления столь позорных страниц вместо открытия сайта, есть ещё одна очень частая причина.
Это попытка веб-мастеров самостоятельно создавать и подключать SSL-сертификаты.

Самоподписанные сертификаты

Так называются цифровые файлы сертификатов, созданные самостоятельно, т.е. БЕЗ участия программистов из "доверенных" центров сертификации.

Самоподписанный сертификат

Можно самому создать такой сертификат (т.е. цифровой файл), и установить его на сервер своего сайта, если есть необходимые знания, конечно.

И, что самое интересное(!), - они будут работать не хуже выданного каким-либо доверенным центром, т.е. точно так же сделают возможным устанавливать защищённые соединения с сервером сайта.

Это, кстати, признают и браузеры!

Вот что мы увидим, если кликнуть по перечёркнутому значку в поисковой строке браузера.

Сообщение технологии Protect

Я специально сделал скриншот подобного сообщения, появляющегося при клике по упомянутому значку. Его Вы видите слева.

После с помощью фотошоп выделил рамками разного цвета, что сообщает в браузере технология защиты "Protect".

Красным - чему браузер не доверяет.

Зелёным - что он видит и признаёт.

Чему он не доверяет, думаю, и так ясно, а вот о том, что он признаёт, следует сказать особо.
А признаёт он то, что соединение с сайтом защищено с помощью современных методов шифрования.

Другими словами, браузер отлично видит, что сертификат пригоден, и обеспечивает безопасное соединение.

НО!

Ни один браузер не признает такой сертификат. К сожалению!

Почему?!
А какой им доход от такого? Никакого! Вот браузеры и игнорируют самоподписанные сертификаты, хотя они, как только что показал (и выделил), работают ничуть не хуже тех, что выданы всякими-разными доверенными центрами сертификации.

Игнорируют, и, вместо открытия сайта с подобным сертификатом, они выдают страницу с предупреждением, что показал в середине подраздела.   Вспомнить: Страница о непризнанном сертификате

Внимание! Поэтому!

Считаю, что лучше уж вообще не иметь никакого сертификата, чем создавать и устанавливать самоподписанные, т.к. страница "Угроза безопасности", которую покажет браузер вместо сайта, гораздо хуже воспринимается пользователями, чем пусть и настораживающий, но всё же маленький значок в адресной строке.

А на практике самоподписанные сертификаты используют на локальных серверах (т.е. не имеющих выхода в интернет) при разработке веб-страниц и отладке скриптов, чтобы они на реальном сервере работали как полагается.

И ещё ими пользуются в корпоративных сетях с целью создания защищённых соединений между компьютерами. Так делается, чтобы тот из сотрудников, кому НЕ полагается знать какую-либо закрытую информацию, НЕ смог её узнать, и как-то ею воспользоваться.

* * *

С браузерами и центрами сертификации разобрались. А что хостеры?


Хостеры

Являясь реселлерами доверенных центров сертификации, они не отстают от браузеров, и постоянно "спамят" в личную почту веб-мастеров вот такими посланиями, стараясь подвигнуть нас к покупке сертификатов.

Фрагмент письма от хостера

Конечно, это я сгоряча написал "спамят". К почтовому спаму письма хостеров отнести нельзя, но уж очень возмущает их попытка "подмены понятий". Так, как будто бы все веб-мастера поголовно - недоумки! Очень возмущает!

И кстати!  Подобные "писульки" - это прямое нарушение "Федерального закона о рекламе" №38, а точнее - сразу нескольких пунктов статьи 5 этого закона.

В краткой выписке из него пдчеркнул эти нарушения.

  • Статья 5, пункт 1:  реклама должна быть добросовестной и достоверной.
  • Статья 5, пункт 3:  недостоверной признаётся реклама, которая содержит не соответствующие действительности сведения.
  • Статья 5, пункт 7:  не допускается реклама, в которой отсутствует часть существенной информации о рекламируемом товаре, об условиях его приобретения или использования, если при этом искажается смысл информации, и вводятся в заблуждение потребители рекламы.

К безопасности сайта их сертификаты не имеют никакого отношения!
Вспомнить: О безопасности самого сайта

Тоже кстати!  Довольно часто хостеры предлагают простейший SSL-сертификат, подтверждающий только лишь право владения доменом бесплатно, при заказе услуги хостинга сроком на целый год или её продлении на тот же период.

Подробно о сроках действия их "бесплатности" нужно читать в полном тексте условий предоставления этой услуги. Обычно он находится в разделе "Акции".

К слову сказать, скоро буду оплачивать домен и хостинг на следующий год, так вот хостер опять пришлёт своё хитрое письмецо, что "дарит" мне по этому случаю SSL-сертификат для моего сайта.

Вот он - "подарок" хостера.

Фрагмент дарственного письма хостера

Отнюдь не случайно слово "подарок" пишу в кавычках, и называю письмо от хостера "хитрым".  SSL-сертификат он дарит.  Ага! Щедрый такой "подарок" ... ... . Дарят они. Добрые какие!

Только то, что потом его придётся постоянно платно продлевать, об этом конечно скромно умалчивается. Стесняется сказать!

Да и даётся-то сертификат НЕ на целый год, а на непродолжительный отрезок времени. На несколько месяцев. Чтобы "подсадить" веб-мастера с его сайтом на "SSL-крючок".

Вполне обоснованно полагаю, что так же поступают и другие компании, предоставляющие хостинг для сайтов.

Как тут не вспомнить древнюю мудрость: "Бойтесь данайцев, дары приносящих!".

Да и вообще!!!
С какой стати своё право владения доменом нужно подтверждать дважды?! С какой стати?!

Всё и так давным-давно подтверждено! При регистрации домена

Ведь регистрация домена (моего, по крайней мере) производилась в офисе хостера с предъявлением основного личного документа - паспорта.

А ещё возмущает, что всё это преподносится как "забота о клиентах", т.е. о веб-мастерах, выбравших их для размещения своих сайтов.

О собственном кошельке у них забота! Только деньги!

Ведь простым информационным сайтам, не собирающим ничьих личных данных, не имеющим баз, личных кабинетов и прочего, на которых нигде не нужно регистрироваться, какие-то там "прибамбасы" в виде сертификатов - не нужны!   Однако, ... ... ... мало ли, кому и что не нужно! Мало ли что!...

Зато хостерам-то деньги всегда нужны!

Считаю, что и с этими участниками хитрого бизнеса всё понятно. Реселлеры! Осталась последняя группа, принимающая в нём участие.


Партнёры

По большому-то счёту, обе названные выше группы участников этого бизнеса: браузеры и хостеры - тоже являются партнёрами центров сертификации, и они самые влиятельные и эффективные (особенно браузеры!). Но с ними мы уже разобрались, ну а здесь хочу немного сказать о других. Называю их: "группа поддержки". Очень похоже!

Партнёры центров сертификации

Это веб-мастера, заключившие партнёрские договора с кем-то из групп "сильных мира сего" в надежде получить и свою "долю малую" от этого бизнеса.

Влияние их, конечно, невелико, т.к. реальной возможности как-то воздействовать на начинающих веб-мастеров у них нет, зато их КОЛИЧЕСТВО!!! ... ... ... Огромно!!!

Так, по запросу: "Нужен ли сайту SSL-сертификат?", - выдаётся аж 21 миллион результатов! Пересмотреть их все, сами понимаете, невозможно. Да это и не нужно, поскольку, просмотрев с десяток страниц, обнаружил, что на них самыми первыми показываются всё те же хостеры, которые дают свои рекламные объявления, что вполне естественно. Кто же из них отойдёт от "золотой кормушки"?! ... ...Дураков нет!

Понятно, что все они говорят приблизительно одно и то же (с небольшими вариациями) о том, как это важно и нужно приобрести у них SSL-сертификат.

А вот с партнёрами-одиночками нужно разбираться, т.е. тщательно фильтровать то, о чём они пишут у себя на сайтах.

Встретив подобные заявления, лучше сразу уходить с таких сайтов.

Партнёрская горе-реклама

На таких сайтах (в надежде, что Вы перейдёте по данным ими ссылкам, и закажите сертификат) будут нести откровенную чушь вперемешку с действительностью. Мешанина!

Вот. Полюбуйтесь на "перлы творчества" одного из таких мастеров-недоучек, повесивших у себя на сайте показанную выше рекламу.
*Prim.  Свои комментарии к его "творчеству" (выделил его чёрным и жирным) дал после своих оценок: "правда" или "чушь".

Что даёт SSL-сертификат:

  • Доверие посетителей сайта   ◀ правда.  Да! Правда, как и то, что мошенники уже давным-давно используют эту доверчивость в своих целях ... ... .  Вспомнить: Предупреждение о безопасном соединении!

  • Большие плюсы от поисковых систем в ранжировании сайта   ◀ чушь.  Наличие сертификата даст ему 1% из 100% в поисковой выдаче Google, к примеру. Только лишь оригинальный, качественный контент был, есть и будет главным для поисковых систем. А иначе - поисковики "сами себя высекут", т.е. пользователи уйдут от них.

  • Защищённое соединение с сайтом   ◀ правда.  Для этого сертификаты и существуют.

  • Сайт становится более защищённым от взлома   ◀ полная чушь!  Никакой вообще сертификат - даже самый-самый зелёный (и дорогой) не может обезопасить сам сайт от взлома, вирусов или DDoS-атак. Бороться с этим нужно совершенно другими методами. Сертификаты для этого НЕ предназначены. Они отвечают только за шифрование, т.е. за защиту передаваемых данных между браузером пользователя и сервером сайта.

Я специально привёл пример столь непрофессиональной, неграмотной рекламы, данной на сайте одним из партнёров центров сертификации.

Чтобы Вы не тратили понапрасну своё время.

Цель у таких партнёришек одна - убедить посетителя кликать по их ссылкам на ресурсы центров. Ссылок же они обычно дают много, т.е. не на один доверенный центр, а сразу на несколько - в надежде, что хоть по одной да кликнут, и тогда им "капнет" их рекламная копеечка. С мира по нитке...
Рекламодатели за 1000 кликов по рекламным ссылкам платят какие-то копейки.

Ну а уж если кто-нибудь перейдёт, и купит SSL-сертификат, тогда их главная партнёрская цель - получить свои партнёрские комиссионные - достигнута!Ура! Получилось!

Короче говоря, главная цель подобных партнёришек, - "срубить бабла".  И ничего более!
Одним словом, с такими партнёрами всё ясно.

Мне одно лишь не понятно.Почему!
Почему(?!) серьёзные доверенные удостоверяющие центры, разрабатывающие и проверяющие сертификаты, принимают к себе в партнёры столь неподготовленных, безграмотных веб-мастеров?
Ведь, по моему мнению, наличие подобных партнёров напрямую сказывается на доверии к самому центру в целом. Ну ... ... ..., видимо, хотят побольше ссылок на свой ресурс, совершенно не заботясь о том, откуда они идут, и что на ссылающемся сайте пишут о сертификатах. А если чего и проверяют, то как-то уж не очень тщательно.

Впрочем, это их дело, разумеется.

Тем не менее, всё же поинтересовался, что нужно, чтобы стать партнёром одного известного доверенного центра сертификации. Интересно знать!

Оказалось - любой веб-мастер, имеющий сайт, может им стать.

Для этого достаточно всего-лишь заполнить и отослать простенькую он-лайн форму.  Вот такую, как на сохранённом скриншоте.

Смотреть: Заявка на партнёрство

Подобная неразборчивость в партнёрах и приводит к тому, что встречаются недобросовестные рекламы, пример которой показал выше.

Однако!

Среди веб-мастеров существует и много других, нормальных партнёров, которые грамотно объяснят: кому, что и зачем нужно, а не будут "наводить тень на плетень".

Именно по материалам таких людей я и составил коротенькую книгу: "Что такое, и нужен ли сайту протокол HTTPS". Её можно взять на этой же странице.

Скачать книгу: Что такое, и нужен ли сайту протокол HTTPS


Вот, собственно, и всё, что хотел сказать о причинах появления в браузерах значков "опасный/безопасный" сайт, что это такое на самом деле, и почему на моём сайте отображается неприятный символ красного треугольника с восклицательным знаком.


Заключение

Тщательно разобравшись с протоколами соединений, становится понятно, что возможность установить защищённое соединение, т.е., чтобы сайт открывался по протоколу https, дело вообще-то полезное и нужное, НО(!) отнюдь не для всех сайтов.

В заключении хочу сказать, что для своего сайта я выбрал.  У него не было, нет, и не будет никаких лишних "сертификатов", даже если это станет обязательным!

Короче говоря, своё отношение к любителям "денег из воздуха"
показал на нижнем рисунке.

Накось, выкуси...

Платить в несколько раз больше, чем я сейчас плачу за продление регистрации и хостинг своего сайта, а главное - за абсолютно НЕ НУЖНЫЙ ему "прибамбас" (сертификат), - не имею ни малейшего желания! Не хочу и не буду!

В крайнем случае, откажусь от услуг хостера, и мой сайт исчезнет из интернета. В конце концов, у меня всё-всё сделанное хранится на нескольких съёмных носителях тоже, да и локальным сервером пользоваться умею хорошо. Учиться можно и на нём. Вполне!

Старатель Интернета

Конечно, тогда никто не сможет воспользоваться моими многолетними наработками, созданными во время изучения и тренировок по различным веб-технологиям, но ... ... ... .Ничего не поделаешь!...

Но покупать не нужные простому сайту "хттпэсы", и "кормить" господ, жаждущих наживы, не хочу и не буду.

Да и "кормить" их бестолку. Они никогда не нажрутся! Никогда!!!

У жадности предела НЕТ!   Ещё какое-нибудь "вымогалово" придумают.

Внимание! Да!! Чуть не забыл. Очень интересный факт! Чрезвычайно интересный!

В заключении страницы о безопасности обязательно нужно сказать об одном факте, касающемся разных сертификатов, который Вам будет интересен(!), и поможет в принятии того или иного решения относительно собственных сайтов.

Честно говоря, как-то совсем забыл рассказать о нём.Каюсь!...

Я делал скриншот сайта ФСБ России (Федеральная Служба Безопасности), так вот, признаюсь, был немало удивлён, что столь серьёзная организация свой ресурс содержит на обычном протоколе "http".
Ну ... ... по крайней мере, по состоянию на 15.05.2022 (ещё раз проверил) это было так.

Вот адрес их ресурса - http://www.fsb.ru
Для перехода и проверки - скопируйте его в адресную строку браузера.

Федеральная Служба Безопасности

*Prim.  На скриншоте я лишь с помощью фотошоп перенёс к остальным телефонам мобильный телефон для SMS-сообщений (на реальном сайте он виден гораздо ниже).

Короче, из приведённого выше примера можно сделать вполне определённый вывод, что с обычными протоколами соединений (без всяких сертификатов) далеко не так уж всё "печально", как это пытаются представить все заинтересованные в их продаже.Отнюдь не печально!

* * *

На этом, считаю, страницу о безопасности сайта можно заканчивать. Сказал всё что хотел, а там уж каждый решает сам: "быть или не быть" сертификату на его сайте.


ВВЕРХ

Все права защищены. Copyright © 2009 - Коротеев Владимир.

Protected by Copyscape Duplicate Content Check
Яндекс.Метрика
Рейтинг@Mail.ru