Recommended Posts

Вопрос наверное больше в курилку, однако из-за технических особенностей решил написать сюда.

 

Сайты агентств недвижимости в последнее время становятся все более комплексными, зачастую собирают и хранят персональную информацию, которую необходимо защищать, в свете закона о защите персональных данных. К тому-же на форуме уже поднимался вопрос в какой форме предпочтительнее вести риэлтерский бизнес - в качестве ООО или ИП (к кому больше доверия?).

В современном мире, для клиента, агентство недвижимости начинается с сайта и вопрос доверия к этому агентству уже начинается с захода на сайт агентства, впечатлений от его посещения, юзабилити, богатства выбора, сервиса и прочих сопутствующих моментов, включая и защищенность информации (хотя о себе доверяют в основном имя и телефон), отсутствие спама, не говоря о вирусах, троянах и прочей усложняющей жизнь  обоих сторон дряни.

 

Частично решить этот вопрос нам обещает SSL-сертификация сайта. Вот например, что пишет нам по этому поводу REG.ru:

 

Создание сертификата SSL

 

Для того чтобы стать обладателем SSL-сертификата достаточно выбрать наиболее подходящий для Вас, указать доменное имя, для которого он будет установлен, и следуя инструкциям автоматической системы заказа осуществить покупку.

Компания REG.RU предлагает своим клиентам самые популярные SSL-сертификаты от ведущих компаний мира, таких как Symantec (VeriSign), GeoTrust, Thawte, Comodo и TrustWave. Только у нас можно подобрать и приобрести именно такой, который будет идеально подходить для Вашего бизнеса: простой, средний уровень, мультидоменный, EV с расширенной проверкой и другие. Почти для всех из них доступна цифровая или электронная «Печать доверия», которая динамически отображает информацию о надёжности и защищённости Вашего сайта.

 

Что такое SSL-сертификат?

 

SSL-сертификат — это цифровое удостоверение Вашего сайта, которое подтверждает то, что обмен данными между сайтом и Вашим компьютером производится по доверенному защищённому каналу. Защита сайта с помощью SSL позволяет шифровать всю информацию, передаваемую между сайтом и клиентскими программами.

Важнейшим преимуществом является то, что они подтверждают не только технологическую безопасность сайта с которым работает пользователь, но и гарантируют юридическую чистоту. При его выдаче удостоверяющий центр проверяет право администрирования доменным именем, юридические регистрационные документы, работу офиса, контактные телефоны компании. Проведение подобной комплексной аттестации позволяет гарантировать пользователю, что компания, которая обладает данным SSL, работает легально и не является сайтом-однодневкой.

SSL-сертификат позволяет пользователю просматривать следующую подтверждённую удостоверяющим центром информацию:

  • доменное имя, на которое оформлен сертификат
  • юридическое лицо — владелец сайта
  • физическое местонахождение (город, страна)
  • срок действия
  • реквизиты компании-поставщика сертификатa

 

Отсюда вопрос к гуру сайтостроения: насколько это практично, улучшит рейтинг сайта и как следствие агентства в глазах посетителей, улучшит защищенность информации на сайте да и вообще - надо-ли оно нам?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дело в том что сертификат нужен для защиты информации большого объема, таких как личные данные, номера счетов, кошельков. и если будет только база по не движимости то смысла нету ставить. так как можно и [хешем и инъекцией воспользоваться, о чем Мы с Дмитрием говорили пару-тройку месяцев назад). По этому к данному роду сайтов это будет лишнее. Но на все воля ваша.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Могу сказать по себе - когда я захожу на хостинг в панель управления какого-нибудь хостинга и вижу дурацкое сообщение "этот сертификат не является доверенным, нажмите продолжить" то возникает некое чувство наколеночников (как у нас :)

Я сейчас планирую на хостинг CMS Sitebill поставить сертификат настоящий, чтобы зелененькая строка браузера была.

По больше части это имидж, а уже после реальная защита.

Но если уже большая база клиентов (телефоны, email, адреса, а может и паспортные данные) то уже по-любому надо настоящий зеленый сертификат. 

Представляете - заходите вы в личный кабинет свой в банке, а вам сообщение "этот сертификат не действительный"! Да я бы сразу оттуда убежал и не стал бы пользоваться услугами этого банка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто ко мне на сайт все чаще стали заходить иностранцы и как я понял, у них нормальное явление на сайт прицепить сертификат того-же Траста, что якобы подтверждает серьезность конторы, что это не однодневка и т.п. Тут ко мне недавно партнеры из Европы и Турции приезжали и вопрос доверия для них пожалуй стоит во главе угла при договоренностях, поскольку они предварительно знакомятся с сайтом, изучают отзывы и уже потом решают вопрос о встрече и договоренностях. Отсюда и вопросы по сертификату, думаю 2-3 тыс. за год не великие деньги, ради которых стоит ломать копья, проще поставить сертификат и дать понять, что тут пацаны серьезные! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто ко мне на сайт все чаще стали заходить иностранцы и как я понял, у них нормальное явление на сайт прицепить сертификат того-же Траста, что якобы подтверждает серьезность конторы, что это не однодневка и т.п. Тут ко мне недавно партнеры из Европы и Турции приезжали и вопрос доверия для них пожалуй стоит во главе угла при договоренностях, поскольку они предварительно знакомятся с сайтом, изучают отзывы и уже потом решают вопрос о встрече и договоренностях. Отсюда и вопросы по сертификату, думаю 2-3 тыс. за год не великие деньги, ради которых стоит ломать копья, проще поставить сертификат и дать понять, что тут пацаны серьезные!  :)

Тогда без сомнений нужен сертификат.

Я уже давно преодолел безумный барьер российского менталитета, когда платить за всякие электронные штуки немыслимо.

Это инвестиции в свой имидж.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это сильно влияет на продвижении сайта? в поисковых системах? или?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
9 минут назад, NikL сказал:

это сильно влияет на продвижении сайта? в поисковых системах? или?

Поисковики к этому относятся доброжелательнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 20.07.2013 в 20:24, Chernetskiy сказал:

Просто ко мне на сайт все чаще стали заходить иностранцы и как я понял, у них нормальное явление на сайт прицепить сертификат того-же Траста, что якобы подтверждает серьезность конторы, что это не однодневка и т.п. Тут ко мне недавно партнеры из Европы и Турции приезжали и вопрос доверия для них пожалуй стоит во главе угла при договоренностях, поскольку они предварительно знакомятся с сайтом, изучают отзывы и уже потом решают вопрос о встрече и договоренностях. Отсюда и вопросы по сертификату, думаю 2-3 тыс. за год не великие деньги, ради которых стоит ломать копья, проще поставить сертификат и дать понять, что тут пацаны серьезные! :)

можно и за 300 рублей взять этот сертификат))));)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как же бесплатный сертификат let's encrypt? Поставил себе, за 3 месяца никаких проблем с ним не заметил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
6 часов назад, Johnny Bravo сказал:

А как же бесплатный сертификат let's encrypt? Поставил себе, за 3 месяца никаких проблем с ним не заметил.

Я предпочитаю за 990 р. купить на 3 года и не париться

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тем, кому нужны сертификаты безопасности. 

По прежнему выгодно покупать сертификат Comodo Positive SSL за 990 р. на 3 года - здесь

Любители халявы и мышиной возни могут бесплатно получить Comodo Free SSL сертификат на 3 месяца у них на сайте

А еще, до 15 января 2018 г. в reg.ru можно купить SSL сертификат организации (с зеленой строкой названия организации в браузере) по цене 155 руб. Выбираем  у них OrganizationSSL, заказываем, в заказе вводим промокод REGRU3-NY-2018 и сумма пересчитывается с 4499 на 155 руб. В заказе сертификата необходимо английскими буквами и достоверно заполнить данные о себе и своей организации/ИП, поскольку будут проверять! При несовпадении данных заказ обломится.

Этот промокод распростаняется на покупку домена в зоне .ru за 155 руб. и дает скидку 30% на заказ виртуального хостинга до 3 месяцев по любому тарифу!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 05.04.2017 в 17:08, Johnny Bravo сказал:

А как же бесплатный сертификат let's encrypt? Поставил себе, за 3 месяца никаких проблем с ним не заметил.

Плюсую, на своих ставлю его, бесплатен. Из серии поставил.и.забыл 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 часов назад, metrpro сказал:

Плюсую, на своих ставлю его, бесплатен. Из серии поставил.и.забыл 

Где-то натыкался на информацию, что основные браузеры становятся уже не столь лояльными к халявным сертификатам типа Let's encrypt, Symantec Secure Site Starter и подобных. Их вроде собираются поставить в один ряд с самоподписанными, т.е. что он есть, что его нет.

Все пошло от того, что выдача бесплатных сертификатов происходит без должной проверки владения доменом и прочих моментов. У Symantec с его стартовыми сертификатами вообще возникли проблемы, когда они постороннему лицу выдали сертификат на google.com :) Дело вроде дошло до запрета на 1 год на выдачу сертификатов сроком более 90 дней. 

Сертификаты Let's Encrypt подходят для защиты веб-сайтов, но его не получится использовать для подписи кода и шифрования email. В сертификате реализована только проверка домена (DV, domain validation). Также у этого сертификата есть ограничения, сертификаты Let's Encrypt не поддерживают доменные имена с использованием символов национальных алфавитов, т.е. такой сертификат не получится использовать для кириллических доменов тип мойдомен.рф. Осутствует поддержка проверок OV и EV. В силу своей простоты сертификат Let's Encrypt выпускается и активируется в течение нескольких минут. Для выпуска сертификата достаточно что бы домен для которого он выпускается, был делегирован.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
10 часов назад, metrpro сказал:

Плюсую, на своих ставлю его, бесплатен. Из серии поставил.и.забыл 

Если подключаться к платежным системам, то они уже требуют платных сертификатов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 20.07.2013 в 08:11, rumantic сказал:

Могу сказать по себе - когда я захожу на хостинг в панель управления какого-нибудь хостинга и вижу дурацкое сообщение "этот сертификат не является доверенным, нажмите продолжить" то возникает некое чувство наколеночников (как у нас :)

Я сейчас планирую на хостинг CMS Sitebill поставить сертификат настоящий, чтобы зелененькая строка браузера была.

По больше части это имидж, а уже после реальная защита.

Но если уже большая база клиентов (телефоны, email, адреса, а может и паспортные данные) то уже по-любому надо настоящий зеленый сертификат. 

Представляете - заходите вы в личный кабинет свой в банке, а вам сообщение "этот сертификат не действительный"! Да я бы сразу оттуда убежал и не стал бы пользоваться услугами этого банка.

Дмитрий получается кто на аренде -уже установлен сертификат и его ставить отдельно не нужно ? Помнится в цепанель появилась какая то запись

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 1/14/2018 в 05:38, doma сказал:

Дмитрий получается кто на аренде -уже установлен сертификат и его ставить отдельно не нужно ? Помнится в цепанель появилась какая то запись

Да, есть бесплатный авто-сертификат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Похожие публикации

    • Автор: Chernetskiy
      Сегодня Wordfence (система безопасности сайтов на Wordpress) распространила информацию о проблемах безопасности у пользователей облачного сервиса Clousflare. Отмечается, что на протяжении последних 5 месяцев у пользователей сервиса происходили утечки персональных данных, куки, реквизитов доступа, ключей аутентификации и сведений сертификатов безопасности, в т.ч. с сайтов, работающих по защищенному протоколу и имеющих сертификаты безопасности. Утечки коснулись все сайты и их посетители, работающие через Cloudflare. Посетители сайтов могли видеть информацию других сайтов, адресованную другим пользователям, а так-же смешанные данные - ответы сервера со своими данными + чужими данными.
      Полный текст отчета здесь.
      Владельцам сайтов на Wordpress рекомендуется сменить соли (ключи безопасности) в файле wp-config.php.
      Относительно ситуации с CMS Sitebill, если у кого-то сайт работает через Cloudflare, наверняка могли утечь сведения файла /inc/db.inc.php, содержащего сведения доступа с базе SQL. Наверное не лишним будет перестраховаться и сменить пароль доступа к базе с внесением изменений в указанном файле. Ну и попутно, предложить пользователям сайта сменить свои пароли.
      Относительно сертификата безопасности сайта, можно заявить его как скомпрометированный и обновить сертификат.
      Рекомендуется так-же очистить куки, кэши, сессии и т.п. (CCleaner поможет)
      Утечки специалистами Cloudflare и Google отмечались еще на 18 февраля 2017 г.
       
    • Автор: Chernetskiy
      Поводом для статьи послужил привет от Гугла о том, что с 2017 года поисковик начнет отдавать приоритет сайтам, работающим через защищенный протокол https (соответственно имеющий сертификат безопасности), сайты не перешедшие на https будут понижены в поисковой выдаче а посетителю сайта, при его открытии в браузере будет показываться прискорбное сообщение типа:
      ВАШЕ СОЕДИНЕНИЕ НЕ ЗАЩИЩЕНО!
      Злоумышленники могут пытаться похитить ваши данные с сайта
      (например пароли, сообщения или номера банковских карт!)
      Всё это не на пользу сайту как в плане поисковой выдачи, так и в плане доверия посетителей к информации, размещенной на сайте.
      Инструкция по переезду на HTTPS
      Для начала следует купить и установить на хостинг сертификат безопасности, активировать при этом на хостинге протокол SSL (в настройках домена) и подключить сертификат к домену. Самоподписанный сертификат не подойдет, поскольку его безопасность никто не подтвердит. В нашем случае подойдет любой, самый дешевый сертификат безопасности, которые предлагает практически любой хостинг-провайдер в ассортименте. Цена сертификата варьируется от бесплатно на год при регистрации хостинга, например на reg.ru, или при отдельной покупке - от 1350 р. до 2700 р. в год. Установка происходит автоматически или ручками - по этому поводу у каждого хостинг провайдера есть понятный help, да и их поддержка сделает это быстро, по ваше просьбе.
      PS: Можно приобрести сертификат и на стороне, причем дешевле, о чем несколькими постами ниже...
      Далее, пошагово:
      Смиряемся с тем, что на некоторое время сайт просядет в поисковой выдаче, но из двух зол выбираем меньшее. Сомневаюсь, что кому-то срочно понадобится купить апараменты в Новый год.   Для начала никаких редиректов с http не настраиваем. В Админке CMS переходим в Настройки-Общее и в позиции Работать через https (work_on_https) ставим 1 и сохраняем. Открываем файл robots.txt и прописываем директиву host с протоколом https  User-Agent: * Disallow: /admin ... Disallow: /ipotekaorder/ Host: https://you-site.ru Sitemap: https://you-site.ru/sitemap.xml Внимание! директива Host: прописывается сразу под последней строкой, не должно быть между ними пустой строки.
      Далее переходим в Яндекс.Вебмастер с подтвержденными правами на сайт. Если такого нет, то подтверждаем права (следуя инструкции сервиса). Далее переходим в раздел Настройка индексирования – Переезд сайта. И выставляем чекбокс (галочку) напротив «Добавить HTTPS», после этого нажимаем «Сохранить». После этого ждем пока изменения вступят в силу. Как правило, этот срок составляет 2 недели (до Нового года успеваем!). Настраиваем 301 редирект со страниц http на https, при этом избегайте цепочек переадресации. Меняем все ссылки, имеющиеся в коде сайта, на https или делаем их относительными (про картинки тоже не забываем). Смотрим, чтобы в карте сайта .xml присутствовал только протокол https. Добавляем карту в Вебмастер.Яндекса. Добавляем все версии сайта в Google Search Console. Переходим в настройки сайта и выбираем Основной домен (если этого не было сделано раньше). Переносим все настройки (если такие имелись) с версии сайта http на https. Инструмент изменения адресов не используем. Сразу после переноса сайта стараемся обновить все входящие ссылки, в том числе: внешние ссылки, ссылки на профили - например в Google+, Facebook, Twitter, Vk и т.д. И не забываем обновить ссылки карт Гугл и т.п. с протокола http на https (ковыряемся в коде). В результате танцев с бубном, при открытии любой страницы сайта, ссылка страницы в адресной строке браузера должна начинаться с https, а рядом со ссылкой располагаться зеленый замок и надпись Надежный (в Хроме). Если https перечеркнут - ищите недоработки, ваше соединение не защищено, возможно неправильно установлен сертификат (например со старым алгоритмом шифрования SHA-1, надо переустановить с SHA-2 или попросить поддержку сделать это). Если вместо замочка показывается восклицательный знак, значит передается смешанный контент - по протоколам https и http, обычно это старые ссылки, ссылки на переходах с картинок или пунктов меню (если ссылки прямые), загрузка картинок производится с сервера по старому адресу с http и т.п. При клике на восклицательный знак в ссылке обычно сообщается, какая ссылка не безопасна, переходим в админку или в нужные шаблоны и правим их.
       
      Совет: Если что-то не получается, стучимся к Диме  
    • Автор: kmavega
      Добрый день!
       
      Установил SSL-сертификат на домен. При входе на сайт https://domkma.ru стали некорректно отображаться шрифты google. 
      Поменял http://fonts.googleapis.com/css?family=...... на //fonts.googleapis.com/css?family=.......(то есть убрал протокол)
      Шрифты стали отображаться нормально. o`k
       
      Захожу в инструменты разработчика и вижу ещё кучу ошибок, связанных с google. Причем часть из них находится в файле /apps/system/js/jquery/lquery.js
      Как то не хочется лезть в системные файлы и править их. Как быть?