SSL-сертификат (Secure Sockets Layer, сейчас технически — TLS) обеспечивает шифрование данных между браузером пользователя и сервером сайта. Без него данные, введённые в формы (логин, пароль, номер карты, персональные данные), передаются в открытом виде и могут быть перехвачены. Это не только угроза безопасности, но и нарушение 152-ФЗ.
Требование 152-ФЗ об HTTPS
Статья 19 152-ФЗ обязывает операторов применять технические меры для защиты персональных данных от несанкционированного доступа, копирования, уничтожения. Передача данных через незащищённое соединение HTTP — нарушение этого требования. Приказ ФСТЭК № 21 конкретизирует технические меры: для информационных систем 3 и 4 уровней защищённости (наиболее распространённых для коммерческих сайтов) использование TLS для защиты передаваемых данных обязательно.
Типы SSL-сертификатов
По уровню проверки
| Тип | Проверка | Подходит для | Стоимость |
|---|---|---|---|
| DV (Domain Validation) | Только домен | Личные сайты, блоги | Бесплатно (Let's Encrypt) |
| OV (Organization Validation) | Домен + организация | Коммерческие сайты | 5 000–20 000 руб./год |
| EV (Extended Validation) | Расширенная проверка | Банки, крупный e-commerce | 20 000–50 000 руб./год |
По охвату доменов
- Single-domain — для одного домена (example.ru).
- Wildcard — для домена и всех поддоменов (*.example.ru).
- Multi-domain (SAN) — для нескольких разных доменов.
Let's Encrypt: бесплатный SSL
Let's Encrypt выдаёт бесплатные DV-сертификаты с автоматическим продлением каждые 90 дней. Подходит для большинства коммерческих сайтов. Поддерживается большинством российских хостингов:
- Beget: через панель управления, одна кнопка;
- Timeweb: автоматически при настройке хостинга;
- REG.RU: через ISP Manager.
Российские SSL-сертификаты
С 2022 года в связи с уходом ряда зарубежных центров сертификации появились российские альтернативы: Национальный удостоверяющий центр (НУЦ) Минцифры. НУЦ-сертификаты не входят в стандартные цепочки доверия зарубежных браузеров, поэтому применяются преимущественно для государственных ресурсов и внутрикорпоративных систем.
Установка SSL на основных CMS
WordPress
- Получите сертификат на хостинге (или через certbot для VPS).
- В настройках WordPress измените URL сайта с http:// на https://.
- Установите редирект 301 в .htaccess.
- Проверьте смешанный контент (mixed content) — все ресурсы должны загружаться по HTTPS.
Важно: После установки SSL проверьте, что нет «смешанного контента»: изображения, скрипты или стили, загружаемые по HTTP, вызывают предупреждения в браузере и снижают уровень защиты. Инструмент для проверки: WhyNoPadlock.com.
Связанные статьи
О технической безопасности в контексте 152-ФЗ — HTTPS и безопасность данных: техническая реализация. О переносе сайта на российский хостинг — Как перенести сайт на российский хостинг.
Итог
SSL-сертификат — базовая мера защиты данных и обязательное условие соответствия 152-ФЗ. Проверьте, правильно ли настроен HTTPS на вашем сайте, с помощью аудита на help152.ru.