SSL та захист веб-сайту: Комплексний захист 🔐

Ваш веб-сайт захищений заходами безпеки підприємницького рівня. Від SSL-сертифікатів, які шифрують усі дані, до розширеного захисту від атак, ми забезпечуємо, що ваш веб-сайт та ваші клієнти в безпеці.

SSL-сертифікати

Що таке SSL

SSL (Secure Sockets Layer) — це протокол безпеки, який шифрує спілкування між вашим веб-сайтом та браузерами відвідувачів.

🔐 Як працює SSL:

Без SSL:
Браузер → (Нешифровані дані) → Сервер
Дані можуть бути перехоплені, прочитані або змінені

З SSL:
Браузер → (Зашифровані дані) → Сервер
Дані зашифровані, не можуть бути прочитані без ключа дешифрування

Візуальні індикатори

Відвідувачі можуть побачити, що ваш сайт захищений:

🔍 Індикатори безпеки:
📌 Рядок адреси браузера:
✅ Префікс "https://" (не "http://")
✅ Іконка замка (🔒)
✅ Назва компанії показана (для EV-сертифікатів)
✅ Зелений колір індикатор (в деяких браузерах)

⚠️ Якщо сайт не захищений:
❌ Попередження "Не захищено"
❌ Відкритий замок або червоне попередження
❌ Префікс "http://"

Типи сертифікатів, які ми надаємо

Різні рівні сертифікатів для різних потреб:

Валідація домену (DV)

📋 DV-сертифікат:
✅ Включено до: Всі пакети
✅ Покриття: Один домен
✅ Валідація: Тільки власність домену
✅ Випуск: За хвилини
✅ Найкраще для: Внутрішні інструменти, тестування
✅ Довіра браузерів: Всі основні браузери

Валідація організації (OV)

📋 OV-сертифікат:
✅ Включено до: Бізнес, VIP пакети
✅ Покриття: Домен + www
✅ Валідація: Домен + організація
✅ Випуск: 1-3 дні
✅ Найкраще для: Електронна комерція, бізнес-сайти
✅ Довіра браузерів: Вища за DV

Розширена валідація (EV)

📋 EV-сертифікат:
✅ Включено до: VIP-пакет (або як додаток)
✅ Покриття: Домен + www
✅ Валідація: Розширена перевірка організації
✅ Випуск: 3-7 днів
✅ Найкраще для: Фінансові послуги, висока довіра потрібна
✅ Довіра браузерів: Максимальна, показує назву компанії

Wildcard-сертифікати

Для кількох субдоменів:

🌐 Wildcard-сертифікат:
✅ Покриття: *.вашдомен.com
✅ Охоплює: вашдомен.com, www.вашдомен.com,
           app.вашдомен.com, api.вашдомен.com тощо
✅ Включено до: Бізнес, VIP (як доплата для Start)
✅ Зручність: Один сертифікат для всіх субдоменів
✅ Ефективно за ціною: Дешевше, ніж кілька сертифікатів

Web Application Firewall (WAF)

Що таке WAF

WAF захищає ваш веб-сайт від поширених атак:

🛡️ Захист WAF:

Що блокує:
❌ Атаки SQL-ін'єкції
❌ Міжсайтовий скриптинг (XSS)
❌ Підробка міжсайтових запитів (CSRF)
❌ Завантаження шкідливих файлів
❌ Перебір паролів (brute force)
❌ DDoS-атаки (патерни)
❌ Шкідливі боти та скрапери

Як це працює:
1. Інспектує весь вхідний трафік
2. Порівнює з відомими патернами атак
3. Блокує шкідливі запити
4. Дозволяє легітимний трафік
5. Логує та повідомляє про інциденти

Кастомні правила WAF

Ми можемо налаштувати захист для ваших потреб:

Стандартні правила

📋 Стандартні правила WAF:
✅ Захист OWASP Top 10
✅ Загальні патерни атак
✅ Обмеження швидості
✅ Чорний список IP-адрес
✅ Можливість блокування географії

Кастомні правила

🔧 Кастомні правила WAF:
• Білий список конкретних IP (ваш офіс, партнери)
• Блокування конкретних країн за потреби
• Кастомні ліміти на ендпоінт
• Спеціальний захист для адміністративних зон
• Інтеграція з вашими інструментами безпеки

DDoS-захист

Що таке DDoS

DDoS (Distributed Denial of Service) атаки затоплюють ваш веб-сайт трафіком, щоб зробити його недоступним.

Шарі захисту

Ми надаємо багатошаровий DDoS-захист:

🌊 Шари DDoS-захисту:

Шар 1: Захист мережі
• Фільтрація на краї мережі
• Блокування масових атак
• Поглинання масивних потоків трафіку
• Потужність: 1Tbps+ захищено

Шар 2: Захист додатків
• Інспекція атак на рівні додатків
• Блокування протокольних атак
• Валідація патернів трафіку
• Захист від складних атак

Шар 3: CDN-розподіл
• Трафік розподілений глобально
• Оригінальний сервер захищений
• Автоматичний аварійний перехід
• Підтримка доступності під час атаки

Шар 4: Сервіс пом'якування
• Активне пом'якування атак
• Аналіз трафіку в реальному часі
• Чистка легітимного трафіку
• Легітимний трафік відновлено

Реагування на атаку

Що відбувається під час DDoS-атаки:

🚨 Реагування на атаку:

Виявлення:
• Автоматичне виявлення за секунди
• Аналіз трафіку розпочато
• Тип атаки ідентифіковано
• Захист активовано

Пом'якування:
• Шкідливий трафік відфільтровано
• Легітимний трафік дозволено
• Навантаження на оригінальний сервер зменшено
• Веб-сайт залишається доступним

Моніторинг:
• Моніторинг атаки 24/7
• Коригування захисту за потреби
• Післяатаків аналіз
• Покращення захисту впроваджені

Безпека контенту

Фільтрація та сканування контенту

Ми захищаємо контент вашого веб-сайту:

Сканування на шкідливе ПЗ

🦠 Захист від шкідливого ПЗ:

Регулярні скани:
• Щоденні автоматичні скани
• Моніторинг змін коду
• Перевірка цілісності файлів
• Перевірка нових завантажень

Покриття сканування:
• Виявлення шкідливого коду
• Виявлення бекдорів
• Виявлення підозрілих файлів
• Перевірка на вразливості

Політика безпеки контенту (CSP)

📜 Політика безпеки контенту:

Що контролює CSP:
• Скрипти дозволені тільки з довірених джерел
• Запобігає міжсайтовому скриптингу
• Контролює завантаження ресурсів
• Зменшує площину атаки

Імплементація:
• Кастомні CSP-заголовки
• Режим звітування для тестування
• Звіти про порушення браузером
• Оптимізація політики з часом

Безпека доступу

Захист адміністративних зон

Ваші адміністративні зони мають розширений захист:

Автентифікація

🔐 Адмін-безпека:

Сильна автентифікація:
• Обов'язкова для: адміні-панелі, FTP, SSH
• Багатофакторна автентифікація вимагається
• Вимоги до сильних паролів
• Тайм-аут сесії після бездіяльності
• Блокування після 5 невдалих спроб

Обмеження IP:
• Режим білого списку за бажанням
• Тільки дозволені IP можуть отримувати доступ
• Налаштовується для кожного користувача
• Тимчасові токени доступу доступні

Обмеження швидості

⏱️ Обмеження швидості:

Що обмежено:
• Спроби входу на IP за період
• Надсилання форм на користувача
• Запити API на ключ
• Завантаження файлів на сесію

Значення за замовчуванням:
• Вхід: 5 спроб кожні 15 хвилин
• Форми: 10 надсилань за хвилину
• API: 1000 запитів за хвилину
• Завантаження: 5 файлів на сесію

Переваги:
• Запобігає перебору паролів (brute force)
• Зупиняє зловживання
• Захищає ресурси сервера
• Підтримує продуктивність

Заголовки безпеки

Заголовки HTTP безпеки

Ми впроваджуємо заголовки безпеки для додаткового захисту:

📋 Заголовки безпеки:

HTTP Strict Transport Security (HSTS):
• Примусовує HTTPS-з'єднання
• Запобігає атакам пониження (downgrade)
• Тривалість: 1 рік
• Включає субдомени

X-Frame-Options:
• Запобігає clickjacking
• Блокує вбудову (iframe)
• Налаштування: DENY або SAMEORIGIN

X-Content-Type-Options:
• Запобігає MIME sniffing
• Примусовує оголошений тип контенту
• Налаштування: nosniff

X-XSS-Protection:
• Фільтрація XSS браузером
• Запобігає міжсайтовому скриптингу
• Налаштування: 1; mode=block

Content-Security-Policy:
• Визначає дозволені джерела контенту
• Запобігає різним атакам
• Кастомна політика для кожного сайту

Моніторинг та сповіщення

Моніторинг безпеки

Ми постійно моніторимо безпеку:

Що ми моніторимо

🔍 Моніторинг безпеки:

Системна безпека:
• Невдали спроби входу
• Незвичайні зміни файлів
• Підозрілі патерни доступу
• Зміни конфігурації
• Запити авторизації API

Безпека веб-сайту:
• Виявлення шкідливого ПЗ
• Термін дії SSL-сертифікату
• Блоки WAF та атаки
• Індикатори DDoS-атак

Безпека програми:
• Патерни помилок, що вказують на атаки
• Підозріле використання API
• Аномалії доступу до даних
• Проблеми інтеграції

Типи сповіщень

📢 Сповіщення безпеки:

Критичні сповіщення:
• Виявлено активну атаку
• Знайдено шкідливе ПЗ
• Сертифікат закінчується протягом 7 днів
• Індикатори порушення даних

Попередження сповіщення:
• Сплів спроб входу
• Високе навантаження трафіку
• Новий підозрілий патерн
• Проблема з конфігурацією WAF

Інформаційні сповіщення:
• Сканування безпеки завершено
• Сертифікат поновлено
• Щомісячний звіт безпеки
• Поради з найкращих практик

Ваші відповідальності

Що ви можете зробити

Ви також відіграєте роль у безпеці:

Управління паролями

🔐 Безпека паролів:
✅ ПОТРІБНО:
• Використовуйте сильні, унікальні паролі
• Увімкніть 2FA всюди
• Використовуйте менеджер паролів
• Регулярно змінюйте паролі
• Ніколи не діліться паролями
• Не записуйте паролі незахищено

❌ НЕ ПОТРІБНО:
• Використовувати дефолтні паролі
• Використовувати той самий пароль усюди
• Записувати паролі небезпечно
• Вимикати 2FA для зручності
• Повторно використовувати старі паролі

Безпечна розробка

💻 Безпека розробки:
✅ ПОТРІБНО:
• Валідуйте усі дані введення
• Використовуйте параметризовані запити
• Зберігайте програму в актуальному стані
• Дотримуйтесь найкращих практик безпеки
• Переглядайте код на вразливості

❌ НЕ ПОТРІБНО:
• Довіряти введення користувача "сліпо"
• Використовувати вразливі бібліотеки
• Ігнорувати попередження безпеки
• Пропускати валідацію введення
• Залишати режим налагодження увімкненим

Регулярне обслуговування

🔧 Завдання обслуговування:
✅ ПОТРІБНО:
• Регулярно переглядайте журнали доступу
• Видаляйте невикористані акаунти
• Оновлюйте плагіни та теми
• Переглядайте звіти безпеки
• Тестуйте процедури відновлення

❌ НЕ ПОТРІБНО:
• Ігнорувати оновлення безпеки
• Зберігати невикористані функції
• Забувати про старі акаунти користувачів
• Пропускати перевірки безпеки
• Припускати, що все працює
• Робити незадокументовані зміни

Що далі?

Тепер, коли ви розумієте SSL та захист, давайте розглянемо інші теми безпеки та інфраструктури:

SSL-сертифікати​

Що таке SSL​

Візуальні індикатори​

Типи сертифікатів, які ми надаємо​

Валідація домену (DV)​

Валідація організації (OV)​

Розширена валідація (EV)​

Wildcard-сертифікати​

Web Application Firewall (WAF)​

Що таке WAF​

Кастомні правила WAF​

Стандартні правила​

Кастомні правила​

DDoS-захист​

Що таке DDoS​

Шарі захисту​

Реагування на атаку​

Безпека контенту​

Фільтрація та сканування контенту​

Сканування на шкідливе ПЗ​

Політика безпеки контенту (CSP)​

Безпека доступу​

Захист адміністративних зон​

Автентифікація​

Обмеження швидості​

Заголовки безпеки​

Заголовки HTTP безпеки​

Моніторинг та сповіщення​

Моніторинг безпеки​

Що ми моніторимо​

Типи сповіщень​

Ваші відповідальності​

Що ви можете зробити​

Управління паролями​

Безпечна розробка​

Регулярне обслуговування​

Що далі?​