Типы SSL-сертификатов

8109

Сегодня мы бы хотели поделиться информацией, которая поможет вам сориентироваться в многообразии SSL-сертификатов, предлагаемых в настоящее время на рынке, и выбрать наиболее подходящий вам и наилучшим образом соответствующий вашим потребностям.


Какие типы SSL-сертификатов существуют?

  • DV — Domain Validation — для подтверждения домена;
  • OV — Organization Validation — для подтверждения организации и домена;
  • EV — Extended Validation — для расширенного подтверждения организации и домена.

Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции:

  • WildCard — подтверждает домен и все его поддомены следующего уровня;
  • SAN — подтверждает домены по списку, указанному при получении SSL-сертификата.

Зачем нужен SSL-сертификат?

Наличие на вашем сайте SSL-сертификата — вопрос не только статуса компании в интернет-пространстве или соответствия веб-сайта требованиям современных браузеров. Хотя выбор сертификата и не является самым ответственным шагом в работе над интернет-проектом, он имеет непосредственное отношение к безопасности вашей бизнес-инфраструктуры, а значит требует должного внимания.

Если вы читаете этот пост, то почти наверняка имеете некоторое представление о том, что такое сертификат SSL, и для чего он может понадобиться. Мы не будем раскрывать специфику работы этого инструмента, а сразу перейдём к практическим аспектам выбора в наиболее частых ситуациях.

Вряд ли большинство представителей компаний-владельцев сайтов, удостоверенных SSL-сертификатами, детально анализирует специфику работы последних. Обычно покупатель обращает внимание на бренд, под визой которого будет выпущен сертификат, и на цену услуги. Но есть и другие характеристики, влияющие на выбор. Рассмотрим их подробнее.


Какой SSL-сертификат выбрать?

Итак, мы определились с тем, что SSL-сертификаты различаются между собой не только брендом и ценой. Сегодняшний ассортимент предложений предусматривает широкий круг задач, для которых может потребоваться SSL.

Например, если вы просто хотите уберечь пользователей вашего веб-сайта от навязчивых предупреждений браузера о посещении непроверенного сайта, будет достаточно за несколько минут получить простой DV (Domain Validation) сертификат. Если же вы используете свою интернет-площадку для операций, требующих повышенного уровня сохранности данных компании и клиентов — стоит задуматься об EV (Extended Validation) сертификате. А если вы используете не один, а несколько веб-адресов для сайта или сайтов компании — для вас на рынке представлены сертификаты Wildcard и SAN.


Шифрование

Если не вдаваться в глубокие технические нюансы работы алгоритмов ECC, RSA или DSA, то существенные различия между ними едва ли можно обнаружить. Все эти алгоритмы шифрования соответствуют современным стандартам интернет-безопасности.

Единственное, на что здесь стоит обратить внимание — процедура генерации пары открытый/закрытый ключ, необходимых для подписи вашего сертификата.

Многие провайдеры предлагают, так называемые, онлайн-генераторы CSR-запроса. Для генерации таким сервисам необходимо также создать для вас пару открытый/закрытый ключ. Последний является конфиденциальным и не должен передаваться третьим лицам. Но соблюдение данного требования сделает работу CSR-генераторов технически невозможной, поэтому сервис так или иначе будет иметь доступ к вашему файлу секретного ключа. Если этот факт является для вас критичным, сгенерируйте запрос самостоятельно. Если для вас предпочтительнее использовать онлайн CSR-генератор, выбирайте только проверенные сервисы и обращайте внимание на подлинность сайта сервиса.


Каковы особенности типов SSL-сертификатов?

Рассмотрим подробнее виды предлагаемых сегодня на рынке SSL-сертификатов. Их отличия условно можно разделить на две группы

По методу проверки

  • Сертификаты с проверкой домена (Domain Validation — DV) подтверждают, что пользователь находится именно на том веб-сайте, на доменный адрес которого осуществил переход, то есть удостоверяет веб-сервер, который обслуживает сайт. Такой сертификат не содержит информации о компании-владельце сайта, а потому не может считаться достаточно безопасным для оказания коммерческих услуг. DV рекомендуется к использованию на площадках, где не требуется строгая гарантия безопасности.

    Так выглядит адресная строка пользовательского браузера при посещении им сайта с установленным DV-сертификата SSL. При щелчке на значке зашифрованного соединения отображается только информация о доменном имени, для которого выпущен сертификат:

    Details of the certificate: subject: CN = www.yourdomain.com

    domain_validation


  • Сертификаты с проверкой организации (Organization Validation — OV) являются подтверждением не только доменного имени, но и организации-владельца веб-сайта. Подлинность последней проверяется по регистрационным данным юридического лица, которые необходимо предоставить провайдеру SSL при заказе сертификата. OV-сертификаты на сегодняшний день, пожалуй, наиболее популярны среди клиентов.

    Так выглядит информация о сертификате в адресной строке посетителя сайта. Как вы видите, здесь отображена весьма подробная информация об организации-владельце сайта, позволяющая определить её подлинность.

    Details of the certificate: CN = www.yourdomain.com, O = Company Name, OU = Management, L = Moscow, S = MSK, C = RU

    organization_validation


  • Сертификат с расширенной проверкой (Extended Validation — EV) имеет самый высокий уровень доверия со стороны других интернет-узлов. Он является оптимальным решением для сайтов, работа которых требует строгой конфиденциальности передаваемых данных (например, при совершении финансовых транзакций). Само название этого типа сертификатов подразумевает расширенную периодическую проверку данных владельца сайта для предотвращения их подмены.

Примечание: при первоначальном внедрении SSL-сертификатов в глобальную сеть, центры сертификации предоставляли только сертификаты с проверкой данных организации. Появление типа Domain Validation — следствие коммерческого интереса, постепенно заставившего вендоров выпускать «упрощённые» сертификаты с проверкой только домена. Отчасти, это сыграло и продолжает играть на руку интернет-мошенникам, пользующимся тем, что обычно интернет-браузер не предупреждает пользователя о возможных проблемах с подлинностью сайта, если первоначально предоставленный этим сайтом сертификат будет иметь хотя бы минимальный уровень доверия.


EV-сертификат призван на борьбу с вышеописанной проблемой. Это достигается путём отображения непосредственно в адресной строке клиента информации об организации-владельце сайта в виде дополнительного ярлыка, выделенного зелёным цветом (Green Bar). Такой ярлык сложно не заметить. Теперь пользователю не обязательно кликать по иконке сертификата браузере для получения подробной информации о нём — самое важное подтверждение он получит, просто взглянув на адресную строку. Опция Green Bar поддерживается всеми популярными интернет-браузерами на всех актуальных операционных системах.

Примечание: опция Green Bar недоступна для DV- и OV-сертификатов. Ею удостоены только SSL-сертификаты с расширенной проверкой.

Ниже представлен пример отображения сведений об EV-сертификате в клиентском браузере.

example

example

Мы рассмотрели типы SSL-сертификатов по методу проверки сайта. Помимо этого различия, немаловажным является и разграничение сертификатов по сертифицируемым доменам. Этот параметр определяет список доменов (поддоменов) сайта, на которые будет распространяться приобретённый сертификат.


По сертифицируемым доменам

  • Сертификат на один домен (Single Certificate) — работает для одного доменного имени, указанного при заказе. То есть, например, домен yourcompany.com, для которого приобретён сертификат, будет защищён, но используемые поддомены (sub.yourcompany.com), при их наличии, уже не будут.
  • Wildcard SSL – может использоваться для домена, указанного при регистрации, и всех его поддоменов (sub1.yourcompany.com, sub2.yourcompany.com, sub3.yourcompany.com). Wildcard поддерживает и работу интернет-площадки на распределённых серверах.
  • UC (Unified Communications) или SAN (Subject Alternative Name) сертификаты могут использоваться сразу для нескольких или многих доменов и серверов.

Пара слов о стоимости покрытия

Часто для SSL-сертификата вендором предусмотрен такой параметр, как финансовая гарантия. Это значит, что центр сертификации гарантирует невозможность установить свой сертификат на неавторизованный сайт деньгами. В случае, если пользователь веб-сайта финансово пострадает в результате мошенничества вокруг SSL-сертификата, центр сертификации обязуется возместить этому пользователю его убытки в пределах указанной в гарантии суммы. Подобные случаи практически исключены, но тем не менее, наличие такой гарантии хорошо характеризует центр сертификации.


Выбор центра сертификации

Несмотря на жёсткую конкуренцию компаний-эмитентов сертификатов, весьма затруднительно выделить существенные различия между ними. Конечно, речь здесь идёт о общепризнанных мировых лидеров индустрии SSL-сертификации, например, Symantec, Comodo, RapidSSL или Thawte. Можно сказать, что в общем, явной разницы в уровне доверия к выпускаемым этими компаниями сертификатам нет. Однако такое различие может обнаружиться у вашего потенциального клиента, для которого знакомое название бренда может сказаться на отношении к вашему сайту.


Где купить SSL-сертификат

Самым логичным ответом на этот вопрос видится: «Непосредственно у центра сертификации». Но не всё так просто. Дело в том, что центры сертификации, как правило, работают через посредников (ресселеров), поставляя им сертификаты на «оптовых условиях». Реселлер же, в свою очередь, берёт на себя все процедуры по работе с клиентом, начиная с формы заказа сертификата и заканчивая поддержкой в преодолении затруднений, которые могут возникнуть у покупателя.

Определившись с перечисленными выше критериями выбора типа сертификата, стоит задуматься о надёжности выбираемого провайдера. Ведь если в какой-то момент сертификат перестанет работать, посетители веб-сайта будут встревожены получаемыми от браузера ошибками. Компания, для которой веб-сайт составляет важную часть работы (например, интернет-магазин) может упустить не одну конверсию в ожидании ответа от технической поддержки провайдера SSL-сертификатов.

Скорость реакции провайдера важна не только в решение возникших трудностей, но и на более раннем этапе – оформлении сертификата. Компания, у которой вы приобретаете сертификат, не должна нарушать заявленных сроков заказа. В противном случае, возможны задержки запуска ваших проектов, казалось бы, на ровном месте.

Здесь можно порекомендовать лишь обращать внимание на отзывы о провайдере и на его отношение к обращениям клиентов. На рынке, в том числе российском, представлено огромное множество провайдеров SSL-сертификатов. Каждый из них старается предложить что-то, что заставит клиента сделать выбор в его пользу. Выбор за вами!

Кстати, с недавних пор мы, облачный провайдер 1cloud.ru, предлагаем услугу по приобретению SSL-сертификата. Как свойственно нашему сервису, процедура заказа сертификата упрощена до нескольких щелчков и пары минут. Для покупки достаточно выбрать интересующий тип сертификата в удобной панели управления, а генерация CSR-запроса и установка сертификата не вызовут трудностей, благодаря пошаговым инструкциям для различных операционных систем. Наша техническая поддержка работает круглосуточно!


P. S. Ещё несколько материалов по теме SSL-сертификатов: