SSL SSL-ю рознь: какой сертификат выбрать?

Сегодня мы бы хотели поделиться информацией, которая, поможет вам сориентироваться в многообразии предлагаемых сегодня рынком SSL-сертификатов и выбрать именно тот вариант, который действительно подходит под ваши потребности.

Наличие на вашем сайте SSL-сертификата – вопрос не только статуса компании в интернет-пространстве или соответствия веб-сайта требованиям современных браузеров. Хотя выбор сертификата и не является самым ответственным шагом в работе над интернет-проектом, он имеет непосредственное отношение к безопасности вашей бизнес-инфраструктуры, а значит требует некоторого внимания.

Если вы читаете этот пост, то почти наверняка имеете некоторое представление о том, что такое сертификат SSL и для чего он может понадобиться. Мы не будем раскрывать специфику работы этого инструмента, а перейдем сразу к практическим моментам выбора сертификата для распространенных задач.

Вряд ли большинство представителей компаний-владельцев сайтов, удостоверенных SSL-сертификатами, детально анализирует специфику работы последних. Обычно покупатель обращает внимание на бренд, под визой которого будет выпущен сертификат, и на цену услуги. Но есть и другие характеристики, оказывающие существенное влияние на этот инструмент. Рассмотрим их подробнее.

Какой SSL-сертификат выбрать?

Итак, мы определились с тем, что SSL-сертификаты отличаются между собой не только брендом и ценой. Сегодняшний ассортимент предложений предусматривает широкий круг задач, для которых может потребоваться SSL.

Например, если вы просто хотите уберечь пользователей вашего веб-сайта от навязчивых предупреждений браузера о посещении непроверенного сайта, будет достаточно за несколько минут получить простой DV (Domain Validation) сертификат. Если же вы используете свою интернет-площадку для операций, требующих повышенного уровня сохранности данных компании и клиентов – стоит задуматься об EV (Extended Validation) сертификате. А если вы используете не один, а несколько веб-адресов для сайта (-ов) компании – для вас на рынке представлены сертификаты Wildcard и SAN.

Шифрование

Если не вдаваться в глубокие технические нюансы работы алгоритмов ECC, RSA или DSA, то существенные различия между ними едва ли можно обнаружить. Все эти алгоритмы шифрования соответствуют современным стандартам интернет-безопасности.

Единственное, на что здесь стоит обратить внимание – процедура генерации пары открытый/закрытый ключ, необходимых для подписи вашего сертификата.

Многие провайдеры предлагают так называемые онлайн-генераторы CSR-запроса. Для генерации таким сервисам необходимо также создать для вас пару открытый/закрытый ключ. Последний является конфиденциальным и не должен передаваться третьим лицам. Но соблюдение данного требования сделает работу CSR-генераторов технически невозможной, поэтому сервис так или иначе будет иметь доступ к вашему файлу секретного ключа. Если этот факт является для вас критичным,сгенерируйте запрос самостоятельно. Если для вас предпочтительнее использовать онлайн CSR-генератор, выбирайте только проверенные сервисы и обращайте внимание на подлинность сайта сервиса.

Виды SSL-сертификатов

Рассмотрим подробнее виды предлагаемых сегодня на рынке SSL-сертификатов. Их отличия условно можно разделить на две группы:

По методу проверки:

  • Сертификаты с проверкой домена (Domain Validation - DV) подтверждают, что пользователь находится именно на том веб-сайте, на доменный адрес которого осуществил переход, т.е. удостоверяет веб-сервер, который обслуживает сайт. Такой сертификат не содержит информации о компании-владельце сайта, а потому не может считаться достаточно безопасным для оказания коммерческих услуг. DV рекомендуется к использованию на площадках, где не требуется строгая гарантия безопасности.

    Так выглядит адресная строка пользовательского браузера при посещении им сайта с установленным DV-сертификата SSL. При клике на сертификат здесь отображается только информация о доменном имени, для которого сертификат зарегистрирован:

    Details of the certificate:

    subject: CN = www.yourdomain.com

    domain_validation

  • Сертификаты с проверкой организации (Organization Validation - OV) являются подтверждением не только доменного имени, но и организации-владельца веб-сайта. Подлинность последней проверяется по регистрационным данным юридического лица, которые необходимо предоставить провайдеру SSL при заказе сертификата. OV-сертификаты, пожалуй, на сегодняшний день наиболее популярны среди клиентов.

    Так выглядит информация о сертификате в адресной строке посетителя сайта. Как вы видите, здесь отображена весьма подробная информация об организации-владельце сайта, позволяющая определить ее подлинность.

    Details of the certificate: CN = www.yourdomain.com, O = Company Name, OU = Management, L = Moscow, S = MSK, C = RU

    organization_validation

  • Сертификат с расширенной проверкой (Extended Validation - EV) имеет самый высокий уровень доверия со стороны других интернет-узлов. Такой сертификат является оптимальным решением для сайтов, работа которых требует строгой конфиденциальности передаваемых данных (например, при совершении финансовых транзакций). Само название этого типа сертификатов подразумевает расширенную периодическую проверку данных владельца сайта для исключения их подмены.

Примечание: при первоначальном внедрении SSL-сертификатов в глобальную сеть, Центры Сертификации предоставляли только сертификаты с проверкой данных организации. Появление типа Domain Validation – следствие коммерческого интереса, постепенно заставившего вендоров выпускать «упрощенные» сертификаты с проверкой только домена. Это, отчасти, сыграло и продолжает играть на руку интернет-мошенникам, пользующимся тем, что обычно интернет-браузер не предупреждает пользователя о возможных проблемах с подлинностью сайта, если первоначально предоставленный этим сайтом сертификат будет иметь хотя бы минимальный уровень доверия.

EV-сертификат призван на борьбу с вышеописанной проблемой. Это достигается путем отображения непосредственно в адресной строке клиента информации об организации-владельце сайта в виде дополнительного ярлыка, выделенного зеленым цветом (Green Bar). Такой ярлык сложно не заметить. Теперь пользователю не обязательно кликать по иконке сертификата браузере для получения подробной информации о нем – самое важное подтверждение он получит, просто взглянув на адресную строку. Опция Green Bar поддерживается всеми популярными интернет-браузерами на всех актуальных ОС.

Примечание: опция Green Bar недоступна для и DV- и OV-сертификатов. Ее удостоены только SSL-сертификаты с расширенной проверкой.

Ниже представлен пример отображения информации об EV-сертификате в клиентском браузере.

example

example

Мы рассмотрели типы SSL-сертификатов по методу проверки сайта. Помимо этого различия, немаловажным является и разграничение сертификатов по сертифицируемым доменам. Этот параметр определяет список доменов (поддоменов) сайта, на которые будет распространяться приобретенный сертификат.

По сертифицируемым доменам:

  • Сертификат на один домен (Single Certificate) – работает для одного доменного имени, указанного при заказе. Т.е., например, домен yourcompany.com, для которого приобретен сертификат, будет защищен, но используемые поддомены (sub.yourcompany.com), при их наличии, уже не будут.
  • Wildcard SSL – может использоваться для домена, указанного при регистрации, и всех его поддоменов (sub1.yourcompany.com, sub2.yourcompany.com, sub3.yourcompany.com). Wildcard поддерживает и работу интернет-площадки на распределенных серверах.
  • UC (Unified Communications) или SAN (Subject Alternative Name) сертификаты могут использоваться сразу для нескольких или многих доменов и серверов.

Пара слов о стоимости покрытия:

Часто для SSL-сертификата вендором предусмотрен такой параметр, как финансовая гарантия. Это значит, что Центр Сертификации гарантирует невозможность установить свой сертификат на неавторизованный сайт деньгами. В случае, если пользователь веб-сайта финансово пострадает в результате мошенничества вокруг SSL-сертификата, Центр Сертификации обязуется возместить этому пользователю его убытки в пределах указанной в гарантии суммы. Подобные случаи практически исключены, но, тем не менее, наличие такой гарантии хорошо характеризует Центр Сертификации

Выбор Центра Сертификации

Несмотря на ожесточенную конкуренцию среди компаний-эмитентов сертификатов, весьма затруднительно выделить существенные различия между ними. Конечно, речь здесь идет о общепризнанных мировых лидеров индустрии SSL-сертификации, например, Symantec, Comodo, RapidSSL или Thawte. В общем, можно сказать, что явной разницы в уровне доверия к выпускаемым этими компаниями сертификатам нет. При этом, такое различие может обнаружиться в доверии внимательного клиента, для которого знакомое название доверенного бренда может стать фактором доверия вашему сайту.

Где купить SSL-сертификат

Самым логичным ответом на этот вопрос видится – «Непосредственно у Центра Сертификации». Но не все так просто. Дело в том, что Центры Сертификации, как правило, работают через посредников (ресселеров), поставляя им сертификаты на «оптовых условиях». Реселлер же, в свою очередь, берет на себя все процедуры по работе с клиентом, начиная от формы заказа сертификата и до поддержки в решении проблем, возникших со стороны покупателя.

Определившись с перечисленными выше критериями выбора типа сертификата, стоит задуматься о надежности выбираемого провайдера. Ведь если в какой-то момент сертификат перестанет работать, посетители веб-сайта будут встревожены получаемыми от браузера ошибками. Компания, для которой веб-сайт составляет важную часть работы (например, интернет-магазин) может упустить не одну конверсию в ожидании ответа от технической поддержки провайдера SSL-сертификатов.

Скорость реакции провайдера важна не только в решение возникших трудностей, но и на более раннем этапе – оформлении сертификата. Компания, у которой вы приобретаете сертификат, не должна нарушать заявленных сроков заказа. В противном случае, возможны задержки запуска ваших проектов на ровном, казалось бы, месте.

Здесь можно порекомендовать лишь обращать внимание на отзывы о провайдере и на его отношение к обращениям клиентов. На рынке, в т.ч. и российском, представлено огромное множество провайдеров SSL-сертификатов. Каждый из них старается предложить то, что заставит клиента сделать выбор его пользу. Выбор за вами!

Кстати, с недавних пор мы, облачный провайдер 1cloud.ru, предлагаем услугу по приобретению SSL-сертификата. Как свойственно нашему сервису, процедура заказа сертификата упрощена до нескольких кликов и пары минут. Для покупки достаточно выбрать интересующий тип сертификата в удобной панели управления, а генерация CSR-запроса и установка сертификата не вызовут трудностей благодаря пошаговым инструкциям для различных ОС. Наша техническая поддержка работает круглосуточно.

P.S. Ещё несколько материалов по теме SSL-сертификатов: