Какой SSL-сертификат выбрать

Что такое и зачем

Secure Socket Layer (SSL) — это технология, которая шифрует связь между сервером и браузером. Это делается для того, чтобы никакой хитроумный хакер не узнал, какие мемы смотрят ваши пользователи в соцсетях. Ну или чтобы не похитил данные их кредитных карт, например. На самом деле, уже давно используют другую технологию — Transport Layer Security (TLS), но сертификат безопасности всё равно по привычке называют SSL-сертификатом.

Если у сайта есть этот сертификат, то на него можно зайти по протоколу HTTPS (эти буквы можно увидеть в самом начале адреса) и в браузере высветится иконка в виде замочка. Это говорит о том, что подключение защищено, связь зашифрована и можно ничего не бояться.

Если сертификата нет, то сайт будет доступен только по протоколу HTTP (без S, которая означает Secure). Пользователь получит предупреждение, что подключение не защищено. Если же на сайте есть какие-то формы для заполнения или, не дай б-г, функция платежей по карте, то браузер может вообще не пустить туда.

Если нажать кнопку «Дополнительно», то на сайт всё же можно будет перейти. Но после таких предупреждений, мало кто на это отважится. Если вы забьёте на сертификат, потеряете львиную долю трафика.

Какие сертификаты бывают

Self-Signed

Это сертификат, который сгенерировал сам владелец ресурса или нанятый специалист. Сайт с таким сертификатом как бы говорит: «Мамой клянусь, всё безопасно». Посетители получат сообщение, что объективных причин доверять этим клятвам нет.

Плюс self-signed сертификата в том, что это самый быстрый и притом бесплатный вариант. Минус — всю вашу аудиторию наверняка распугает предупреждение, что сайт опасен. Поэтому такой сертификат стоит использовать только в ресурсах для служебного пользования (сами себе же вы доверяете, правда?).

Trusted

Их ещё называют доверительными. Это SSL-сертификат, который выдал специальный центр сертификации. Браузеры автоматически доверяют таким сайтам и считают, что подключение безопасно.

У Trusted SSL-сертификатов могут быть дополнительные опции. Например, Wildcard. Такой SSL-сертификат обеспечивает защиту основного домена и всех его поддоменов. То есть, если вы укажете в заявке домен mysite.com, то сертификат защитит и blog.mysite.com, и shop.mysite.com, и anekdoty.mysite.com.

По этой опции SAN (Subject Alternative Name) сертификат будет защищать несколько доменных имён, если они доступны по одному IP-адресу. В базовом пакете обычно помимо основного домена такой сертификат распространяется ещё на пять дополнительных. Каждый следующий будет включаться за дополнительную плату. Всего можно так защитить до 25 доменных имён.

Доверительные SSL-сертификаты делятся на подвиды по глубине проверки.

DV

Domain Validation — валидация домена. В этом случае центр сертификации проверяет: действительно ли тот, кто подал заявку, имеет право на этот домен. Сертификат делается практически моментально, ведь проверка проходит в автоматическом режиме.

Но центры сертификации контролируют свою систему: периодически берут несколько случайных заявок и проверяют их вручную. Поэтому всегда есть шанс задержки.

DV-сертификаты бесплатны, но к ним самый низкий уровень доверия. Это, скорее всего, будет лучшим выбором для информационного сайта, лендинга или промо-страницы. Но это не очень хороший вариант для сайтов, которые принимают платежи и собирают персональные данные.

Если вдруг шифрование взломают, центр сертификации максимум скажет вам: «Сорян, братюнь, бывает». Так что, если брешь в безопасности может причинить ущерб пользователям, вам лучше получить OV- или EV-сертификат. В этом случае центр сертификации обычно отвечает за безопасность из своего кармана.

OV

Сертификат с валидацией организации (Organization Validation) помимо права на домен подтверждает, что ваша компания действительно существует. Так что нужно будет предоставить документы.

Сертификат будете ждать до 10 дней. И он, как правило, платный.

Разные центры сертификации проверяют по-разному. Но обычно они смотрят:

- есть ли в whois название организации, и действительно ли ей принадлежит этот домен;

- свидетельство о государственной регистрации компании;

- присутствуете ли вы в различных каталогах организаций.

Скорее всего, центр сертификации будет звонить по контактному номеру, дабы убедиться, что на том конце провода действительно вы. Возможно, потребуют счета за услуги связи, где указано, что этот номер официально числится за вашей организацией.

EV

Самая крутая круть, самая надёжная надёжность. Прежде чем вам выдадут такой SSL-сертификат, вы пройдёте расширенную валидацию (Extended Validation). Помимо того, что входит в сертификат OV, тут есть ещё требования.

EV-сертификат вам дадут, только если у вас исключительное право на домен. То есть вы должны быть его владельцем, а не пользоваться им по какому-то там договору с владельцем.

Кроме того, центр сертификации захочет убедиться, что ваша организация существует не только на бумаге, но и в реальности, и вы действительно занимаетесь именно тем, что указано в документах. В общем, проверка самая тщательная и доскональная.

SSL-сертификат этого вида могут готовить до двух недель. Зато ваши пользователи могут быть уверены, что их данные защищены максимально надёжно. Но многие ли разглядывают подробную информацию о сертификате?

Сколько платить за SSL-сертификат

Если вы собираете персональные данные и тем более, если у вас интернет-магазин, вам нужно брать только платный сертификат. Как правило, с ним комплекте идёт финансовая гарантия. Если хитроумный хакер расшифрует шифрование и похитит данные кредитки вашего клиента, центр сертификации выплатит вам компенсацию. Но тут встаёт выбор между OV и EV.

EV-сертификат обычно значительно дороже, но его ценность может вызвать сомнения. Те, кто продаёт такие, давят на то, что они более престижные и вызывают больше доверия. И действительно, раньше о наличии EV-сертификата сообщала особая зелёная отметка с названием компании в адресной строке. Но сейчас большинство браузеров, включая самые популярные, эту функцию не поддерживают.

Ценность может заключаться в том, что в случае с EV центр сертификации в большей степени разделит с вами ответственность.

Рассмотрим два предложения от одного центра: один сертификат со стандартной проверкой стоит 23 440 ₽ в год, другой — с расширенной проверкой стоит 94 290 ₽ в год. Оба предназначены для финансовых организаций, оба для одного домена и физического сервера. Разница в финансовой гарантии: у более дешёвого она 1 250 000 $, у дорогого — 1 750 000 $.

Лишние полмиллиона, конечно, не лишние. Но не многие отважатся на более дорогой вариант ради гипотетической выплаты в будущем. Поэтому однозначно EV-сертификат можно порекомендовать только очень крупным компаниям, для которых эта разница в тарифе в 70 тысяч ₽ в год — не деньги.

Также об этом стоит задуматься сервисам, которые работают с очень деликатной пользовательской информацией. Например, с чем-то, что составляет коммерческую тайну клиента. Если случится конфуз из-за сертификата, вы сможете абсолютно честно сказать, что делали всё возможное для безопасности передачи данных. Ну и те самые полмиллиона баксов будут очень кстати, когда вы будете ради спасения репутации извиняться и возмещать.

В общем, SSL-сертификат выбирают, как Сенька шапку. И вот, что мы видим в итоге: