К тексту статьи...

18Мая
image
SSL-сертификаты. Что за "зверь" и как выбрать правильный?

SSL-сертификаты. Что за "зверь" и как выбрать правильный?

Давайте рассмотрим ситуацию - приходит письмо с последним предупреждением "Срочно оплатите домен (счет за квартиру, электричество, телефон и тд)" и со ссылкой для оплаты. Вы щелкаете ссылку, переходите на сайт оплаты, вводите реквизиты карты ... Ой, с карты снимают все деньги...
Знакомая ситуация? Слышали о таком? Есть такие знакомые?
А как же избежать такой ситуации? Можно начать нудить, что нужно быть внимательнее, смотреть на адрес ссылки, куда она ведет, на страницу банка или нет... Но не все же понимают, что такое ссылки и как должна выглядеть правильная. Вот для этого и были придуманы сертификаты.

У сертификата SSL на самом деле несколько предназначений:

  • во-первых, это ключ с помощью которого шифруются передаваемые на сервер данные
  • во-вторых, сертификат подтвердит, что это именно тот сервер, который вам нужен (ну в идеале...)
Есть еще и в-третьих и в-четвертых, но мы рассмотрим только первые 2, нам этого достаточно, так как остальное - это уже для специалистов.

Сначала определимся какие бывают сертификаты?
Оказывается они бываю бесплатные и платные, при этом платные от 3 500 руб/год до 85 000 руб/год (возможно есть еще варианты, но я смотрел на nic.ru и для примера мне этого достаточно).

Стало еще запутаннее. Зачем платить столько денег, если есть бесплатные? Давайте разбираться подробнее.

Среди бесплатных сертификатов есть:
  • самоподписные
  • китайские
  • Let's Encrypt

Самоподписные сертификаты.

Самоподписные сертификаты изготавливаются очень просто с помощью запуска специальной программы или выполнения команды в командной строке. Вы ответите на несколько вопросов и получите желанный сертификат. Разместив сертификат в специальном месте и прописав соответствующие настройки вы решите проблему шифрования данных на маршруте от клиента до сервера. Но для большего они не применимы. При попытке открыть страницу с самоподписным сертификатом в браузере вы получите предупреждение об ошибке и вам придется несколько раз согласится с тем, что вы хотите попасть на эту страницу. Плюс к этому специалисты по безопасности начнут вас пугать, что такой сертификат можно подделать, что даст возможность перехватить ваши данные (хотя я считаю это бредом и вымоганием денег). Ну и конечно вы не сможете подключить платежную систему на ваш сайт с таким сертификатом, хотя достаточно и того, что любой пользователь, который попытается войти на сайт и увидит ошибку сертификата, дальше даже и не пойдет. Кто захочет что-то покупать на "левом" сайте? Вывод - использовать самоподписные сертификаты можно только для внутреннего пользования.

Китайские сертификаты.

Как только начался бум на сертификаты "китайские товарищи" подсуетились и начали выпускали бесплатные или очень дешевые сертификаты по всем правилам. Эти сертификаты отлично устанавливались и не выдавали ошибок при заходе на сайт. Огромным плюсом было то, что сертификаты выдавались на 3 года. Но к огромному сожалению китайцы опять сделали все, чтобы подорвать доверие к своей продукции - практически все китайские центры сертификации исчезли и подтвердить выданный сертификат или обновить сертификацию уже не кому! Вывод - такие сертификаты использовать нельзя!

Let's Encrypt

Let’s Encrypt - бесплатный, автоматизированный и открытый Центр Сертификации, созданный на благо всего общества организацией Internet Security Research Group.
ISRG помогает людям выпускать SSL/TLS сертификаты для их сайтов с доступом по HTTPS, бесплатно, максимально облегчая процесс выдачи. ISRG хочет сделать интернет безопасным, и уважающим конфиденциальность его пользователей.

Ключевые принципы Let’s Encrypt:

  • Бесплатность: Любой владелец домена может использовать Let’s Encrypt для получения SSL/TLS сертификатов, не тратя ни копейки.
  • Автоматизированность: Программное обеспечение Let’s Encrypt, запущенное на web-сервере, само позаботится о выпуске, настройке и обновлении сертификатов.
  • Безопасность: Let’s Encrypt будет платформой для передовых технологии в области TLS безопасности, как для Центра Сертификации, так и для web-серверов.
  • Прозрачность: Все выданные или отозванные сертификаты будут сохранены, в том числе и для любых проверок безопасности.
  • Открытость: Протокол выпуска и обновления сертификатов будет опубликован как открытый стандарт, готовый ко внедрению.
  • Взаимодействие: Как и сами протоколы по обмену данными, лежащие в его основе, Let’s Encrypt - это результат объединённых усилий сообщества, без диктата какой-либо одной организации.
Более подробно о Центре Сертификации Let’s Encrypt вы можете узнать на странице как работает Let’s Encrypt.
На моем сайте (на этом, где и статья) используется именно Let's Encrypt сертификат. Так же я использую Let's Encrypt на серверах с электронной почтой и IP-телефонией. Мне очень нравится этот центр сертификации не только за бесплатность, но и за хорошую документацию и стабильность работы, а имена спонсоров вселяют уверенность в долгой жизни проекта.
Вывод - я очень рекомендую использовать сертификаты от Let's Encrypt!

А для чего тогда платные сертификаты?

Давайте попробуем разобраться, почему нужно платить за сертификаты, если есть такой бесплатный вариант.
Thawte SSL 123 (3 500 руб/год), GeoTrust Rapid SSL Wildcard (8 600 руб/год), GlobalSign DomainSSL Wildcard (17 900 руб/год) выдаются на 1 домен и подтверждают только доменное имя. Между собой они отличаются скоростью выдачи и суммой гарантии. Предполагается, что эта сумма выделяется на возмещение возможных убытков, понесенных посетителем защищенного таким сертификатом сайта по вине центра сертификации (к примеру, ошибочная выдача сертификата).

Для выпуска этого типа сертификатов достаточно подтверждения того, что вы, как заявитель, имеете права на доменное имя, для которого вы запрашиваете сертификат. Проверки информации о вашей организации не проводится. Никакой информации об организации в сертификате также не отображается.

GeoTrust SSL True BusinessID with EV (13 500 руб/год), Thawte SSL WebServer EV (18 200 руб/год), Symantec SSL Site Pro with EV (83 500 руб/год) выдаются на 1 домен и подтверждают домен и организацию. Такой сертификат может быть получен только юридическим лицом (организацией или индивидуальным предпринимателем). Время выдачи - 1-2 дня. Сумма гарантии - до 2-х миллионов долларов.

Для выдачи такого сертификата Центр сертификации производит проверку, существует ли организация, запрашивающая сертификат, и принадлежит ли ей указанный домен.

В браузере такой сертификат выглядит так же, как предыдущие, но с указанием информации об организации.

Только для этих сертификатов в браузере адресная строка будет выделена зелёным цветом.


Уровень шифрования для всех сертификатов одинаковый и с технической стороны разницы в безопасности нет.

Различия между платными и бесплатными SSL-сертификатами.

Среди отличий платного сертификата от бесплатного Let's Encrypt можно выделить основные:

  • Первое - это надежда на финансовую гарантию. Так как Let's Encrypt является некоммерческой организацией, то в случае взлома самого сертификата компания не предоставит никаких компенсаций. Для платных сертификатов суммы компенсаций зависят от центра сертификации, в котором приобретался сертификат, а также от вида самого сертификата и могут быть от 10 тысяч и до 2-х миллионов долларов.
  • Вторым отличием является то, что Let's Encrypt выпускает только сертификаты DV SSL (Domain Validation), проверяющие только само доменное имя, в то время, как платные сертификаты могут также проверять компанию-владельца домена - OV SSL (Organization Validation) и EV SSL (Extended Validation). То есть, обеспечить зеленую адресную строку Вашему сайту сможет только платный сертификат.
  • Третье отличие - это продолжительность действия сертификатов. Платные сертификаты приобретаются на срок от 1 года. Let's Encrypt выпускает свои сертификаты на срок не более 90 дней.

Помимо всех перечисленных различий, бесплатные SSL сертификаты Let's Encrypt поддерживают технологию SNI (Server Name Identification), позволяющую установить несколько SSL сертификатов на один IP-адрес. Некоторые платежные системы не работают с этой технологией, из-за чего сертификаты Let's Encrypt могут не подходить для работы интернет-магазинов или других сайтов, использующих электронные платежи.

Итого:

Платные сертификаты для обычных сайтов (не использующих электронные платежи), почтовых серверов и серверов IP-телефонии - бессмысленны!
Платные сертификаты без OV и EV (не обеспечивающие зеленую адресную строку) - бессмысленны!
Платные сертификаты с OV и EV (обеспечивающие зеленую адресную строку) имеют смысл только если это требование вашей платежной системы.


Читайте наш блог! Впереди еще много интересный статей!

blog
blog
blog

Обратная связь

У вас есть дополнения, пожелания, вопросы, замечания? Напишите нам и мы вам обязательно ответим!

image
Вячеслав Чермашенцев

Опыт работы с 1989 года. Начинал как программист, затем расширил горизонты в сторону системного администрирования. На счету более 100 удачно реализованных проектов.

Ваши комментарии

Оставить комментарий

*
*
*
CAPTCHA Введите слово с картинки*: