Почему платный SSL-сертификат всегда будет лучше бесплатного
SSL-сертификаты устанавливают безопасное шифрованное соединение между браузером пользователя и сервером. У защищённых таким образом сайтов веб-адрес начинается с «https». Если сертификата не будет, все данные пользователей могут попасть к третьим лицам. Это серьёзная проблема, особенно для сайтов, на которых проводятся финансовые операции.
А есть ли необходимость покупать сертификат, ведь есть бесплатные варианты? Да, у них имеются некоторые преимущества, но немало и недостатков. Об этом в данной статье и пойдёт речь.
Принцип работы SSL-сертификата
Чтобы установить безопасное соединение, нужен ключ, который зашифровывает или расшифровывает сообщения.
SSL-сертификат использует три ключа:
- публичный, который шифрует сообщения и нужен для того, чтобы браузер мог передать данные пользователя на сервер;
- приватный, при помощи которого сервер расшифровывает сообщения, получая их от браузера;
- сеансовый, который выполняет обе эти функции — его создаёт браузер на короткий промежуток времени, пока пользователь находится на сайте.
Злоумышленник может завладеть данными пользователей в случае получения приватного ключа, с помощью которого был сгенерирован SSL-сертификат.
Бесплатные SSL-сертификаты
Владелец домена может самостоятельно создать SSL-сертификат. Также есть много центров сертификации, некоторые из них предоставляют бесплатные продукты. Но действительно ли это хороший выход из ситуации?
Самоподписанные сертификаты
Это бесплатный SSL-сертификат, который может создать каждый, не обращаясь к поставщикам услуг. Пользователи Windows могут для этого использовать криптографическое хранилище OpenSSL или консоль PowerShell. Однако у браузеров к таким сертификатам нет доверия. А это влечёт за собой ещё одну проблему — настороженность пользователей: они видят на веб-странице предупреждение о том, что подключение небезопасно.
Кроме того, можно утерять и данные организации, и данные пользователей. А если допустить ошибки при создании сертификата, то он может и неверно отображаться. В некоторых случаях удобно создавать свой SSL-сертификат — например, для проведения тестирований на внутренних сайтах организации. Однако этот вариант скорее подходит для маленьких компаний, где проще объяснить всем сотрудникам, что на выскакивающее предупреждение не нужно обращать внимания.
Бесплатные доверенные сертификаты
Процесс оформления таких SSL-сертификатов тоже не займёт много времени, часто на это уходит лишь несколько минут. Требуется только подтверждение владения доменом. Но срок действия сертификатов — несколько месяцев. После этого их нужно продлевать. Даже автоматический перевыпуск не спасает от лишней канители, потому что перед этим центр сертификации должен запросить у сайта специальный файл. И вот тут начинаются проблемы: нередко бывает, что файл отсутствует или в момент проверки сайт был недоступен. В результате сертификат не обновится, а владелец ресурса об этом и не узнает.
Если SSL-сертификат не будет продлён вовремя, он просто перестанет работать, и у посетителей сайта появится то самое пугающее уведомление о небезопасном соединении. Поэтому придётся либо постоянно проверять, работает ли он, либо создать для этого скрипт. Бесплатные доверенные сертификаты могут быть несовместимыми с устаревшими версиями браузеров. Если они установлены у некоторых ваших клиентов, то у них тоже будет выскакивать окно опасности.
Владельцам доменов не стоит рассчитывать на полноценную поддержку. Общие ответы часто задаваемые вопросы на сайтах сертификации найти можно, но далеко не всегда они помогают решить все проблемы. Гарантии и компенсацию за взлом сертификационный центр также не предоставляет.
Бесплатные доверенные SSL-сертификаты опасно использовать для сайтов, на которых принимаются платежи. В основном они работают с поддержкой технологии SNI, когда на один IP-адрес устанавливается сразу несколько сертификатов. Но тут есть две проблемы — не любая платёжная система поддерживает эту технологию, а покупатель будет бояться совершать платёж, потому что ему будет непонятно, куда уйдут деньги.
Этот вариант можно выбрать, если нужно провести тестирование, но при этом не хочется тратиться на сертификаты первые несколько месяцев.
Сертификат Let’s Encrypt
Это один из бесплатных доверенных сертификатов. Немного поговорим о нём отдельно, так как используют его довольно часто. Владельцам сайтов нередко приходится обновлять сертификат вручную каждые 3 месяца. Доступна проверка только 20 поддоменов в неделю. Другие минусы — нельзя проверить владельца сайта и использовать Let’s Encrypt для доменов на кириллице.
В случае, если сертификат перестанет работать, владелец сайта об этом не узнает. А в повседневной рутине легко забыть о проверках и необходимости обновления Let’s Encrypt. У злоумышленников появится возможность перехвата трафика. Кроме того, если он получил закрытые ключи из центра сертификации Let’s Encrypt, у него будет всё необходимое для расшифровки трафика сайтов.
Центры по выдаче бесплатных сертификатов, и Let’s Encrypt в том числе, не заботятся о своей репутации. И это плохо, потому что им безразлична судьба тех, кто использует их продукт. Эта организация не будет нести убытки и ничем не поможет владельцам сайта или их посетителям в случае взлома.
Почему платные сертификаты лучше
SSL-сертификаты стоят от 1 000 до 15 000 рублей в год. Однако уровень защиты они обеспечивают достойный. У платных сертификатов более сложные для расшифровки ключи, так как они длиннее. К тому же, продукт идёт со страховкой — в случае взлома владелец домена получит гарантированную компенсацию.
Не нужно заботиться и о перевыпуске сертификата, он будет обновляться раз в год. Несовместимости с браузерами не будет — практически каждый из них готов работать с платными сертификатами. Поэтому пользователям бояться нечего. Можно сказать, что этот продукт даже помогает продвижению сайта, потому что при его использовании намного меньше отказов.
Обратиться в центр поддержки можно всегда и по всем вопросам. Проблемы с продлением сертификата владельцу домена решать не нужно, это возьмёт на себя компания-поставщик. Во многих вопросах ему будет легко разобраться самостоятельно, так как по платным SSL-сертификатам есть много инструкций на русском языке.
Из недостатков продукта можно выделить лишь то, что он платный и не всегда оформляется быстро. Здесь всё зависит от типа сертификата. Например, сертификат EV (Extended Validation) SSL могут оформлять более пяти дней из-за проверки документов по подтверждению деятельности организации.
В Джино.Магазине есть разные типы SSL-сертификатов с высокой степенью защиты. Многие из них мы выдаём в течение всего 5 минут. Ознакомиться с полным перечнем сертификатов можно на этой странице.
Запомнить
SSL-сертификаты нужны для организации безопасного шифрованного соединения между браузером пользователя и сервером.
В работе SSL-сертификата участвует 3 ключа — публичный, приватный и сеансовый.
Бесплатные сертификаты не обеспечивают высокого уровня защиты и требуют частого обновления.
Платные сертификаты стойкие к взлому из-за сложных ключей и перевыпускаются только раз в год.