Кто в организации заказывает ssl сертификаты. Какой SSL сертификат выбрать? SSL сертификат – зачем он нужен
Существуют десятки разновидностей SSL-сертификатов. Они отличаются по целому ряду критериев - уровню доверия, количеству защищаемых доменов, бренду, а также стоимости.
1. Уровень доверия сертификата
Все SSL-сертификаты обеспечивают безопасность сеанса и шифруют любую информацию, передаваемую через сайт, с помощью протокола https.
Существует три уровня доверия SSL-сертификатов - низкий, средний и высокий. Сертификаты каждого из этих уровней отличаются объемом идентификационной информации о заказчике, включенной в сертификат, и внешним видом строки браузера.
Уровень доверия также зависит от способа проверки данных заказчика сертификата:
- упрощённая проверка - низкий уровень доверия,
- стандартная проверка - средний уровень доверия,
- расширенная проверка - высокий уровень доверия.
Подтверждают только право владения доменом. Это самый простой вид сертификатов. Проверка проходит быстро - на e-mail в домене, для которого заказывается сертификат, отправляется письмо со ссылкой для подтверждения. После прохождения по ссылке сертификат выпускается автоматически.
Доступность: физическим лицам и ИП, юридическим лицам.
Время выпуска: 1-3 дня.
Вид в браузере: активируется символ замка в строке и протокол https. Информации об организации в сертификате нет.
Подойдут для сервисов, требующих регистрации пользователя, для защиты персональных данных и информации, отправляемой по почтовым протоколам.
Подтверждают право владения доменом и существование организации. При выпуске сертификата проверяется наличие организации в открытых базах, валидность номера телефона организации, наличие в Whois по домену наименования организации.
Время выпуска: от 3 дней.
Вид в браузере: активируется символ замка в строке и протокол https.
В сертификате безопасности указывается наименование организации, ее местонахождение, центр сертификации, выдавший сертификат (поле «Издатель»), срок действия сертификата:
Подойдут для бизнес-сайтов, интернет-магазинов и MS Exchange.
Подтверждают право владения доменом, существование организации и правомерность ее деятельности. При выпуске сертификата проводится максимально тщательная проверка юридического лица и деятельности компании.
Доступность: юридическим лицам.
Время выпуска: от 5 дней.
Вид в браузере: активируется зеленая строка с символом замка, отображается наименование организации, название центра выдачи сертификата, статус и срок его действия.
Подойдут для банков и работы с финансами, государственных организаций.
Особый вид SSL-сертификатов - . Сертификат подтверждает подлинность программ при их загрузке, целостность их содержимого и надежность источника продукта. Технология цифровой подписи подтверждает уникальность программ, которые вы скачиваете в сети и гарантирует, что файлы не были модифицированы.
Доступность: юридическим лицам.
Время выпуска: до 3 дней.
Подойдут для разработчиков программного обеспечения и приложений.
2. Количество доменов, защищаемых сертификатом
Один домен . Все сертификаты выпускаются для одного домена, за исключением сертификатов с пометкой Wildcard и SAN в названии, которые защищают несколько доменов и стоят дороже.
Один домен и его поддомены . Сертификаты категории защищают домен и все поддомены одного уровня: сертификат, заказанный для домена domain.ru защитит также субдомены mail.domain.ru, service.domain.ru и другие.
Несколько разных доменов . Сертификат категории защищает до 100 разных доменов на одном или нескольких серверах.
1 шаг. Определитесь с уровнем проверки
Сертификаты делятся на 3 типа по уровню проверки. Каждый из них имеет свои визуальные признаки. Посетители видят их на сайте и решают, насколько ему можно доверять.
- SSL сертификаты с проверкой домена (Domain Validation, DV)
Включают проверку начального уровня:
Время выпуска: 1–10 минут
Визуальный признак: замочек в адресной строке
Что вы получите: посетители будут уверены, что вводят данные на нужном им сайте, а не на поддельном ресурсе. При передаче данные тоже не попадут к мошенникам – соединение защищено HTTPS-протоколом.
Надо брать: сайтам индивидуальных предпринимателей, разработчикам приложений.
Как выглядит:
- SSL сертификаты с проверкой организации (OV или Organization Validation)
Предполагают проверку информации о компании в онлайн-справочнике и на государственном ресурсе:
- доказывают юридическое и физическое существование организации
- подтверждают право собственности на домен
- обеспечивают безопасную передачу данных по защищённому HTTPS-соединению
Время выпуска: 3–10 рабочих дней
Визуальные признаки: замочек в адресной строке, печать доверия сертификационного центра и отображение информации о компании в сертификате
Что нужно сделать: подтвердить домен, представить уставные документы и ответить на проверочный звонок от центра сертификации.
Что вы получите: посетители поймут, что сайт принадлежит реальной компании, а не однодневке. Будут доверять ресурсу больше – без опасений вводить номера кредитных карт, пароли и другие личные данные.
Надо брать: гос.порталам, интернет-магазинам и другим коммерческим ресурсам.
Как выглядит:
- SSL сертификаты с расширенной проверкой (EV или Extended Validation)
Предполагают проверку правовой, физической и операционной деятельности компании.
- доказывают существование организации и легальность её деятельности
- подтверждают право собственности на домен
- обеспечивают безопасную передачу данных по защищённому HTTPS-соединению
Время выпуска: 10–14 рабочих дней
Визуальные признаки: зелёная адресная строка с замочком, печать доверия сертификационного центра, отображение информации о компании в сертификате и адресной строке.
Что нужно сделать: подтвердить домен, номер телефона и представить официальные документы компании.
Что вы получите: даже самые недоверчивые посетители будут доверять вашему сайту – совершать крупные покупки и оставлять паспортные данные.
Надо брать: интернет-магазинам с большой аудиторией, банковским системам и платёжным сервисам.
Как выглядит:
Для дополнительной защиты установите SSL-сертификат с опцией SGC
Если посетители вашего сайта используют устаревшие браузеры, обычный сертификат не защитит передаваемые данные. Такие браузеры поддерживаю только небезопасное 40-битное шифрование. Сертификат с опцией SGC принудительно увеличивает шифрование до безопасного 128/256-битного.
Надо брать: крупным интернет-магазинам, почтовым и платёжным сервисам, ресурсам B2B тематики – всем, кому важна репутация и безопасность каждого клиента. Особенно актуально, если посетители вашего сайта – бюджетные организации – они часто используют устаревшее железо.
2 шаг. Решите, какие домены хотите защитить
SSL-сертификат Wildcard (WC) от 6793 руб. в год защищает домен и все поддомены . Если их много – покупка WC сертификата сэкономит вам деньги. Если поддоменов несколько – выгоднее приобрести для них обычные сертификаты.
Сравним на примере двух самых дешёвых сертификатов с DV-проверкой от Comodo:
| WC – 6793 руб./год | Обычный – 494 руб./год |
1 WC = 14 обычных DV
Внимательно проверяйте функционал WC сертификата перед покупкой – некоторые из них, например RapidSSL Wildcard , защищают только поддомены .
3 шаг. Выберите бренд
Мы сотрудничаем с доверенными центрами сертификации (Certificate Authority, CA). Они выпускают действительные сертификаты, которые опознают все популярные браузеры. Уровень защиты одинаковый, отличие только в стоимости и каналах связи с поддержкой.
SSL (Secure Sockets Layer) представляет собой технологию безопасности, предназначенную для создания зашифрованной связи между веб-сервером и браузером. SSL сертификация требуется, чтобы использовать на сайте защищенный HTTPS-протокол, посредством которого посетитель обменивается конфиденциальными данными с владельцем сайта.
Вот так это выглядит в адресной строке браузера для нашего сайта:
При нажатии на значок замка посетитель видит, что «Ваша информация (например, пароли или номера кредитных карт) сохраняется в тайне, когда отправляются на этот сайт». В статье мы обзорно рассмотрим виды SSL сертификатов, а также какой из них лучше выбрать для сайта или интернет магазина.
Виды SSL сертификатов
SSL сертификаты классифицируются по уровню проверки или безопасности домена. Область действия SSL ограничивается одним или несколькими именами хостов.
Обычные SSL сертификаты
Обычный SSL сертификат подтверждает только домен. Например, сертификация такого типа для www.example.ru не будет действовать для поддомена mail.example.ru. По усмотрению сертифицирующего центра, если вы приобретаете обычную SSL-защиту для www-хоста (www.example.ru), она также может включать корневой домен .
SGC сертификаты
SGC (Server-Gated Cryptography) сертификат – устаревший вид технологии безопасности, созданный в 1990 годах для коммуникации между финансовыми институтами. Сейчас этот тип сертификации заменяется на более эффективный и безопасный SSL и применяется только для облегчения использования старых небезопасных веб-браузеров с HTTPS-протоколом. В основном используется для внутренних локальных ресурсов, если на предприятии используются устаревшие сервера/ПО в силу каких-либо причин.
Пример в Google Chrome:
Wildcard сертификаты
SSL шифрование на неограниченное количество поддоменов осуществляется с использованием единого Wildcard сертификата. Поддомены должны иметь при этом одинаковое имя домена второго уровня, SSL не будет работать на нескольких уровнях. Например, если вы приобретаете сертификат на *.example.ru, он также покрывает one.example.ru и two.example.ru, но не включает mail.two.example.ru.
Т.к. Wildcard сертификаты стоят в разы дороже, перед покупкой подумайте – действительно ли Вы имеете (или планируете создавать) большое количество поддоменов? Если нет (например, Вы точно знаете, что вам нужны сертификаты для домена и двух поддоменов – demo-domen.ru, forum.demo-domen.ru, blog.demo-domen.ru) – возможно, дешевле будет купить 3 отдельных SSL сертификата. Из недостатков – настраивать и своевременно продлевать их действие нужно будет для каждого из них.
SAN сертификаты
SAN (Subject Alternative Name) сертификация позиционируется как многодоменная, защищающая несколько разных доменов. Несколько разных доменных имен может быть включено в такой сертификат, позволяя ему работать на любом из предусмотренных доменов. Например, вы можете защитить www.domain.com, mail.domain.com, anotherdomain.com в одном сертификате.
Чаще всего в в SAN сертификат входит 5 доменов, за доплату их число можно увеличить .
EV сертификаты
EV (Extended Validation) сертификация используется для HTTPS-сайтов и программного обеспечения, подтверждая юридическое лицо, которое контролирует веб-сайт или ПО . Получение этого типа сертификата требует аутентификации запрашивающей компании центром сертификации. Такой уровень защиты используется ведущими компаниями и поставщиками ПО. Переход к EV сертификации повышает доверие со стороны клиентов.
Сертификаты c поддержкой IDN
IDN-домен (Internationalized Domain Name) поддерживает имена, в которых используются нелатинские символы. Проблема в том, что имя домена, которое указывает посетитель на своем родном языке, отличается от действительного имени домена в сети. В обычном сертификате адрес такого сайта конвертируется из одной кодировки в другую.
Пользователь ожидает, что транзакция осуществляется для сайта с известным ему именем, и просто прервет ее выполнение, увидев другое не вызывающее доверия имя. Поэтому SSL сертификат, предназначенный для IDN-домена, должен поддерживать естественное отображение символов имени домена.
Какой SSL сертификат выбрать для сайта, интернет-магазина?
SSL сертификат обеспечивает защиту веб-сайта, делая его безопасным для ввода посетителем конфиденциальной информации. Как правило, это потребуется, если на сайте есть процедура регистрации пользователей, проводятся онлайн-транзакции с банковскими картами.
Для информационных сайтов и блогов тоже рекомендуется приобретение SSL сертификата с минимальным уровнем безопасности, поскольку такие сайты выше позиционируются поисковыми системами как защищающий данные посетителей. Выбор верного способа защиты для сайта определяется стоимостью, удобством и уровнем доверия пользователей.
SSL сертификаты с проверкой домена
Сертификация с проверкой домена (DV) позволяет посетителю убедиться, что он находится на правильном сайте и домен зарегистрирован в центре сертификации. Процесс проверки выполняется по электронной почте или DNS и занимает от нескольких минут до нескольких часов. Если сертификат действителен и подписан доверенным центром, браузер устанавливает защищенное соединение по HTTPS-протоколу.
Это самый недорогой вариант сертификации, для него не определяется информация об организации, поэтому не следует применять его в коммерческих целях. Такой уровень защиты рекомендуется использовать там, где нет проблем с безопасностью, например, на защищенных внутренних системах или информационных сайтах.
SSL сертификаты с проверкой компании
Сертификаты с проверкой компании (OV) работают аналогично SSL с проверкой домена, но в этом случае потребуется предоставить дополнительную документацию для идентификации организации, которой принадлежит сайт. Дополнительный этап проверки означает, что посетители будут более уверены в безопасности сайта.
Такая сертификация подтверждает право собственности на домен и сведения об организации: ее название и место регистрации. Выдача занимает от нескольких часов до нескольких дней из-за процесса проверки компании. Это стандартный тип сертификата, который требуется для коммерческого сайта.
SSL сертификаты с расширенной проверкой компании, они же Extended Validation или EV сертификаты
Сертификаты с расширенной проверкой компании (EV) подтверждают право собственности на домен, информацию об организации, а также ее юридический статус. Этот вид сертификации обеспечивает самый высокий уровень безопасности, идентифицируя компанию, стоящую за доменом. При этом адресная строка браузера содержит название организации, оповещая посетителей сайта, что они имеют дело с проверенной компанией на защищенном домене.
Выдача занимает от нескольких дней до нескольких недель из-за процесса расширенной проверки, который происходит гораздо строже, чем в других случаях. Сертификаты такого типа подходят для сайтов электронной коммерции, когда необходимо установить защищенное соединение между вашим сайтом и посетителем.
Self-Signed SSL сертификат
Self-Signed SSL сертификат подписывается не официальным удостоверяющим центром, а его собственным создателем. Такая сертификация бесплатна, однако она считается менее надежной, поскольку не обеспечивает проверку данных о компании и домене. Большинство сертификатов этого типа не могут быть отозваны, что позволяет злоумышленнику получить доступ к сайту и ко всем данным, использованным на нем.
Обычно браузер оповещает посетителя сайта об использовании такого уровня защиты и рекомендует прервать просмотр страницы по соображениям безопасности. Самозаверенные сертификаты зачастую устанавливают на выделенный сервер или на внутренних сайтах. При этом сотрудникам советуют игнорировать предупреждения браузера, так как внутренний сайт является безопасным, однако это стимулирует опасное поведение при просмотре внешних сайтов.
Вместо Self-Signed рекомендуется приобрести более надежный SSL сертификат, который оправдает свою стоимость, обеспечив необходимый уровень защиты. Использование SSL сертификатов, выданных официальным центром сертификации, устраняет предупреждения системы безопасности браузера, защищая репутацию компании и увеличивая доверие клиентов, а также поощряет безопасное поведение персонала в интернете.
Сертификат нужен, если люди оставляют у вас на сайте личные данные: платят банковской картой, создают аккаунты, подписываются на рассылки.
На сайте без сертификата вводить такую информацию небезопасно — в момент передачи на сервер её могут перехватить. Если установить сертификат, браузер будет зашифровывать данные, перед тем как передать их на сервер. Даже если мошенники перехватят информацию, не смогут её использовать — вместо номера карты будет набор случайных символов.
Выбор SSL-сертификата зависит от внутреннего устройства сайта: есть ли на сайте страницы на субдоменах или сайт доступен с нескольких доменов. Чтобы понять, как правильно выбрать SSL-сертификат, ответьте на три вопроса. Мы запомним ответы и покажем подходящие сертификаты в конце страницы.
Сколько доменов нужно защитить?
Бывают сертификаты для защиты одного или нескольких доменов. Если доменов больше пяти, устанавливать на каждый из них отдельный сертификат — невыгодно: дорого и каждый придётся продлевать отдельно. Будет выгоднее купить мультидоменный SSL-сертификат, который защитит сразу все домены.
Нужно ли защитить субдомены?
Наличие субдоменов — ещё один фактор, от которого зависит, какой SSL-сертификат выбрать для сайта. Обычный SSL-сертификат защитит только корневой домен (domain.com + www.domain.com) или какой-то один субдомен: или domain.com, или shop.domain.com. Оба адреса защитить не получится.
Если субдоменов много, невыгодно покупать свой сертификат для каждого. Для таких сайтов подойдёт сертификат Wildcard — он защитит и домен, и все субдомены. Но только те, которые идут сразу перед доменным именем. То есть shop.domain.com, blog.domain.com и cart.domain.com, но не cart.shop.domain.com.
Если не знаете, какой SSL-сертификат лучше выбрать, потому что не сами делали сайт, напишите разработчику сайта или поддержке вашего хостинг-провайдера.
На субдоменах размещают:
- разделы сайта — msk.site.com, spb.site.com, kazan.site.com;
- внутренние сервисы — mail.site.com, admin.site.com, ftp.site.com;
- публичные сервисы — cart.site.com, account.site.com, login.site.com.
Какая информация о компании должна быть в сертификате?
SSL-сертификаты бывают трёх типов: с проверкой домена, проверкой организации и расширенной проверкой организации. Проверка — это обязательная процедура, которую понадобится пройти, чтобы получить сертификат. Её проводит компания-издатель сертификата — центр сертификации.
При проверке домена понадобится просто подтвердить, что вы владеете доменом, для которого покупаете сертификат. Это можно сделать тремя способами: добавить DNS-запись в зону домена, загрузить специальный файл на хостинг, где хранится ваш сайт, или перейти по ссылке в письме, которое отправят на почту на вашем домене.
При обычной и расширенной проверке организации понадобится подтвердить владение доменом, ответить на проверочный звонок и предоставить центру сертификации юридическую информацию о бизнесе. То есть бизнес должен быть зарегистрирован официально. Иначе сертификат с такой проверкой получить не выйдет.
Проверка не влияет на то, как сертификат зашифровывает данные, все они одинаково надёжны. Но информация, которую вы отправите при проверке, потом станет частью сертификата. Это значит, что её сможет увидеть любой человек, который кликнет на значок замка в адресной строке.
Если у вас сертификат с проверкой домена, там будет информация только о домене, для которого выпустили сертификат. А если сертификат с проверкой организации, кроме домена будет также информация о регистрации бизнеса. Она поможет посетителю понять, что перед ним сайт, который принадлежит реальной компании.
Информация о регистрации Википедии в Mozilla Firefox
Сертификаты с расширенной проверкой также добавляют юридическое название компании прямо в адресную строку. Это имиджевый элемент, от которого отказываются разработчики большинства браузеров в новых версиях. Но в Opera и старых версиях других популярных браузеров такая строка ещё есть.
Строка с юридическим названием в Opera
Вы решили защитить свой веб-ресурс с помощью SSL сертификата , зашли в каталог поставщика и… изумились от того, какое количество решений существует на сегодня. Чем отличаются SSL сертификаты друг от друга? Почему цены от 490 рублей на один продукт взлетают до 50 тысяч при выборе другого? И как же все таки выбрать тот, который подойдет именно Вам? На все эти вопросы я постараюсь ответить в данной статье. А если что-то останется не ясным, обязательно пишите об этом в комментариях!
Для начала приведу общую классификацию цифровых сертификатов безопасности. Все SSL сертификаты можно разделить на группы в зависимости от двух факторов – количества защищаемых доменов с одной стороны и от уровня защиты с другой. Для наглядности, можно изобразить это так: Как мы видим, обе группы содержат по три категории SSL сертификатов, каждая из которых обязательно будет совмещаться с категорией другой группы. Поэтому важно учитывать оба аспекта при подборе определенного SSL продукта. А теперь подробнее рассмотрим все типы SSL сертификатов и выделим аспекты, которые нужно учитывать при выборе.
Виды SSL сертификатов в зависимости от количества доменных имен:
Итак, первая группа SSL сертификатов охватывает скорее технические характеристики – количество доменов, для которых предназначен тот или иной цифровой сертификат безопасности. Здесь можно выделить следующих три вида SSL продуктов:
1. SSL сертификаты для одного домена – самые простые в управлении, но при наличии большего числа доменов не такие эффективные, как два следующих типа. Они обеспечивают безопасность только для одного доменного имени и отлично подходят для веб-сайтов с простой структурой или для отдельных частей веб-сайта.
3. Мультидоменные SSL сертификаты – наиболее выгодный продукт для больших компаний, обладающих несколькими ресурсами на разных доменах. Он способен защитить до ста доменых имен, хотя при покупке его стоимость обычно включают только три, а остальные нужно покупать дополнительно. Как и Wildcard, мультидоменный SSL сертификат, поможет Вам сэкономить деньги и время на получение отдельных цифровых сертификатов.
Виды SSL сертификатов в зависимости от уровня предоставляемой защиты:
Вторая группа SSL сертификатов проявляет их качественные характеристики – уровень защиты соединения и соответственно кредит доверия посетителей сайта, что проявляется в разных визуальных показателях защищенности. Итак, здесь можно выделить три следующих вида цифровых сертификатов:
1. SSL сертификаты с проверкой домена – решения начального уровня. Такие SSL сертификаты наиболее дешевые, выдаются очень быстро, не нуждаются в валидации владельца веб-ресурса и, в отличие от остальных типов, подходят абсолютно для всех – как физических, так и юридических лиц. При этом они надежно защищают соединение между сервером и браузером пользователя и идеально подходят для защиты коммуникации по внутренней сети. Если же дело доходит до защиты онлайн магазина, корпоративного сайта большой компании, финансового учреждения или системы онлайн оплаты, рекомендую обратить внимание на следующие два вида SSL сертификатов – они более эффективны для построения доверительных онлайн отношений с Вашими клиентами. Верификация домена – это, так сказать, основа основ, ведь для получения любого SSL сертификата проводится проверка доменного имени, на которое он выдается. Если к ней добавляется еще и валидация бизнеса, Вы получаете второй тип.
2. SSL сертификаты с проверкой компании – решения более высокого уровня, при выдаче которых проводится валидация не только домена, но и компании, которой он принадлежит. Поэтому посетители веб-сайта в любой момент смогут просмотреть необходимую информацию о вас и убедиться в том, что сайт принадлежит именно Вам. Но здесь также есть одно «но» – пользователь должен знать, где просмотреть эту информацию. Конечно можно сделать на сайте баннер, указывающий, куда нужно кликнуть, чтобы убедиться в безопасности и надежности ресурса. А можно сделать еще проще, выбрав следующий тип SSL сертификата с наивысшим кредитом доверия.
3. SSL сертификаты с расширенной проверкой компании , они же Extended Validation или EV сертификаты – это решения бизнес-уровня, которые обладают исключительными визуальными характеристиками. При установке такого SSL сертификата на сайте, адресная строка браузера будет выделяться зеленым цветом, а кроме того в ней будет отображено название Вашей фирмы, меняющееся с названием центра сертификации, выдавшего SSL сертификат с расширенной валидацией. Поверьте, это не пропустит ни один потенциальный покупатель. Именно поэтому я бы посоветовала владельцам онлайн магазинов и крупных компаний, заботящихся о доверии клиентов, покупать именно SSL сертификаты с расширенной проверкой.