Какой SSL-сертификат выбрать

Нужен ли сайту SSL-сертификат? Если поставите «+» напротив хотя бы одного из следующих пунктов, — нужен:

• Сайт будет продвигаться в поисковых системах.
• На сайте организована онлайн-оплата, к ресурсу подключена платёжная система.
• Нужно защитить пользователей web-ресурса от подмены информации, а данные — от попадания в третьи руки.

А вообще, такой «атрибут» должен быть у каждого современного сайта. Его отсутствие чревато не только проблемами при SEO-продвижении и подключении платежных сервисов, но и падением трафика. Браузеры «ругаются» на веб-ресурсы, не использующие защищенное HTTPS-подключение, и могут просто не пускать пользователей на них.

А какой SSL-сертификат выбрать? Это зависит от особенностей сайта и ряда факторов. Разберемся с ними.

Какой SSL-сертификат выбрать: классификация по типу проверки данных

Различают 3 уровня проверки данных владельца сайта: DV, OV и EV.

SSL DV (Domain Validated) подразумевает только проверку прав владения доменом. Бывает платным или бесплатным.

Бесплатные выдает автоматизированный открытый центр сертификации Let’s Encrypt. Также популярностью пользуются бесплатные решения CAsert, AlwaysOnSSL, CloudFlare.

Процесс подключения предельно прост и занимает несколько минут. Многие провайдеры дают возможность подключения Let’s Encrypt прямо из панели управления хостингом. Но есть минусы:

• Малый срок действия. Он выпускается на 90 дней.

Т.е. каждые 3 месяца сертификат нужно переустанавливать. Можно делать это вручную (нужны навыки администрирования), а можно — в автоматическом режиме. Для этого требуется специальное ПО и навыки в администрировании. Но в этом случае нужно учесть, что стороннее сможет вносить изменения в конфигурацию вашего сервера.

• Отсутствие финансовых гарантий. Если произойдет взлом SSL и утечка ваших данных, потери никто не комментирует.
• Если планируете в дальнейшем сделать еще один сайт на поддомене, Let’s Encrypt не сможет защитить его. Он рассчитан только на защиту одного домена.

Платный DV

Платные DV выпускаются минимум на год. К тому же центры сертификации при покупке таких SSL дают гарантии, в том числе и финансовые. Выпускаются они также довольно быстро — от 15 минут после подтверждения права владения доменом. Подтвердить права можно разными способами: по email, путем добавления CNAME или TXT-записи, по HTTP (требуется размещение на хостинге проверочного файла, предоставленного регистратором)

Сертификаты OV (Organization validation) или EV (Extended validation)

Для получения SSL-сертификата OV (Organization validation) вам нужно будет подтвердить владение доменом и факт реального существования компании. Для большинства центров сертификации важно, чтобы данные заявителя совпадали со сведениями во WHOIS. При установке Organization validation ССЛ рядом с адресом web-сайта в адресной строке браузера отображается пиктограмма зеленого или желтого замка.

При покупке EV (Extended validation — расширенная проверка) проверяются права на распоряжение доменом и реальность существования компании. В рамках расширенной проверки компании-заявителя удостоверяющий центр может запросить документы, подтверждающие выполнения налоговых обязательств, расчеты с контрагентами и пр. А может просто сделать проверочный звонок по телефонам, указанным на сайте компании. EV SSL-certificate — гарантия высокого уровня доверия к веб-сайту и компании, владеющей им. В адресной строке такие web-ресурсы помечаются зеленым замочком, либо адресная строка выделяется зеленым цветом, иногда с добавлением надписи «Trusted».

Пара важных моментов

Если у компании несколько сайтов (разные версии в нескольких доменных зона, под разные ЦА и рынки), чтобы их защитить потребуется мультидоменный сертификат (MDC — Multidomain Certificate). Если используете один домен и несколько поддоменов, нужен WildCard-сертификат.

Если ваш сайт (веб-приложение) предназначен только для внутренних нужд компании, подключение к нему тоже нужно защищать. Необходимости в покупке дорогого OV или EV нету. Можно выпустить самоподписанный (Self-signed) сертификат. Для нужд разработки, размещения внутренней CRM или другой системы его достаточно.

Где и как получить SSL-сертификат

2 варианта — через хостинг-провайдера или напрямую у удостоверяющего центра. Процессы в обоих случаях идентичны. Но вариант покупки через хостера — проще и удобнее для большинства пользователей. Мы в GMhost оказываем пользователям помощь в этом.

Для получения сертификата нужно:

• Сформовать SCR-запрос для регистратора. Клиенты GMhost могут сделать это прямо через панель управления хостингом.
• Предоставить документы для проверки (при необходимости).
• Получить файлы сертификата.
• Установить его на хостинг.

Подробно эти процессы описаны в статье в нашем блоге.

Какой удостоверяющий центр выбрать?

Занявшись этим процессом, вы обязательно столкнетесь с вопросом, где лучше купить SSL-сертификат. Их выдачей занимаются удостоверяющие центры (они же — центры сертификации или корневые бюро сертификации). Их немало. Но самые популярные — Comodo, GlobalSign, Symantec, GeoTrust, TrustWave, Sectigo и Thawte. Их сертификатам доверяют 99.9% современных браузеров.

Если вы решите пройти сертификацию в другом СЦ, обязательно убедитесь, что у целевой аудитории не возникнет проблем с доступом к сайту. Возьмите для этого статистику по ТОПу используемых ЦА браузеров, и убедитесь, что центр сертификации есть в списке доверенных. Информацию можно найти в системных настройках браузера в разделе «Безопасность» (обычно это – «Управление сертификатами»).

Если нужна помощь в выборе SSL-сертификата, обратитесь к специалистам GMHOST. Мы предложим варианты от Sectigo и Geotrust под любой сайт.