Как защитить пользователей сайта? Обзор видов SSL сертификатов

Мир интернета наполнен не только полезными знаниями, весёлым контентом и удобными интернет-магазинами. В нём есть и много мошенников. Они перехватывают конфиденциальные данные (паспортные и банковские) или создают целые сайты, с помощью которых выманивают важную информацию. На борьбу с недоброжелателями вышел SSL-сертификат. Благодаря ему пользователь может вычислить недобросовестного владельца сайта и не дать перехватить свои данные при общении с «хорошими» ресурсами. О том, что такое SSL и как понять, есть ли он на сайте, вы можете прочитать в статье Что такое SSL-сертификат и зачем он моему сайту. В этой статье мы расскажем о видах сертификатов и о том, как выбрать SSL для своего сайта.

Типы SSL-сертификатов

Сертификаты можно классифицировать по стоимости и по уровню проверки.

Уровни проверки сертификатов

Давайте сравним сертификаты разного уровня проверки. Они бывают такими: 

• Domain Validated (DV), 

• Organization Validated (OV), 

• Extended Validation (EV).

В зависимости от уровня SSL от заказчика потребуется разный объем информации об организации. Чем выше уровень, тем больше документов нужно будет представить. 

Также уровень сертификата влияет на внешний вид строки браузера. Чем выше уровень, тем больше информации об организации будет доступно пользователю и тем безопаснее он будет чувствовать себя на веб-ресурсе. Стоит отметить, что каждый браузер сам выбирает, как будет выглядеть адресная строка защищённого сайта. Однако в любом случае веб-ресурсы с HTTPS будут иметь отличительные признаки.

Теперь давайте подробнее рассмотрим каждый из этих уровней и узнаем, для кого подойдёт каждый из них.

Domain Validated (DV) ― сертификат с упрощённой проверкой. При выпуске этого сертификата проверяется только право на использование домена. Доступен физическим лицам, ИП и юридическим лицам. Выпускается быстро. В течение 1-3 дней. 

Обратите внимание! Это единственный доступный вид сертификата для физических лиц.

При подключении защищённого соединения к сайту в адресной строке   появится зелёный или закрытый замочек. Таким образом, пользователи будут понимать, что работа с сайтом будет происходить по защищённому соединению. Подойдёт для стартапов и малого бизнеса, где от пользователей не требуют много персональных данных. 

Organization Validated (OV) ― сертификат с повышенным уровнем безопасности. При выпуске SSL проверяется право владения доменом и существование организации. Доступен только юридическим лицам.

Выпускается сертификат дольше 3 дней. В процессе проверки сертификационный центр может дополнительно запросить некоторые документы у компании.

В браузере будет отображаться не только зелёный замочек, но и наименование организации, которой принадлежит сайт. Подойдёт любым коммерческим и некоммерческим сайтам.

Extended Validation (EV) ― сертификат с самым высоким уровнем безопасности. При его выпуске проверяется право владения доменом, существование организации, а также тщательно изучается легальность её деятельности. Получить его может только юридическое лицо. 

Ждать такой сертификат придётся до 14 дней. В процессе проверки центр сертификации может запросить различные документы, которые подтвердят деятельность компании. 

В браузере будет отображаться зелёный или закрытый замочек и наименование организации.

Так как это самый высокий уровень защиты данных пользователей, он подойдёт интернет-магазинам с большой аудиторией, платежным сервисам и банковским системам. 

Сравнение SSL разного вида 

Платные или бесплатные SSL? 

Выбор SSL также зависит от финансовых возможностей компании. Сертификаты бывают:

• платные,

• бесплатные.

Любой сертификат работает по HTTPS-протоколу. Так зачем же выбирать платный сертификат, если есть бесплатный? На самом деле различия между платными и бесплатными SSL всё-таки есть и при выборе средства защиты стоит обратить на них внимание.

Бесплатные сертификаты мало живут. Создание и администрирование сайта – кропотливый процесс, и хочется, чтобы некоторые технические работы выполнялись реже. Например, домен или хостинг можно зарегистрировать на несколько лет вперед или включить автопродление и много лет не тратить время на эти действия. То же самое и с SSL-сертификатом. Так же, как домен и хостинг, его нужно постоянно продлевать. Бесплатные сертификаты в среднем продлеваются каждые 3 месяца, например Let`s Encrypt. В то время как платные сертификаты могут устанавливаться на год. 

Нет возможности выбрать уровень OV и EV. Удостоверяющие центры, которые выпускают бесплатный SSL не готовы брать на себя ответственность за предоставляемые услуги, поэтому они делают только поверхностную проверку организации уровня DV. Организации, которые следят за репутацией, стараются выбирать более высокие уровни сертификации, чтобы завоевать доверие пользователя и поисковых систем. Поисковых систем? Да, да. Они щепетильно относятся к безопасности пользователя, и сайты с уровнем OV и EV имеют больше шансов пробиться в ТОП выдачи браузера.

Помощь в установке. К сожалению, установка SSL на сайт требует некоторых навыков и часто вызывает сложности у первопроходцев. Если вы выбираете бесплатный сертификат, то вы останетесь с трудностями один на один. Вам придётся самостоятельно разбираться с процессом установки. Если же вы приобретаете сертификат, то вам всегда может помочь техническая поддержка. А некоторые организации даже самостоятельно всё установят, и вам совсем не придётся переживать.  

Гарантия защиты. Если у вас платный SSL, центр сертификации ответственен за качество предоставляемой услуги. Если случится утечка данных, компания-заказчик имеет право получить компенсацию. 

После всего перечисленного может показаться, что бесплатные SSL плохие. Это не так. Низкобюджетные проекты, стартапы и физические лица не всегда могут позволить себе платный сертификат, и для них бесплатные варианты лучше, чем вообще оставлять посетителей своих сайтов без защиты. Как только бизнес пойдёт в гору, всегда можно перейти на более высокий уровень защиты.

Обзор популярных SSL-сертификатов для сайта

Теперь перечислим лучшие SSL-сертификаты на данный момент.

Let’s Encrypt

Let’s Encrypt ― бесплатный и автоматизированный центр сертификации. Он создан организацией Internet Security Research Group (ISRG) в 2012 году. С его помощью можно установить SSL только уровня Domain Validated. Несмотря на то что компания выпускает бесплатный продукт, с точки зрения стандарта шифрования сертификат от Let’s Encrypt не уступает платным продуктам, разработанным другими центрами сертификации.

Весь процесс установки сертификата автоматизирован. Вам нужно только запустить установочный процесс.

Получить бесплатный SSL-сертификат Let’s Encrypt можно напрямую через командную строку, а также, если у вас WordPress, cPanel или Plesk, в панелях управления.

Его главный минус ―  ограниченный срок действия. Let’s Encrypt придётся обновлять каждые 90 дней (~ 3 месяца). Чаще всего обновление происходит вручную. Однако на некоторых панелях управления хостингом можно это делать в автоматическом режиме.

Также у Let’s Encrypt нет службы поддержки. Поэтому, если у вас появятся вопросы или проблемы при установке сертификата, искать ответы придётся только в технической документации или на форуме.

Let’s Encrypt  нельзя установить на кириллические домены и другие домены, которые не используют латиницу, а также на сайт, который работает по протоколу IPv6.

Comodo SSL

Comodo SSL ― это самый популярный платный SSL-сертификат на данный момент. Он предоставляет разные уровни проверки (DV, OV, EV), то есть подходит как для физических лиц, так и для ИП и юридических лиц. 

В отличие от бесплатных и некоторых платных сертификатов, он совместим со многими браузерами. Он может защищать главный домен с префиксом www или без него.

Comodo SSL поддерживает IDN (Internationalized Domain Names), то есть его можно устанавливать на сайты с национальными доменами, к примеру, кириллическими. У Comodo есть тарифы с Wildcard, которые позволяют установить защищённое соединение не только на основной домен, но и на поддомены. 

GlobalSign

GlobalSign — один из крупнейших сертификационных центров, который занимается выдачей SSL. Он основан в 1999 году. 

Также как и у Comodo, у него есть разные уровни проверки (DV, OV, EV). Совместим с популярными браузерами, такими как Firefox, Chrome, Opera, Safari, Yandex, AOL, а также с приложениями. GlobalSign отличается  не только высокой защитой данных, но и обеспечивает при этом максимальную скорость загрузки веб-сайтов.

Как выбрать SSL-сертификат для своего сайта

Какой SSL-сертификат выбрать для сайта? На что стоит обратить внимание.

Во-первых, всё зависит от вашего статуса (физ. лицо., ИП или юр. лицо). Если вы физическое лицо, выбор у вас небольшой. Вы можете позволить себе только самый низкий уровень сертификации. 

Во-вторых, определитесь с вашими финансовыми возможностями. У нового бизнеса мало денег и самая высокая защита иногда слишком дорогая, да и сразу сильно тратиться на дорогой SSL-сертификат – не лучший вариант.

В-третьих, нужно понять, как много персональных данных передают вам клиенты. Конечно, для крупных интернет-магазинов, и тем более для платежных систем, нужна максимальная защита, но если на вашем ресурсе не передаются паспортные и банковские данные, вам хватит и защиты уровня OV.

И в заключении небольшой совет. Для хостинг-провайдеров и регистраторов доменов безопасность сайтов их клиентов очень важна, поэтому они часто сотрудничают с центрами сертификации. Для владельцев сайтов это большой плюс. Специалисты сами отбирают хорошие центры сертификации, помогают установить SSL на сайт, а также могут предлагать более выгодные цены. Поэтому перед тем, как блуждать по просторам интернета в поисках надёжной услуги SSL, посмотрите, что предлагает ваш регистратор домена или хостинг-провайдер. Например, на сайте 2domains.ru можно заказать SSL-сертификат прямо при регистрации домена или заказе хостинга.