Який SSL-сертифікат обрати

Чи потрібен сайту SSL-сертифікат? Якщо поставите «+» навпроти хоча б однієї з таких пунктів – потрібен:

• Сайт буде просуватися в пошукових системах.
• На сайті організована онлайн-оплата, до ресурсу підключена платіжна система.
• Потрібно захистити користувачів web-ресурсу від підміни інформації, а дані – від попадання в треті руки.

А взагалі, такий «атрибут» повинен бути у кожного сучасного сайту. Його відсутність загрожує не тільки проблемами при SEO-просуванні і підключенні платіжних сервісів, а й падінням трафіку. Браузери «лаються» на веб-ресурси, які не використовують захищене HTTPS-підключення, і можуть просто не пускати користувачів на них.

А який SSL-сертифікат вибрати? Це залежить від особливостей сайту та ряду факторів. Розберемося з ними.

Який SSL-сертифікат вибрати: класифікація за типом перевірки даних

Розрізняють 3 рівні перевірки даних власника сайту: DV, OV і EV.

SSL DV (Domain Validated) має на увазі тільки перевірку прав володіння доменом. Буває платним або безплатним.

Безплатні видає автоматизований відкритий центр сертифікації на зразок Let’s Encrypt. Також популярністю користуються безплатні рішення CAsert, AlwaysOnSSL, CloudFlare.

Процес підключення дуже простий і займає кілька хвилин. Багато провайдерів дають можливість підключення Let’s Encrypt прямо з панелі управління хостингом. Але є мінуси:

• Мінімальний термін дії. Він випускається на 90 днів.

Тобто кожні 3 місяці сертифікат потрібно встановлювати заново. Можна робити це вручну (потрібні навички адміністрування), а можна – в автоматичному режимі. Для цього потрібне спеціальне ПЗ і навички в адмініструванні. Але в цьому випадку потрібно врахувати, що стороннє ПЗ зможе вносити зміни в конфігурацію вашого сервера.

• Відсутність фінансових гарантій. Якщо станеться злом SSL і витік ваших даних, втрати ніхто не коментує.
• Якщо плануєте надалі зробити ще один сайт на піддомені, Let’s Encrypt не зможе захистити його. Він розрахований тільки на захист одного домену.

Платний DV

Платні DV випускаються мінімум на рік. До того ж центри сертифікації при покупці таких SSL дають гарантії, в тому числі й фінансові. Випускаються вони також досить швидко – від 15 хвилин після підтвердження права власності на домен. Підтвердити права можна різними способами: по email, шляхом додавання CNAME або TXT-записи, по HTTP (потрібне розміщення на хостингу спеціального файлу, наданого реєстратором).

Сертифікати OV (Organization validation) або EV (Extended validation)

Для отримання SSL-сертифіката OV (Organization validation) вам потрібно буде підтвердити володіння доменом і факт реального існування компанії. Для більшості центрів сертифікації важливо, щоб дані заявника збігалися з відомостями у WHOIS. При установці Organization validation SSL поруч з адресою web-сайту в адресному рядку браузера зображатися піктограма зеленого або жовтого замку.

При покупці EV (Extended validation – розширена перевірка) перевіряються права на розпорядження доменом і реальність існування компанії. В рамках розширеної перевірки компанії-заявника центр сертифікації може запитати документи, що підтверджують виконання податкових зобов’язань, розрахунки з контрагентами та ін. А може просто зробити перевірку дзвінком по телефонах, вказаних на сайті компанії. EV SSL-certificate – гарантія високого рівня довіри до веб-сайту і компанії, що володіє ним. В адресному рядку такі web-ресурси позначаються зеленим замочком, або адресний рядок виділяється зеленим кольором, іноді з додаванням напису «Trusted».

Пара важливих моментів

Якщо у компанії кілька сайтів (різні версії в декількох доменних зонах, під різні ЦА і ринки), щоб їх захистити потрібно МультиДоменний сертифікат (MDC – Multidomain Certificate). Якщо використовуєте один домен і кілька піддоменів, потрібен WildCard-сертифікат.

Якщо ваш сайт (веб-додаток) призначений тільки для внутрішніх потреб компанії, підключення до нього теж потрібно захищати. Необхідності в покупці дорогого OV або EV немає. Можна випустити самопідписаний (Self-signed) сертифікат. Для потреб розробки, розміщення внутрішньої CRM або іншої системи його досить.

Де і як отримати SSL-сертифікат

2 варіанти – через хостинг-провайдера або безпосередньо у центру сертифікації. Процеси в обох випадках ідентичні. Але варіант покупки через хостера – простіший і зручніший для більшості користувачів. Ми в GMHOST надаємо користувачам допомогу в цьому.

Для отримання сертифікату потрібно:

• Сформувати SCR-запит для реєстратора. Клієнти GMHOST можуть зробити це прямо через панель управління хостингом.
• Надати документи для перевірки (при необхідності).
• Отримати файли сертифіката.
• Встановити його на хостинг.

Детально ці процеси описані в статті в нашому блозі.

Який центр сертифікації вибрати?

Коли займетесь вибором, ви обов’язково зіткнетесь із питанням, де краще купити SSL-сертифікат. Їх видачею займаються спеціальні центри сертифікації (вони ж – кореневі бюро сертифікації). Їх чимало. Але найпопулярніші – Comodo, GlobalSign, Symantec, GeoTrust, TrustWave, Sectigo і Thawte. Їх сертифікатам довіряють 99.9% сучасних браузерів.

Якщо ви вирішите пройти сертифікацію в іншому СЦ, обов’язково переконайтеся, що у цільової аудиторії не виникне проблем з доступом до сайту. Візьміть для цього статистику по топу використовуваних ЦА браузерів, і переконайтеся, що центр сертифікації є в списку довірених. Інформацію можна знайти в системних настройках браузера в розділі «Безпека» (зазвичай це – «Управління сертифікатами»).

Якщо потрібна допомога у виборі SSL-сертифіката, зверніться до фахівців GMHOST. Ми запропонуємо варіанти від Sectigo і Geotrust під будь-який сайт.