Какой SSL-сертификат выбрать — платный, бесплатный, и можно ли без него обойтись

SSL-сертификаты бывают платные, бесплатные, для физических лиц и компаний. А еще — с разными странными обозначениями. Например, OV, EV, DV… Голова кругом — непонятно, какой выбрать, обязательно ли платить, а когда подойдет и бесплатный.

Рассказываем, что будет, если не установить SSL-сертификат, что означают DV, OV и EV, с чего начать выбор и какой сертификат подойдет именно для вашего проекта.

1. Работать ли без SSL-сертификата
2. Как выбирать SSL-сертификат
3. DV — Domain Validation
4. OV — Organization Validation
5. EV — Extended Validation
6. Самоподписанный SSL-сертификат
7. Как сэкономить на SSL-сертификатах с помощью опций
8. Главное: какой SSL-сертификат выбрать

Работать ли без SSL-сертификата

Любой сайт работает с конкретной целью — чаще всего, это прибыль. Стабильная и безопасная работа сайта влияет на репутацию компании и ее финансовое состояние.

Вот с чем рискует столкнуться владелец проекта, если выберет SSL-сертификат неверно или не установит его вовсе.

Утечка данных. Посетители сайта передают конфиденциальные сведения, которые могут перехватить мошенники и использовать в личных целях — паспортные данные, номера кредитных или дебетовых карт, адрес, электронную почту. А еще, предусмотрен штраф за утечку персональных данных — от 3 до 15 миллионов рублей для юридических лиц.

Недоверие пользователей. Когда человек открывает сайт и видит красный замок и сообщение «Ваше подключение не защищено», то он может подумать, что это скам и закрыть вкладку.

Как выглядит уведомление на сайте без SSL-сертификата:

Когда такое окно всплывает на сайте, где продаются товары или услуги, то снижается доверие людей. В голове у пользователя срабатывает реакция «Здесь небезопасно, пойду в другое место». И человек уходит — возможно, к конкурентам. В результате бизнес теряет потенциального клиента.

Падение органического трафика. Поисковики хуже ранжируют сайты без SSL-сертификата — алгоритмы автоматически считывают ресурс как ненадежный и чаще оставляют в конце «очереди».

Поэтому SSL-сертификат нужен всем — неважно, работает ли сайт как визитка-портфолио или принимает заказы и платежи.

Как SSL-сертификат защищает сайт. Когда пользователь пытается перейти на сайт, SSL-сертификат создает зашифрованный туннель между компьютером и сервером сайта.

Так сертификат защищает личные данные от утечек — даже если мошенники перехватят информацию, то они не смогут ее расшифровать.

Переходим от теории к практике — чтобы выбрать подходящий SSL-сертификат, определим, какие задачи у проекта.

Как выбирать SSL-сертификат

Прежде чем выбирать SSL-сертификат, нужно понять, как работает ваш проект и какие у него задачи. Например, одни сертификаты можно оформить только на юридическое лицо и платно, а другие — не дают страховой защиты и подходят только для небольших блогов и сайтов-визиток.

Вот на какие параметры проекта смотрим.

1. Что «под капотом».

Несколько ресурсов — например, два домена, почта, IP-адреса. Для такого проекта могут подойти сертификаты с защитой IP-адреса или с опцией SAN. Подробнее о том, как работают опции, рассказали в разделе «Как сэкономить на SSL-сертификатах с помощью опций».

Один домен — для такого проекта подойдет DV-сертификат. Подробнее о том, какие бывают DV-сертификаты и где его заказать, рассказали в разделе «DV — Domain Validation».

Домен и несколько поддоменов — могут подойти сертификаты с опциями SANWC или Wildcard. Подробнее — в разделе «Как сэкономить на SSL-сертификатах с помощью опций».

Внутренний проект — например, сайты с доступом из локальной сети или веб-приложения на стадии тестирования. Здесь подойдет самоподписанный сертификат — его считает доверенным только тот сервер, на котором сертификат создан. Подробнее — в разделе «Самоподписанный SSL-сертификат».

2. На кого оформлен домен.

Физическое лицо — можно выпустить только бесплатные или коммерческие DV-сертификаты. Подробнее рассказали в разделе «Виды сертификатов».

Юридические лицо и ИП — подойдут коммерческие сертификаты DV, OV или EV. Подробнее — в разделе «Виды сертификатов».

Переходим к SSL-сертификатам — разбираемся, какая разница между бесплатными, коммерческими, с разной степенью проверки, со страховкой или без нее. И что означает те самые DV, OV и EV.

DV — Domain Validation

Domain Validation — это степень проверки владельца сайта для выпуска сертификата. Чтобы удостоверяющий центр выпустил DV-сертификат, достаточно подтвердить владение доменом. Оформить такой SSL-сертификат можно и на физическое, и на юридическое лицо. DV-сертификат быстро получить — иногда требуется меньше часа.

Бесплатный DV-сертификат выдает некоммерческий удостоверяющий центр — у вас не будет страховки, если с сайтом возникнут проблемы из-за SSL-сертификата. Бесплатный DV-сертификат подходит, когда от работы сайта не зависит финансовый результат проекта. Примеры бесплатных DV-сертификатов — Let's Encrypt, CloudFlare.

Коммерческий DV-сертификат отличается от бесплатного DV-сертификата более длинным сроком действия и страховкой. Коммерческий DV-сертификат подойдет для более крупных сайтов, где пользователи регистрируются, оставляют электронную почту и свое имя, но не делают покупки или переводы. Например, SSL-сертификат GlobalSign DomainSSL подойдет сайтам, которым важно получить гарантию защиты ресурса — страховка составляет $10 тыс.

OV — Organization Validation

OV — это коммерческий сертификат. Чтобы его выпустить, нужно подтвердить владение доменом и существование компании. Нельзя оформить на физическое лицо, только на юридическое лицо или ИП.

Преимущество OV-сертификата — высокая страховая защита. Например, у сертификата GlobalSign Organization SSL Wildcard страховка $1,25 млн.

А еще в OV-сертификате указана информация, какой компании он выдан — пользователи смогут проверить, что сайт настоящий, а не фишинговый.

OV-сертификаты нужны для малого и среднего бизнеса, где важно сохранить безопасность данных, а сайт влияет на прибыль компании. Например, для таких проектов подойдут сертификаты GlobalSign OrganizationSSL и GlobalSign OrganizationSSL Wildcard.

EV — Extended Validation

EV — коммерческий сертификат. Чтобы его выпустить, компания должна пройти расширенную проверку — нужно подтвердить владение доменом и существование компании.

Основное отличие EV-сертификата от OV — размер страховки. Например, у популярного сертификата GlobalSign EV SSL страховка 1,5 млн $.

EV-сертификат подойдет крупному бизнесу и корпорациям, которым важно сохранить максимальную защиту и безопасность данных.

Самоподписанный SSL-сертификат

Самоподписанный SSL-сертификат может выпустить любой человек на своем сервере. Для этого нужно сформировать закрытый ключ и сгенерировать сертификат в консоли или в панели управления ispmanager.

Такой SSL-сертификат подходит только для внутренних проектов, потому что считается доверенным лишь на том сервере, где его выпустили. Другие устройства не смогут определить, кто выпустил сертификат, поэтому будет вылетать предупреждение «Ваше подключение не защищено» или ограничат доступ к сайту.

Собрали таблицу для сравнения SSL-сертификатов:

Как и где заказать SSL-сертификат:

Бесплатный сертификат Let's Encrypt — в панели управления ispmanager →

Коммерческие DV, OV и EV-сертификаты — купить на сайте ispmanager →

Самоподписанный SSL-сертификат — в панели управления ispmanager →

Как сэкономить на SSL-сертификатах с помощью опций

Часто проекту хватает одного SSL-сертификата. Но бывает по-другому. Например, проект работает на IP-адресе и защита домена ему вовсе не нужна. А может наоборот, состоит из нескольких доменов. Или просто масштабный — например, финансовой компании нужно защищать внутренние поддомены, сайты, веб-приложения и другие сервисы. Тогда потребуются десятки сертификатов для разных доменов и поддоменов.

У SSL-сертификатов есть дополнительные опции, которые помогут сократить расходы и защитить проект в зависимости от его наполнения.

Какие бывают опции сертификатов и когда они нужны:

SAN — Subject Alternative Name. Один сертификат защищает сразу несколько доменов и поддоменов. Можно установить и продлевать сразу для всех проектов — не придется тратить время и деньги, чтобы покупать и следить за сроками сертификатов для каждого домена. Выпускается на конкретные имена — нужно указать в сертификате названия всех доменов. Подойдет для сайтов с большим количеством доменов и поддоменов — SaaS-платформ, интернет-порталов.

Примеры доменов: www.example.com , mail.example.com , blog.example.org.

Популярные SSL-сертификаты с опцией SAN — GlobalSign DomainSSL, GlobalSign OrganizationSSL, GlobalSign EV SSL.

Wildcard — защищает один домен и все его поддомены. Подходит для сайтов с большим количеством поддоменов одного уровня.

Например: *.example.com — звездочка в имени подразумевает любой поддомен, даже если он еще не создан.

Популярные сертификаты с опцией Wildcard — GlobalSign AlphaSSL Wildcard, GlobalSign DomainSSL Wildcard.

SAN Wildcard — SANWC. Комбинирует возможности SAN и Wildcard, защищает несколько доменов и поддоменов одновременно. C помощью SANWC можно защитить поддомены основного домена и любые новые поддомены. Подходит для многоуровневых корпоративных сетей, сложных веб-систем.

Например: *.example.com , *.example.org.

Популярные сертификаты с опцией SANWC — GlobalSign OrganizationSSL, GlobalSign OrganizationSSL Wildcard.

IP Address SSL — SSL-сертификат для защиты IP-адреса. IP Address SSL подходит для сетевых устройств, серверов и служб, где используются IP-адреса вместо доменов — например, для внутренних сетей VPN-соединений.

Популярный сертификат для IP-адреса — GlobalSign Organization SSL.

MS Exchange — защищает несколько поддоменов, подходит для серверов Microsoft Exchange и Lync.

Примеры доменов: mail.example.com , owa.example.com , autodiscover.example.com , www.example.com.

Например, такая опция доступна в сертификате GlobalSign DomainSSL.

Главное: какой SSL-сертификат выбрать

✓ SSL-сертификат нужен всем сайтам — пользователи, поисковики и браузеры больше доверяют защищенным ресурсам. Работать без сертификата можно, если вы готовы нести ответственность за возможную утечку данных, терять органический трафик и потенциальных клиентов.

✓ SSL-сертификат делает безопасной передачу данных между браузером и сервером. Он подтверждает источник сведений и зашифровывает информацию для отправки.

✓ Перед выбором SSL-сертификата нужно определить тип и задачи проекта — работаете ли вы как физическое или юридическое лицо, сколько доменов и поддоменов нужно защитить.

Например:

• Для физических лиц подойдут бесплатные и коммерческие DV.
• Для юридических лиц подойдут коммерческие DV, OV или EV.
• Когда нужно защитить сразу несколько доменов или поддоменов, то подойдут сертификаты GlobalSign DomainSSL, GlobalSign OrganizationSSL, GlobalSign EV SSL.
• Для проектов, где используются IP-адреса вместо доменов, подойдет OV GlobalSign OrganizationSSL.
• Для сайтов с большим количеством поддоменов одного уровня подойдут сертификаты GlobalSign AlphaSSL Wildcard, GlobalSign DomainSSL Wildcard.

✓ Платный SSL-сертификат подойдет для сайтов, которые собирают личные данные пользователей и принимают платежи.

✓ Бесплатный SSL-сертификат не подведет, когда сайт не монетизируется — например, личный блог или сайт-визитка.

Остались вопросы по SSL-сертификатам — напишите нам в чат или на почту help@ispmanager.com Поможем выбрать, расскажем, закажем =)

Если вам понравилась статья, то подписывайтесь на наш телеграм-канал, чтобы не пропустить другие полезные материалы.