Ассортимент SSL-сертификатов и выдающих их доверенных центров весьма разнообразен: бренды, опции, цены вполне могут вас запутать. Тем не менее, подобрать цифровой сертификат не так уж сложно, достаточно прочитать данное руководство. Итак, начнем.
При выборе криптографического протокола SSL обращаем внимание на следующие параметры: cтепень шифрования, метод проверки, опции, стоимость.
Степень шифрования
Любой сертификат безопасности шифрует передаваемые данные, однако, используемые для этого криптографические ключи бывают различной степени сложности. Этот показатель определяется в битах, где самые простые, следовательно, наименее надежные – 40/56 бит, наиболее стойкие шифры - 128/256 бит. Иными словами, чем больше количество бит в применяемом шифре, тем сложнее его расшифровать. Для передачи конфиденциальной информации высокой важности нужно выбирать соответствующий уровень защиты.
Метод проверки
SSL-сертификат выпускается и подписывается электронной цифровой подписью удостоверяющего центра сертификации. Эта подпись свидетельствует, что специализированный орган провел проверку подлинности web-ресурса/почтового сервера/организации. Данная аутентификация как раз и дает гарантии подлинности для пользователей, браузеров, ОС.
Проверка домена - DV (Domain Validation)
Для прохождения аутентификации адреса web-ресурса необходимо представить доказательства принадлежности домена заявителю. Для этого понадобится действующий email-адрес на почтовом сервисе сертифицируемого домена (как правило, используется admin@). Заполнять заявку следует внимательно, предоставляя только актуальные данные. Выпущенный сертификат можно будет установить только на тот домен, для которого он был выдан. Срок выдачи минимален и может начинаться от нескольких часов. Просмотреть список сертификатов с проверкой доменов.
Проверка организации - OV (Organization Validation)
Данные сертификаты доступны только для юридических лиц. Подавая заявку на верификацию организации, потребуется заполнить форму с данными о компании, подтвердить свое представительство и принадлежность домена указанной организации. Перед оформлением заказа важно проверить, действительно ли домен принадлежит вашей компании. Срок выдачи минимален и может начинаться от нескольких часов. Просмотреть список сертификатов с проверкой организации.
Расширенная верификация организации (Extended Validation)
Сертификат выделяется в строке браузера зеленым цветом, обеспечивает максимальную степень доверия к ресурсу, обладает самой высокой стоимостью. При получении сертификата обязательно проверяются права организации на домен, ее правовую, физическую и операционную деятельность, проводится проверка соответствия компании официальным документам. Срок выдачи может составлять от одной до нескольких недель. Данная верификация доступна только для юридических лиц, некоммерческих и государственная организаций. Просмотреть сертификаты с расширенной проверкой организации.
Опции
Каждый сертификат может обладать одной или несколькими опциями. Какие из них нужны, а какие нет, зависит от технических потребностей проекта. Рассмотрим какими свойствами может обладать SSL:
WC (WildCard) – опция, при которой действие сертификата распространяется не только на основной домен, но и на все его поддомены. При необходимости защиты передаваемых данных сайта и принадлежащих ему доменов третьего уровня, приобретается сертификат с функцией WildCard. Это экономит время и деньги на подключение протоколов безопасности к web-ресурсу с субдоменами, где все адреса будут открываться по зашифрованному протоколу HTTPS: www.site.ru / site.ru / *.site.ru. Может быть оформлен физическим и юридическим лицом.
Что выбрать:
- Для типа проверки домена (DV): Sectigo (Comodo) Essential SSL WildCard, RapidSSL Wildcard Certificate.
- При поверке организации (OV):Sectigo (Comodo) Premium WildCard, Thawte SSL Web Server Wildcard, Thawte SSL Web Server Wildcard.
IDN (Internationalized Domain Names) — Поддержка национальных доменов. Используется в случае защиты доменов, состоящих из символов национальных алфавитов. Если доменное имя нуждающегося в SSL сайта записано, например, кириллицей, то обычный сертификат не подойдет и потребуется опция IDN.
Что выбрать:
- Для типа проверки домена (DV):Sectigo (Comodo) PositiveSSL,Sectigo (Comodo) Essential SSL.
- При поверке организации (OV): Thawte SSL Web Server, Symantec™ Secure Site.
* Если речь идет о защите кириллического хоста с его поддоменами, то понадобится сертификат с функциями WC и IDN одновременно. Например, Thawte SSL Web Server Wildcard.
SGC (Server Gated Cryptography) — опция повышения уровня шифрования. Используется для обеспечения более надежного соединения путем принудительного повышения шифрования с 40 до 128 бит при использовании старых и очень старых версий браузеров. Данная опция может быть актуальна для бюджетных организаций с устаревшей технической базой.
Что выбрать:
- Для типа проверки домена (DV): отсутствуют.
- При поверке организации (OV): Thawte SGC SuperCerts, Symantec™ Secure Site Pro. Оба сертификата также поддерживают функцию IDN.
EV (Extended Validation) — Расширенная проверка с зелёная адресной строкой «green bar» в браузерах. EV сертификаты идеально подходят для крупных компаний, которым важна наивысшая степень защиты данных, государственных учреждений, банков, финансовых структур, систем онлайн-платежей.
Что выбрать:
- Для типа проверки домена (DV): отсутствуют.
- При поверке организации (OV): Thawte SSL Web Server with EV, GeoTrust True BusinessID with EV, Symantec™ Secure Site with EV.
Стоимость
Цены на выпускаемые сертификаты безопасности имеют очень приличный диапазон, начиная от нескольких долларов и заканчивая тысячами долларов. И зависит это не только от количества выбранных опций, но и от выпускающего их центра.
В мире существует несколько общепризнанных удостоверяющих центров. Самым крупным и дорогостоящим считается Symantec, которому также принадлежат и два других известных центра – Geotrust и Thawte, занимающие среднюю ценовую позицию на рынке. К популярным бюджетным вариантам относятся Sectigo и RapidSSL.
Как сэкономить?
- Оформлять сертификат через партнера удостоверяющего центра гораздо дешевле, чем обращаться напрямую к ним. Это связано с дистрибьюторской схемой продаж, диктуемой самими центрами.
- При выпуске сертификата на несколько лет стоимость будет ниже, чем при его покупке на один год. Минимальный срок для выпуска сертификата – год, максимальный в большинстве случаев – 3.
Какой сертификат лучше выбрать?
Для обеспечения должного уровня защиты корпоративных веб и почтовых серверов лучше выбрать сертификат с высоким уровнем шифрования и всеми необходимыми опциями. Для базовых нужд подойдут следующие варианты:
- Блог, форум, почтовый сервер, сайт – смело подойдет Sectigo (Comodo) PositiveSSL и RapidSSL Certificate с проверкой домена.
- Небольшой интернет магазин - Sectigo (Comodo) Essential SSL, Thawte SSL123 Certificate с проверкой домена.
- Интернет-магазин, корпоративный сайт – Sectigo (Comodo) Instant SSL с проверкой организации.
- Большой интернет проект, финансовая организация и т.д. – наилучшее решение EV сертификаты.
+ остальные характеристики определяется по требуемым опциям. Посмотреть полную таблицу SSL сертификатов можно здесь.
