Как выбрать SSL-сертификат ?

Как выбрать SSL-сертификат ?

При выборе SSL-сертификата покупатели часто ориентируются на три основных параметра — цена, сроки выпуска и соответствие задачам веб-ресурса. Вот об этих параметрах, с поправкой на тип сертификата, мы сегодня и поговорим.

ТИПЫ SSL-СЕРТИФИКАТОВ

Прежде чем выдать сертификат, удостоверяющий центр проводит проверку владельца домена. По уровню проверки сертификаты делятся на три типа:

  • с проверкой домена (DV или Domain Validation),
  • с проверкой организации (OV или Organization Validation),
  • с расширенной проверкой организации (EV или Extended Validation).

Каждый из них имеет свои визуальные признаки, которые отображаются в адресной строке или на сайте. Посетители видят их и решают, насколько веб-ресурсу можно доверять.


DV-СЕРТИФИКАТЫ

Сертификаты уровня Domain Validation (пер. с ан. «проверка домена») относят к базовому уровню валидации.

Достоинства
Чтобы получить DV-сертификат, не нужно проходить глобальных проверок, предоставлять документы и долго ждать. Такие сертификаты считаются самыми доступными по цене и выпускаются в течение нескольких минут. Центр сертификации убеждается в том, что вы являетесь владельцем определённого домена и выдаёт сертификат.

Недостатки
Так как проверка проводится только по доменному имени, то злоумышленники могут использовать сертификат на фишинговых сайтах. То, что канал передачи данных защищен, ещё не говорит о том, что данные попадут в надёжные руки. Доверчивые пользователи видят заветный «замочек» в адресной строке сайта и вводят пароли, номера счетов или карт, а в результате информация попадает к мошенникам. Это влияет на то, что у покупателей постепенно снижается уровень доверия к сайтам с DV-сертификатами. 

Кому подходит
В первую очередь, сертификаты этого типа подходят тем, кто хочет сохранить свои позиции в рейтинге поисковиков. Примерно с 2014 года браузер Google Chrome начал помечать HTTP-сайты, как небезопасные. Даже те, на которых не требуется вводить личные данные или проводить платежи. Так как DV-сертификаты — один из самых доступных по цене вариантов, их чаще всего используют для небольших веб-проектов: блогов, лендингов, личных страниц. Также они подходят для сайтов разработчиков приложений, новостных порталов, страниц-визиток. 

DV-сертификаты подходят для личных страниц и блогов.

Как проходит проверка
Все, что требуется сделать, — указать правильный административный email, созданный на почтовом сервере нужного домена. После получения заявки на сертификат удостоверяющий центр отправит на этот адрес письмо с ссылкой и кодом. Получив письмо, владелец домена переходит по ссылке, вводит код, и тем самым проходит проверку. Тем, у кого нет почтового сервера, центры сертификации предлагают альтернативные способы подтверждения прав на домен. 

Визуальный признак: замочек в адресной строке.
Срок выпуска: от 2 до 10 минут.  
Стоимость: от 2700 тенге за год.


OV-СЕРТИФИКАТЫ

Сертификаты Organization Validation (пер. с англ. «проверка организации») относятся к категории бизнес-сертификатов с высоким уровнем безопасности. Кроме проверки доменного имени, центр сертификации проверяет подлинность юридического лица. 

Достоинства
Уровень доверия к сайтам с OV-сертификатами выше, чем к сайтам с DV-сертификатами.  Так как цифровые документы этого типа не только защищают передаваемые данные, но и подтверждают, что компания, о которой рассказывается на сайте, действительно существует. 

Недостатки
Для того, чтобы получить OV-сертификат, компании необходимо пройти более тщательную проверку, чем при получении DV-сертификатов и подождать несколько дней, пока сертификат будет выпущен. Получить такой сертификат физическому лицу и индивидуальному предпринимателю гораздо сложнее, чем организациям и юридическим лицам. 

Кому подходит
Сертификаты этого типа подходят для любых коммерческих сайтов — крупных и средних компаний, благотворительных фондов, интернет-магазинов, онлайн-школ. В целом, они востребованы на всех веб-ресурсах, где пользователям предлагается вводить важную персональную информацию: номера и пароли кредитных карт, паспортные и контактные данные. 

Как проходит проверка 
Проверка проходит в три этапа. Как и в случае с DV-сертификатами, центр сертификации проверяет домен, высылая письмо на административный email. Затем убеждается, что информация в ЕГРЮЛ не расходится с данными, представленными в публичных бизнес-справочниках, и на сайте. И наконец, проверяет компанию по телефону, указанному в справочнике, чтобы владелец сайта мог в личной беседе подтвердить название организации и доменного имени. Порядок этапов может меняться. Это зависит от того, в какой удостоверяющий центр обратилась компания за сертификатом.  

Визуальный признак: замочек в адресной строке.
Срок выпуска: от 2 до 5 дней.
Стоимость: от 10 200тенге за год.


EV-СЕРТИФИКАТЫ

Сертификаты Extended Validation (пер. с англ. «расширенная проверка») считаются самыми надёжными из всех SSL-сертификатов на сегодняшний день и обеспечивают высочайший уровень безопасности. Чтобы выдать такой сертификат, удостоверяющий центр проводит длительную углубленную проверку юридического лица. 

Достоинства
Главное отличие EV-сертификата — отображение названия компании или бренда в адресной строке браузера. Пользователь сразу видит, что сайт принадлежит надежной организации, а не мошенникам, которые для обмана пользователей чаще всего используют бесплатные или самые доступные виды SSL-сертификатов с быстрой проверкой. Сайты с EV-сертификатами работают на имидж и продвижение бренда, так как всегда свидетельствуют о высоком статусе компании и наивысшей степени безопасности для посетителей сайтов. 

Недостатки
Компании нужно быть готовой к тому, что проверка удостоверяющего центра будет тщательной и долгой, а стоимость сертификата этой категории однозначно выше, чем стоимость сертификатов других типов. Кроме того, центр сертификации имеет право запросить дополнительные документы, чтобы проверить подлинность информации, полученной от компании — какие именно, станет известно только во время проверки. 

Кому подходит
Как правило, сертификаты данного типа проверки устанавливают крупные организации — банки, правительственные, государственные веб-ресурсы, страховые и финансовые платформы, социальные сети, крупнейшие интернет-магазины. То есть те, кто хочет подчеркнуть статус и завоевать доверие максимального числа посетителей сайта. 

Как проходит проверка

EV-сертификат содержит более подробную информацию об организации, чем сертификаты типов DV и OV. Поэтому и проверка проводится тщательней и может длиться до 9 дней. В целом, компания проходит те же этапы, что и при получении OV-сертификата: валидация по email, проверка данных в ЕГРЮЛ и публичных справочниках, проверка по телефону. Но есть нюансы. Во-первых, ей будет необходимо заполнить специальную форму на получение сертификата, а во-вторых, предоставить дополнительные документы по запросу от центра сертификации, если такой поступит. 

Визуальный признак: замочек и название бренда в адресной строке.
Срок выпуска: от 3 до 9 дней.
Стоимость: от 52 000 тенге за год.

Купить сертификат можно напрямую у центров сертификации, либо у их партнёров — хостинг-провайдеров и других компаний. Что интересно, покупка через посредников часто даёт свои преимущества. Партнёры обычно держат цены на том же уровне, что и удостоверяющие центры, а иногда и ниже — за счёт оптовых скидок. А кроме того, предлагают то, чего не могут предложить сертификационные компании. Так, например, у нас есть большой выбор сертификатов разных центров, поддержка на русском языке, а еще мы помогаем подбирать сертификаты под задачи и бюджет покупателей. 
Если вам тоже нужна помощь, напишите нам — подскажем. 

Какие дополнительные опции есть у сертификатов и на что обратить внимание при подборе ?

Опции, о которых пойдет речь, доступны для сертификатов категории DV и OV. Для EV сертификатов доступна только поддержка национальных доменов.

Поддержка субдоменов — WildCard

Если требуется защитить не только основной домен, но и его поддомены, рекомендуем выбирать сертификат категории Wildcard.

Данный тип сертификатов защитит не только ваш основной домен, а также все его поддомены следующего уровня в неограниченном количестве. При заполнении данных для выпуска сертификата вам следует указать *.domen.kz и все поддомены уже будут учтены.

Кому подходит

Данный сертификат подойдёт для сайта с большим количеством поддоменов, например если ваша организация представлена в разных городах и в субдоменах указаны города:

Основной домен — domen.kz
Поддомены — aa.domen.kz, ss.domen.kz, ff.domen.kz и т. п.

Мультидоменный сертификат — Multi-Domain

Если хотите защитить несколько доменов одним сертификатом, имеет смысл остановить свой выбор на такой опции как Multi-Domain .

В стоимость мультидоменного сертификата включено несколько доменов — от одного до пяти, в зависимости от выбранного сертификата. Дополнительные домены (SAN) можно добавить за отдельную плату до 100 шт.Защита одного домена с www. и без www. считается как отдельное доменное имя.

SAN (Subject Alternative Name) — опция для защиты несколько доменных имен на одном IP-адресе в рамках сертификата. Домены вносятся при заполнении данных сертификата и генерируются в файл CSR.

Таким образом, вы заполняете данные сертификата только один раз и выпускаете 1 сертификат на все ваши домены.

Кому подходит

Данный сертификат будет удобен тем организациям, которые ведут несколько веб-проектов и направлений с разными доменными именами.

Мультидоменный сертификат с поддержкой субдоменов Multi-Domain Wildcard

Бывают ситуации, что требуется защитить не только разные домены, но и все их поддомены. В таком случае оптимальным вариантом будет выбор сертификата с опцией «два в одном» — Multi-Domain Wildcard.

Данный сертификат включает по умолчанию два домена: первый — базовый, второй — Wildcard. Таким образом, вы сможете защитить одним сертификатом несколько доменов, а также один домен с неограниченным количеством поддоменов. Дополнительные домены, также, как и в случае с обычным Multi-domain , можно добавить за отдельную плату до 100 шт.

Кому подходит

Организациям, ведущим деятельность в разных городах в нескольких направлениях. А также для больших проектов с развернутой информацией по товарам и услугам. К примеру, ваша компания продает мебель и вы предлагаете на выбор несколько категорий товара. Плюс ваш дополнительный проект на отдельном домене — сайт по продаже матрасов. Покупая один сертификат, вы сможете защитить сразу оба домена и все поддомены первого:

Основной домен — mebel.kz
Поддомены — divan.mebel.kz , krovat.mebel.kz , stol.mebel.kz
Дополнительный домен без поддоменов — matras.kz

Поддержка национальных доменов — IDN

Если ваш домен находится в зоне.рф или другой, принадлежащей к национальным доменным зонам, вам подойдет сертификат с поддержкой IDN (Internationalized Domain Names). Выбор сертификатов с данной опцией разнообразен. Можно выпустить сертификат с любым типом проверки OV, DV и EV.

Кому подходит

Всем, у кого есть домен в национальной зоне, который требуется защитить.

Например: .каз (Казахстан), .uk (Великобритания), .cn (Китай) и т. п.

Принудительно высокий уровень шифрования SGC

Сертификат с данной степенью защиты будет необходим, только если посетители сайта до сих пор использует версию SGC-браузера , вышедшую до 2000-го года. Это связано с тем, что в старых версиях браузеров используется 40-битное шифрование, а современные браузеры поддерживают шифрование данных 128/256 бит. Данный сертификат позволит таким пользователям подключаться к сайту по безопасному соединению без установки обновлений или других браузеров.

Кому подходит

Данный сертификат может подойти бюджетным или научным организациям, которые используют устаревшее или строго регламентированное ПО в своей работе. Однако, стоит заметить, что многие Удостоверяющие центры на данный момент уже отказались от подобного типа шифрования.

Защита Exchange и почтового сервера

Если требуется защитить почтовый или Exchange сервер (ПО для совместной работы пользователей, отправки писем и сообщений), можно рассмотреть выпуск сертификата с поддержкой SAN-доменов в категориях Multi-Domain и Multi-Domain Wildcard, который позволит установить защищенный канал для обмена данными.

При заказе и выпуске сертификата вам потребуется сгенерировать CSR-код на сервере, который требуется защитить.

Если защитить необходимо только 1 почтовый сервер можно воспользоваться альтернативным и более экономным вариантом — выпустить сертификат категории DV. Генерация CSR-кода для выпуска сертификата также необходима на самом сервере.

Кому подходит

Организациям, использующим Exchange сервер или другое программное обеспечение для обмена данными между пользователи и желающим, чтобы эти данные передавались по защищенному каналу.

Защита IP-адреса

SSL-сертификат может защищать, как доменное имя, так и ip-адрес . Для выпуска такого сертификата существует ряд условий:

  1. Возможен выпуск только OV SSL-сертификатов .
  2. IP-адрес должен принадлежать компании (проверка осуществляется по WHOIS IP-адреса ).
  3. При заполнении заявки на сертификат вместо доменного имени необходимо указать свой ip-адрес .

Выпуск DV SSL-сертификатов (с проверкой по домену) для IP-адресов доверенными удостоверяющими центрами не производится, поскольку в данном случае создаются угрозы безопасности ( IP-адрес может быть неуникальным). Также невозможно выпустить EV SSL-сертификат для IP-адреса ввиду высоких рисков.

За выпуском таких сертификатов для защиты IP-адреса обращаются довольно редко, поэтому список их ограничен и не все компании могут оказать услугу по выпуску такого сертификата. Нашим клиентам для защиты IP-адреса мы предлагаем сертификат Comodo Instant SSL. Для защиты нескольких IP-адресов потребуется выпуск соответствующего количества сертификатов.

Кому подходит

Проектам, для которых требуется защищенное подключение по IP-адресу , сайтам без доменного имени, привязанным только к IP-адресу . А также может использоваться для защиты разного рода формам для внесения данных с доступом через IP-адрес .

Вы можете заказать SSL-сертификат сразу с несколькими опциями, в соответствии с параметрами вашего проекта.

На что еще обратить внимание при выборе сертификата

При выборе сертификата следует обратить внимание не только на тип сертификата и его дополнительные опции, а также на Удостоверяющий центр, которые выпускает SSL-сертификаты . Лучше отдавать предпочтение тем сертификационным центрам, которые существуют долгое время на рынке. Так вы обезопасите себя от того, что ваш сертификат может быть скомпрометирован или аннулирован в процессе работы.

Кроме того, у каждого Удостоверяющего центра могут быть разные условия проверок компаний и выпуска сертификата: список публичных справочников для проверки, разные сроки выпуска и требовательность к данным об организации в публичном пространстве.

Если сомневаетесь в правильности своего выбора, обращайтесь за помощью в отдел продаж. Мы подберем вариант с учетом сложности вашего проекта, объёма инфраструктуры и ваших задач.