SSL (Secure Sockets Layer) — это протокол, который обеспечивает защищенное соединение между веб-браузером и веб-сервером. Сертификаты SSL используются для проверки подлинности веб-сайтов и зашифровки данных. Они бывают платными и бесплатными.
В действительности как бесплатные, так и платные сертификаты любого типа валидации работают одинаково. Большинство из них даже имеют приблизительно один уровень шифрования. При этом цены могут заметно различаться у разных вендоров. В чём причина? Далее подробно разберём, от чего на самом деле зависит стоимость SSL-сертификата.
Надёжность сертификата: шифрование
Основное предназначение SSL-сертификата — обезопасить сайт и операции на нём. Это становится возможным, если защитить канал передачи данных между сервером и клиентом с помощью протокола SSL. И главный фактор, который определяет способность SSL-сертификата обеспечивать безопасное и надежное шифрование данных, — это криптографические алгоритмы и длина ключа.
Чтобы считаться надёжными, современные SSL-сертификаты должны учитывать требования браузеров, а именно: стандарт шифрования SHA 256 и длину ключа 2048 бит.
Существуют сертификаты с длиной ключа 3072 бита и даже 4096 бит. Но пока такой уровень шифрования считается избыточным: переход на ключи минимум RSA 3072+ бита планируется только в 2030-х годах.
Примечательно, что длина ключа прямым образом не влияет на стоимость сертификата. Можно установить бесплатный SSL-сертификат от Let’s Encrypt с ключом на 4096 бит или купить платные сертификаты со стандартными 2048 битами.
От чего ещё зависит стоимость сертификата, кроме шифрования? Как правило, цена прямо пропорциональна уровню проверки подлинности, типу сертификата, наличию дополнительных опций, доверию к центру сертификации. Разберём эти параметры подробнее.
Уровень проверки подлинности: DV, OV, EV
При покупке платного сертификата владелец домена или компании должен пройти процесс проверки подлинности (валидации). В зависимости от типа сертификата, этот процесс может быть более или менее строгим. Тип проверки влияет на то, какая информация будет отображена в сертификате: что смогут узнать браузеры и посетители сайтов о владельце домена.
Сертификат с базовым типом проверки DV (Domain Validation) содержит только список защищаемых доменов, для которых он будет работать. Проверка и выдача сертификата проходят в автоматическом режиме. У сайтов с DV-проверкой обычно отображается только замок в адресной строке браузера.
В сертификатах OV (Organization Validation) проверяется не только домен, но и информация о компании, включая юридический адрес и контактные данные. Это обеспечивает более высокий уровень доверия по сравнению с DV-сертификатами. Отображается имя компании в сертификате и может быть видно в некоторых браузерах.
Сертификаты EV (Extended Validation) — это наивысший уровень проверки подлинности. Проводится более глубокая проверка компании, включая правовой статус, физический адрес и др. Требования к проверке строже, и этот процесс может занять больше времени. В адресной строке браузера отображается зеленая строка с именем компании.
Стандартные сертификаты с использованием автоматической валидации обычно дешевле, чем сертификаты с расширенной проверкой, которые требуют более строгой проверки и документации. DV можно получить даже бесплатно (например сертификат Let’s Encrypt). При этом длина ключа DV-сертификата может быть больше, чем у самого дорогого EV.
Сертификаты OV и EV доступны только для юридических лиц и ИП, проходят валидацию вручную, удостоверяющий центр запрашивает и проверяет документы у заказчика, поэтому их цена выше.
Типы сертификатов: однодоменные, Wildcard и SAN
Существует несколько типов SSL-сертификатов:
Однодоменные — сертификат работает только для одного домена, например supersite.ru.
Wildcard — позволяет защищать не только основной домен, но и все его поддомены.То есть с помощью Wildcard можно добавить к имени значение со звёздочкой (*) перед основным значением домена. Таким образом, можно выпустить сертификат вида *.supersite.ru, чтобы он работал как с supersite.ru, так и с my.supersite.ru, your.supersite.ru, our.supersite.ru и так далее. Сертификат работает только на тот уровень, на котором стоит звёздочка (*), то есть доменное имя типа 1.2.3.supersite.ru защищено не будет, потому что оно на 2 уровня ниже, чем *.supersite.ru.
Multi-domain (SAN) — сертификаты для нескольких доменов. Функция SAN (Subject Alternative Name) позволяет добавить к имеющемуся домену ещё один или несколько. В итоге один сертификат будет распространяться на несколько сайтов. Например, такой сертификат будет действовать и на supersite.ru, и на dreamsite.com одновременно. Так можно сэкономить время и деньги и показать, что этими доменными именами владеет одна компания.
Таким образом, при выборе сертификата ориентируйтесь на потребности именно вашего бизнеса. Например, если вы ведёте несколько не связанных друг с другом компаний с разными сайтами, лучше покупать сертификаты с SAN. Для сайтов с большим количеством поддоменов на одном уровне подойдёт Wildcard. Если у вас всего один домен без поддоменов и вы не планируете это менять — вам будет достаточно однодоменного сертификата.
Дополнительные опции: гарантия компенсаций
Некоторые SSL-сертификаты могут включать дополнительные функции, такие как гарантированные денежные компенсации (warranty), поддержка мобильных устройств, защита от фишинга и другие дополнительные службы, которые могут повысить стоимость сертификата.
Остановимся подробнее на денежных компенсациях. Каждый центр сертификации предоставляет денежную гарантию на свои сертификаты. Её можно получить в случае, если посетитель или владелец сайта понесёт убытки по вине центра сертификации. Например, если шифр сертификата взломают по вине центра, или сертификат был выдан мошенникам. Каждый вендор сам решает, какие страховые выплаты он гарантирует и на какие случаи они распространяются. Чем сложнее тип проверки — DV, OV или EV, тем больше гарантия и, соответственно, выше стоимость.
Доверие к центру сертификации
Платные сертификаты выпускаются известными и проверенными центрами сертификации, которые уже давно существуют и имеют хорошую репутацию. Такие центры, как Comodo (сейчас Sectigo), Digicert, GlobalSign и другие имеют долгую историю работы в этой области и пользуются высоким уровнем доверия. Браузеры и операционные системы включают предустановленные наборы корневых сертификатов доверенных центров сертификации, и если SSL-сертификат был выпущен доверенным центром, то браузер будет считать его надёжным.
Надёжность сертификата также связана с тем, насколько быстро и эффективно центр сертификации может обновить или отозвать сертификат в случае угрозы безопасности или утраты доверия.
Бесплатные сертификаты, в свою очередь, часто предоставляются новыми или менее известными удостоверяющими центрами или проектами, такими как Let's Encrypt.
Выбор SSL-сертификата
Как вы успели заметить, стоимость SSL-сертификата практически не зависит от уровня его шифрования. Но зато на неё влияют тип проверки, наличие дополнительных опций, размер страховки, репутация центра сертификации и ещё много других менее значительных факторов.
При выборе сертификата стоит ориентироваться на потребности конкретно вашего бизнеса.
DV-сертификаты, в том числе и бесплатные, подойдут для большинства сайтов. Однако если вы — крупный и известный бренд либо принимаете платежи прямо на сайте — вам подойдут ОV и EV-сертификаты, что поможет защитить сайт от фишинга.
Если у вашего сайта есть много поддоменов, то стоит выбрать опцию Wildcard, а если у вашего бизнеса имеется несколько разных сайтов, то рассмотрите вариант мультидоменного сертификата с опцией SAN.
Также если вам важно, чтобы браузеры доверяли SSL-сертификатам, а в случае возникших из-за сертификата убытков можно было бы рассчитывать на денежную компенсацию — следует выбрать центр сертификации с долгой историей и высоким уровнем доверия.
Возможно, вам будет важен и срок действия: как правило, платные сертификаты имеют более долгий срок действия — 1 год, в то время как бесплатные сертификаты выдаются на короткий период — несколько месяцев. Это означает, что бесплатные сертификаты нужно будет чаще обновлять. Сертификаты с более длительным сроком действия обычно стоят дороже, но зато их можно обновлять реже.
Выбор между платным и бесплатным SSL-сертификатом зависит от потребностей вашего сайта и бюджета. Если вы ищете быстрое и бесплатное решение для обеспечения базовой защиты на сайте, бесплатные сертификаты, такие как Let's Encrypt, могут быть отличным выбором. Если же вам необходимы дополнительные функции и высокий уровень доверия, то платный сертификат может быть более подходящим вариантом.
Ознакомьтесь с предложением SSL-сертификатов от надёжных и известных удостоверяющих центров на нашем сайте, чтобы выбрать подходящий именно вам.
Комментарии