Чем отличаются SSL-сертификаты: самоподписанные, Let’s Encrypt, от центров сертификации

Благодаря SSL-cертификатам данные передаются в целости, сохранности и конфиденциальности. Все это возможно благодаря шифрованию информации.

Отличия SSL-сертификатов заключаются в способе их получения. В зависимости от бюджета, аудитории и других факторов можно выбрать между коммерческим или приватным центром сертификации, сертификатом от Let’s Encrypt и самоподписанным SSL.

Давайте сделаем сравнение SSL-сертификатов и посмотрим, в какой ситуации какой сертификат лучше использовать.

отличия ssl-сертификатов

Глоссарий

Термины, которые будем использовать, говоря об SSL-безопасности:

Центр сертификации

Центры сертификации проверяют информацию по запросу владельца домена на SSL-сертификат. Если все в порядке, выдают и подписывают сертификаты. У браузеров и операционных систем есть список доверенных центров сертификации. Если сертификат подписан одним из доверенных центров, он тоже будет доверенным.

SSL с проверкой домена, или DV SSL

Сертификат с проверкой домена выдается любому человеку, который доказал, что он владеет доменом, для которого запросил SSL. Это доказательство — обычно уникальный серийный номер, который центр сертификации берет с вашего веб-сервера или из DNS-записей.

SSL с проверкой организации, или OV SSL

SSL с проверкой организации значит, что центр сертификации также проверил имя компании и ее адрес в публичных базах данных. Информация вводится в сертификат и обычно отображается только когда пользователь нажимает на иконку с замочком.

SSL с расширенной проверкой, или EV SSL

Расширенная проверка более тщательная, чем проверка домена или организации. При выдаче EV сертификатов проверяются права на домен, существование и местоположение компании.

В отличие от DV и OV сертификатов, EV сертификаты не могут выдаваться для субдоменов.

EV сертификаты также по-особому отображаются во всех браузерах кроме Google Chrome. Сайт с таким сертификатом отображается с именем компании в зеленой строке браузера. Пользователи обычно больше обращают внимание на сайты с зеленой строкой и больше им доверяют.

SSL-сертификат с проверкой субдоменов

Это сертификат, который защищает не только основной домен www.abc.com, но и все его субдомены — www.one.abc.com, www.two.abc.com.

Коммерческие центры сертификации

У коммерческих центров сертификации можно купить DV, OV, и EV сертификаты. Это такие компании, как Comodo, GeoTrust, VeriSign.

  • Процесс: клиенты вручную устанавливают и продлевают SSL.
  • Цена: приблизительно $10–$1000
  • Вид проверки: DV, OV и EV
  • Доверие: по умолчанию SSL признаются большинством браузеров и ОС.
  • Сертификаты с проверкой субдоменов: да
  • Срок действия: 1–2 года

Коммерческие центры сертификации традиционно были единственным способом получить сертификаты, которые признаются большинством браузеров. Это изменилось с появлением таких автоматизированных центров сертификации, как Let’s Encrypt. Но с Let’s Encrypt не выйдет получить OV и EV сертификат.

Кроме того, коммерческие центры сертификации часто предоставляют опцию дополнительной поддержки, гарантии и сертификации, что важно для некоторых компаний.

Let’s Encrypt

Let’s Encrypt предоставляет автоматизированный механизм, с помощью которого можно запрашивать и продлевать сертификат. Компания создала стандартный протокол ACME, который взаимодействует с сервисом автоматического получения и продления SSL-сертификатов. Официальный ACME клиент называется Certbot, хотя есть и много других альтернатив.

  • Процесс: первая установка и продление автоматические. Cертификаты можно загружать и использовать вне зависимости от ПО на сервере.
  • Цена: бесплатно
  • Проверка: только с проверкой домена
  • Доверие: по умолчанию SSL признаются большинством браузеров и ОС.
  • Сертификаты с проверкой субдоменов: да
  • Срок действия: 90 дней

У сертификатов Let’s Encrypt недолгий срок действия, чтобы мотивировать клиентов автоматически продлевать их и повышать безопасность сайтов.

Если у вас публично доступный сервер с действующим доменом, направленным на него, Let’s Encrypt может стать хорошей опцией. Серверам Let’s Encrypt нужно связаться с веб-сервером или публичными DNS-записями домена. Использовать Let’s Encrypt на приватном сервере за фаерволом или в локальной сети может быть сложнее.

Самоподписанные сертификаты

Можно использовать SSL-сертификат, подписанный собственным приватным ключом. Так вы обойдетесь без центра сертификации. Такой сертификат называется самоподписанным. Его часто используют продвинутые пользователи, а также при тестировании веб-приложений.

  • Процесс: создается вручную, нет механизма продления.
  • Цена: бесплатно
  • Проверка: с проверкой домена или компании
  • Доверие: по умолчанию нет. Каждый сертификат должен вручную быть помечен как доверенный, так как в его выдаче не участвует центр сертификации.
  • Сертификаты с проверкой субдоменов: да
  • Срок действия: любой

Самоподписанные сертификаты могут выдаваться при помощи команды openssl, которая поставляется с библиотекой OpenSSL.

Самоподписанные сертификаты хороши для одноразового использования, когда у вас немного клиентов.

Частные центры сертификации

Вы можете сами создать частный центр сертификации и использовать его для подписи сертификатов. Вашим пользователям нужно будет вручную установить SSL и подтвердить доверие вашему центру сертификации.

  • Процесс: сертификаты создаются и продлеваются вручную плюс вы сами создаете центр сертификации.
  • Цена: бесплатно
  • Проверка: с проверкой домена или компании
  • Доверие: по умолчанию нет. Вы должны вручную распределить ваши сертификаты между клиентами, чтобы они подтвердили доверие.
  • Сертификаты с проверкой субдоменов: да
  • Срок действия: любой

Вы можете создать свой центр сертификации с помощью программ. tinyCA — это графический интерфейс для всего процесса, а caman — программа с командной строкой. В обеих программах легко создавать центр сертификации, выдавать, продлевать и отзывать сертификаты.

Частный центр сертификации — отличная опция, если у вас много сертификатов, которые вы создаете и вручную устанавливаете своим клиентам. Частный центр удобно использовать внутри компании или небольшой группы технически подкованных пользователей.

В отличие от самоподписанных сертификатов, где доверие к каждому сертификату нужно подтвердить вручную, вам нужно только один раз установить частный центр сертификации. Все сертификаты этого центра сертификации потом унаследуют его уровень доверия.

Недостаток этого варианта — это то, что нужно немного разобраться, как создать и управлять центром сертификации.

Что запомнить

Берите сертификат от коммерческого центра сертификации — Comodo, GeoTrust, VeriSign, Symantec, Thawte, если:

  • Нужен уровень проверки OV или EV;
  • Не хотите возиться с перевыпуском SSL чаще раза в год;
  • Нужна техподдержка и финансовые гарантии безопасности;
  • Не очень технически подкованы в тонкостях SSL.

Берите сертификат от Let’s Encrypt, если:

  • Нужен SSL с проверкой домена;
  • Готовы перевыпускать SSL каждые 90 дней;
  • Не нужна техподдержка и финансовые гарантии безопасности.

Пользуйтесь самоподписанным SSL-сертификатом, если:

  • У вас немного клиентов, и вам нужен сертификат на раз;
  • Вы тестируете веб-приложения.

Создавайте свой центр сертификации, если:

  • Будете использовать его сертификаты только внутри компании;
  • Готовы разбираться с техническими тонкостями.

Источник: статья в блоге DigitalOcean