Завдяки SSL-сертифікатам дані передаються в цілості, безпеці та конфіденційності. Все це можливо завдяки шифруванню інформації.
Відмінності SSL-сертифікатів полягають у способі їх отримання. Залежно від бюджету, аудиторії та інших факторів можна вибрати між комерційним або приватним центром сертифікації, сертифікатом Let’s Encrypt та самопідписаним SSL.
Давайте зробимо порівняння SSL-сертифікатів та подивимося, в якій ситуації який сертифікат краще використовувати.
Глосарій
Терміни, які будемо використовувати, говорячи про SSL-безпеку:
Центр сертифікації
Центри сертифікації перевіряють інформацію на запит власника домену на SSL-сертифікат. Якщо все гаразд, видають та підписують сертифікати. У браузерів та операційних систем є перелік довірених центрів сертифікації. Якщо сертифікат підписано одним із довірених центрів, він також буде довіреним.
SSL з перевіркою домену, або DV SSL
Сертифікат із перевіркою домену видається будь-якій людині, яка довела, що вона володіє доменом, для якого запросила SSL. Цей доказ — це унікальний серійний номер, який центр сертифікації бере з вашого вебсервера або з DNS-записів.
SSL з перевіркою організації, або OV SSL
SSL із перевіркою організації означає, що центр сертифікації також перевірив ім’я компанії та її адресу в публічних базах даних. Інформація вводиться в сертифікат і зазвичай відображається лише тоді, коли користувач натискає на іконку із замочком.
SSL із розширеною перевіркою, або EV SSL
Розширена перевірка більш ретельна, ніж перевірка домену чи організації. При видачі EV сертифікатів перевіряються права на домен, існування та місцезнаходження компанії.
На відміну від DV та OV сертифікатів, EV сертифікати не можуть видаватися для субдоменів.
EV сертифікати також по-особливому відображаються у всіх браузерах, крім Google Chrome. Сайт із таким сертифікатом відображається з ім’ям компанії у зеленому рядку браузера. Користувачі зазвичай більше звертають увагу на сайти із зеленим рядком та більше їм довіряють.
SSL-сертифікат із перевіркою субдоменів
Це сертифікат, який захищає не лише основний домен www.abc.com, а й усі його субдомени — www.one.abc.com, www.two.abc.com.
Комерційні центри сертифікації
У комерційних центрів сертифікації можна придбати DV, OV та EV сертифікати. Це такі компанії як Comodo, GeoTrust, VeriSign.
- Процес: клієнти вручну встановлюють та продовжують SSL.
- Ціна: приблизно $10–$1000.
- Вид перевірки: DV, OV та EV.
- Довіра: за замовчуванням SSL визнаються більшістю браузерів та ОС.
- Сертифікати з перевіркою субдоменів: так.
- Термін дії: 1-2 роки.
Комерційні центри сертифікації традиційно були єдиним способом отримати сертифікати, які визнаються більшістю браузерів. Це змінилося з появою таких автоматизованих центрів сертифікації як Let’s Encrypt. Але з Let’s Encrypt не вийде отримати OV та EV сертифікат.
Крім того, комерційні центри сертифікації часто надають опцію додаткової підтримки, гарантії та сертифікації, що є важливим для деяких компаній.
Let’s Encrypt
Let’s Encrypt надає автоматизований механізм, за допомогою якого можна запитувати та продовжувати сертифікат. Компанія створила стандартний протокол ACME, який взаємодіє із сервісом автоматичного отримання та продовження SSL-сертифікатів. Офіційний ACME клієнт називається Certbot, хоча є багато інших альтернатив.
- Процес: перша установка та продовження автоматичні. Сертифікати можна завантажувати та використовувати незалежно від програмного забезпечення на сервері.
- Ціна: безкоштовно.
- Перевірка: тільки з перевіркою домену.
- Довіра: за замовчуванням SSL визнаються більшістю браузерів та ОС.
- Сертифікати з перевіркою субдоменів: так.
- Термін дії: 90 днів.
У сертифікатів Let’s Encrypt недовгий термін дії, щоб мотивувати клієнтів автоматично продовжувати їх та підвищувати безпеку сайтів.
Якщо у вас є публічно доступний сервер з діючим доменом, спрямованим на нього, Let’s Encrypt може стати гарною опцією. Сервери Let’s Encrypt мають зв’язатися з вебсервером або публічними DNS-записами домену. Використовувати Let’s Encrypt на приватному сервері за фаєрволом або локальною мережею може бути складніше.
Самопідписані сертифікати
Можна використовувати сертифікат SSL, підписаний власним приватним ключем. Так ви обійдетесь без центру сертифікації. Такий сертифікат називається самопідписаним. Його часто використовують просунуті користувачі, а також під час тестування вебдодатків.
- Процес створюється вручну, немає механізму продовження.
- Ціна: безкоштовно.
- Перевірка: з перевіркою домену або компанії.
- Довіра: за замовчуванням немає. Кожен сертифікат повинен бути вручну позначений як довірений, оскільки в його видачі не бере участі центр сертифікації.
- Сертифікати з перевіркою субдоменів: так.
- Термін дії: будь-який.
Самопідписані сертифікати можуть видаватися за допомогою команди openssl, яка постачається з бібліотекою OpenSSL.
Самопідписані сертифікати хороші для одноразового використання, коли у вас є небагато клієнтів.
Приватні центри сертифікації
Ви можете створити приватний центр сертифікації та використовувати його для підпису сертифікатів. Вашим користувачам потрібно буде вручну встановити SSL і підтвердити довіру до вашого центру сертифікації.
- Процес: сертифікати створюються та продовжуються вручну плюс ви самі створюєте центр сертифікації.
- Ціна: безкоштовно.
- Перевірка: з перевіркою домену або компанії.
- Довіра: за замовчуванням немає. Ви повинні вручну розподілити сертифікати між клієнтами, щоб вони підтвердили довіру.
- Сертифікати з перевіркою субдоменів: так.
- Термін дії: будь-який.
Ви можете створити центр сертифікації за допомогою програм. tinyCA — це графічний інтерфейс для всього процесу, а caman — програма з командним рядком. В обох програмах легко створювати центр сертифікації, видавати, продовжувати та відкликати сертифікати.
Приватний центр сертифікації — чудова опція, якщо у вас багато сертифікатів, які ви створюєте та вручну встановлюєте своїм клієнтам. Приватний центр зручно використовувати всередині компанії або невеликої групи технічно підкованих користувачів.
На відміну від самопідписаних сертифікатів, де довіру до кожного сертифіката потрібно підтвердити вручну, потрібно лише один раз встановити приватний центр сертифікації. Усі сертифікати цього центру сертифікації згодом успадкують його рівень довіри.
Недолік цього варіанта — це те, що потрібно трохи розібратися, як створити та керувати центром сертифікації.
Що запам’ятати
Беріть сертифікат від комерційного центру сертифікації — Comodo, GeoTrust, VeriSign, Symantec, Thawte, якщо:
- Потрібен рівень перевірки OV чи EV;
- Не хочете вовтузитися з перевипуском SSL частіше разу на рік;
- Потрібна техпідтримка та фінансові гарантії безпеки;
- Не дуже технічно підковані у тонкощах SSL.
Беріть сертифікат від Let’s Encrypt, якщо:
- Потрібен SSL із перевіркою домену;
- Готові перевипускати SSL кожні 90 днів;
- Не потрібна техпідтримка та фінансові гарантії безпеки.
Користуйтеся самопідписаним SSL-сертифікатом, якщо:
- У вас небагато клієнтів, і вам потрібен сертифікат на раз;
- Ви тестуєте вебпрограми.
Створюйте свій центр сертифікації, якщо:
- Ви будете використовувати його сертифікати тільки всередині компанії;
- Готові розбиратися з технічними тонкощами.
Джерело: стаття у блозі DigitalOcean