SSL для сайта: платить или брать бесплатно

Сертификат SSL для сайта — залог безопасности ресурса и личного спокойствия. Большинство уже понимает, что без SSL сегодня не обойтись. Но возникает другой вопрос: платить или брать бесплатно?

Чтобы помочь вам ответить на этот вопрос, рассказываем о плюсах и минусах самого популярного на сегодняшний день бесплатного сертификата Let’s Encrypt.

Преимущества бесплатного сертификата

• Автоматическое продление срока пользования. Чтобы активировать функцию, установите на сервер соответствующий бот и откройте ему возможность менять конфигурацию. Он будет автоматически скачивать, устанавливать и продлевать SSL-сертификат. Будьте внимательны, иногда бот сбивает настройки сервера. В таком случае от бота придется отказаться и продлевать сертификат вручную каждые три месяца.

• Надежная защита. Let’s Encrypt обеспечивает такой же уровень защиты, что и платные сертификаты начального уровня. Он надежно сохраняет личные данные пользователей ресурсов: адреса электронной почты, пароли, телефонные номера.

• Нет скрытых расходов. Сертификат поддерживается за счет благотворительных взносов, поэтому счет после установки вам не выставят. При желании можете пожертвовать деньги на поддержание проекта.

Недостатки Let’s Encrypt

При всех преимуществах сертификат имеет недостатки, которые необходимо учитывать, доверяя ему безопасность сайта:

• Нет официальной технической поддержки. Придется самостоятельно разбираться с выпуском и установкой сертификата. Если на сервере нет панели управления, потребуются навыки или помощь сисадмина, чтобы установить сертификат через командную строку.

• Короткий срок действия. Строго через 90 дней сертификат необходимо перевыпустить. Если пропустить день продления, пользователи будут видеть предупреждение, что сайт не защищен, что может повлиять на репутацию вашего ресурса и его посещаемость.

• Ограниченная совместимость с операционными системами. Сертификат несовместим с Windows XP, некоторыми версиями Android и рядом почтовых сервисов. Их полный список приведен на официальном сайте Let’s Encrypt.

• Нет компенсации за взлом. Так как SSL-сертификат — это код, а любой код при желании можно расшифровать, так и любой сертификат может быть взломан. Но в случае с платными версиями сертификационные центры дают денежную гарантию, которая работает по принципу страховки: чем дороже сертификат, тем больше компенсация за возможную утечку данных с сайта.

• Низкий уровень доверия пользователей. При выпуске бесплатного сертификата, сертификационный центр проверяет только владельца домена (DV-сертификат) и не проверяет организацию. У пользователя нет подтверждения, что он находится на официальном сайте бренда или компании, а не на мошенническом клоне. По результатам исследования devops.com, пользователи больше доверяют сертификатам с проверкой EV, чем DV. А, как известно, меньше доверия — меньше продаж.

• Проблемы с «Роскомнадзором». Федеральный орган не всегда разборчиво блокирует IP. В 2019 году в реестр запрещенных попали адреса Let's Encrypt. Проблему вскоре решили, но нет никаких гарантий, что ситуация не повторится.

Брать или не брать бесплатный SSL-сертификат

Если взвесить все «за» и «против», вывод напрашивается сам собой. С бесплатными сертификатами Let’s Encrypt могут совершенно безболезненно работать сайты-визитки, блоги, портфолио, промо-страницы и небольшие форумы. То есть ресурсы, не рассчитанные на активные продажи, где день без доступа не приведет к серьезным убыткам. И те, которые редко просматривают с мобильных устройств — не забываем про несовместимость с тем же Android.

А вот владельцам сайтов крупных брендов, которые ценят свое время и намерены заботиться о репутации сайта, работающего на продажи, стоит задуматься о том, чтобы приобрести платный сертификат. Вы получите полную техническую поддержку во время установки и обслуживания. Сохраните доверие пользователей, которые смогут отличить официальный сайт от мошеннических клонов. И сэкономите силы на то, чтобы самостоятельно решать все вопросы, связанные с безопасностью ресурса и стабильной работой сертификата — этим будут заниматься специалисты.

Тщательно взвесьте плюсы и минусы. Если недостатки неактуальны, смело устанавливайте Let's Encrypt. Но если вам нужна более продвинутая защита, лучше остановиться на коммерческих предложениях. Их стоимость варьируется в зависимости от уровня проверки. Для небольших проектов — от 240 UAH в год.

Еще не использовали SSL? Свяжитесь с нашим менеджером и получите подробную консультацию по выбору продукта.

Установка SSL-сертификата

Для установки сертификата потребуется:

• Файл сертификата и цепочка сертификата.

• Ключ сертификата. Ключ генерируется перед заказом сертификата, на основе ключа генерируется csr запрос.

• Root доступ к серверу.

Где взять данные для установки SSL-сертификата?

Архив с данными для установки SSL-сертификата отправляется после выпуска сертификата на контактный e-mail, который вы указали при регистрации на сайте https://my.globalic.com.ua/billmgr .

Также вы можете скачать архив в личном кабинете на сайте https://my.globalic.com.ua/billmgrв разделе Товары - SSL сертификаты - кнопка Просмотр.

Где взять приватный ключ сертификата?

Если при заказе SSL сертификата вы не устанавливали галочку “Не сохранять ключ в системе”, то тогда ключ можно найти в личном кабинете в разделе SSL сертификаты - Просмотр.

Если же данную галочку установили, либо запрос CSR вы генерировали не на сайте https://my.globalic.com.ua/billmgr, то приватный ключ должен быть у вас. Если по какой-то причине вы его не сохранили, либо потеряли, то сертификат необходимо будет перевыпускать с новым CSR запросом.

Как установить SSL-сертификат на VPS или выделенный сервер?

Установка SSL сертификата через панель управления ISPmanager

1. Зайдите в ISPmanager под пользователем, которому принадлежит домен. Войдя под root'ом это можно сделать так: ISPmanager - Пользователи - выделите пользователя - нажмите "Вход" (справа вверху кнопка с изображением лестницы и двери).

Не забудьте для пользователя включить возможность использования SSL (это можно сделать в разделе Пользователи - двойной клик по пользователю - вкладка "Доступ")

2. В разделе WWW - "SSL-сертификаты" - справа вверху кнопка "Создать". Укажите "Тип сертификата" - “Существующий” и заполните все поля:

Имя сертификата - имя сертификата, под которым он будет отображаться в системе. Может содержать буквы латинского алфавита, цифры, точки, а также знаки _ и -

Приватный ключ - укажите содержимое файла приватного ключа

Сертификат - укажите содержимое файла SSL-сертификата

Пароль - указывайте, если ключ сертификата зашифрован (обычно не требуется)

Цепочка сертификатов - Certificate bundle: цепочка сертификатов, которыми подписан данный сертификат. В письме от центра сертификации обычно приходит архив, в котором есть два файла - сам сертификат и цепочка сертификата (файл с расширение .ca-bundle)

3. После успешного добавления сертификата в разделе "WWW домены" его можно включить для сайта (двойной клик - установить галочку "Повышенная безопасность SSL" - выбрать из списка нужный сертификат)

4. Детальная проверка установленного сертификата доступна по ссылкам: https://www.ssllabs.com/ssltest/analyze.html https://www.sslshopper.com/ssl-checker.html

Ручная установка SSL сертификата

Установка SSL-сертификата на Apache

Если ssl запросы обрабатывает Apache, то сертификат устанавливается в файле конфигурации Apache. Проверить какой веб сервис отвечает на 443 (ssl) порту можно командой:

# netstat -napt | grep 443

ля установки сертификата откройте конфигурационный файл Apache.

Debian - /etc/apache2/apache2.conf 
Centos - /etc/httpd/conf/httpd.conf.

Найдите VirtualHost вашего домена. Отредактируйте блок «VirtualHost», добавив в него следующие строки:

<VirtualHost 10.0.0.1:443> 
	DocumentRoot /var/www/user/data/www/domain.com 
	ServerName domain.com SSLEngine on 
	SSLCertificateFile /path/to/domain.crt 
	SSLCertificateKeyFile /path/to/domain.key 
	SSLCACertificateFile /path/to/ca.crt 
</VirtualHost>

Где domain.com — имя вашего домена.

10.0.0.1 — ip адрес, на котором находится домен.

/var/www/user/data/www/domain.com — путь до домашней директории вашего домена.

/path/to/domain.crt — файл, в котором находится сертификат.

/path/to/domain.key — файл, в котором находится ключ сертификата.

/path/to/ca.crt - файл корневого сертификата.

Перезапустите Apache командой

apachectl restart
или
apache2ctl restart

Установка SSL-сертификата на Nginx

Если ssl запросы обрабатывает Nginx, то сертификат устанавливается в файле конфигурации Nginx.

1. Для начала вам необходимо объединить 3 сертификата (сам SSL-сертификат, промежуточный и корневой сертификаты) в один файл. Для этого создайте на локальном ПК новый текстовый документ с именем your_domain.crt, например, при помощи блокнота.

Поочередно скопируйте и вставьте в созданный документ каждый сертификат. После вставки всех сертификатов файл должен иметь такой вид:

-----BEGIN CERTIFICATE----- 
#Ваш сертификат# 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
#Промежуточный сертификат# 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
#Корневой сертификат# 
-----END CERTIFICATE-----

Обратите внимание!Между сертификатами нет пустых строк

Данные сертификаты вы можете найти в электронном сообщении, отправленным на ваш контактный e-mail после выпуска сертификата. Также можете скачать их вместе с основным сертификатом в личном кабинете https://my.globalic.com.ua/billmgr .

2. Создайте файл your_domain.key и скопируйте в него содержание приватного ключа сертификата;

3. Загрузите файл your_domain.crt и приватный ключ сертификата your_domain.key на сервер, в директорию /etc/ssl/. Директория может быть и любой другой;

4. Откройте конфигурационный файл Nginx и отредактируйте виртуальный хост вашего сайта, добавив следующие строки:

server{ 
listen 443; 
ssl on; 
ssl_certificate /etc/ssl/your_domain.crt; 
ssl_certificate_key /etc/ssl/your_domain.key; 
server_name your.domain.com;

/etc/ssl/your_domain.crt и /etc/ssl/your_domain.key — пути до загруженных вами файлов.

Если необходимо, чтобы сайт работал и с защищенным соединением (https:// ) и с незащищенным (http:// ), вам необходимо иметь две секции server{} для каждого типа соединения: для этого создайте копию секции server{} и оставьте её без изменения, а вторую отредактируйте согласно коду выше;

5. Чтобы изменения вступили в силу, перезагрузите сервер Nginx командой:

/etc/init.d/nginx restart

Как заказать SSL-сертификат

Шаг 1. Выберите SSL-сертификат

Чтобы выбрать подходящий SSL-сертификат. В карточке выбранного сертификата нажмите “Купить”.

Шаг 2. Зарегистрируйтесь в Личном кабинете

Сайт предложит вам войти в Личный кабинет. В нем вы можете оплатить SSL-сертификат, пройти все этапы оформления SSL-сертификата, отследить статус заказа, а в будущем — продлить или перевыпустить SSL. Войдите, если у вас уже есть аккаунт, или зарегистрируйтесь, если его нет.

Шаг 3. Оплатите SSL-сертификат

Зайдите в корзину, нажмите “Оплатить” и выберите подходящий способ оплаты.

Шаг 4. Сформируйте запрос на сертификат

Нажмите на кнопку состояния “Завершите оформление”, чтобы перейти к формированию запроса на сертификат — CSR.

CSR (Certificate Signing Request) — это файл с зашифрованными данными о компании и домене, на который выдается сертификат. CSR обязательно нужен для выпуска SSL. В нем хранится открытый ключ, который доступен всем и используется для шифрования данных при обращении браузера к серверу. Закрытый ключ известен только владельцу сайта и расшифровывает данные от браузера. Шифрование с открытым и закрытым ключами гарантирует безопасность.

1. Выберите подходящий способ ввода CSR:

Cоздать запрос (CSR) — выбирайте этот способ, если у вас еще нет CSR. Он сгенерируется автоматически.

Уже есть CSR — если вы выбрали этот пункт, значит у вас обязательно должен быть Private key. Вставьте его в появившееся поле.

2. Заполните информацию для выпуска сертификата. Все поля необходимо заполнить латиницей.

Шаг 5. Укажите контакты

На этом этапе внесите контакты представителей организации:

Административный контакт — человек, который имеет право отправлять запрос на получение сертификата от имени организации. Этому человеку центр сертификации отправит копию сертификата после выпуска. С ним могут связаться, если понадобится дополнительная информация для выдачи сертификата.

Технический контакт — тот, кому центр сертификации отправит сертификат и информацию о процедуре продления и обновления. Как правило, это специалист, обслуживающий web-сервера, на котором будет установлен сертификат. Может совпадать с административным контактом.

Шаг 6. Укажите e-mail для подтверждения прав на домен

На этот адрес центр сертификации пришлет письмо, чтобы Вы подтвердили владение доменом. При этом e-mail обязательно должен быть одним из списка:

admin@domain.com webmaster@domain.com postmaster@domain.com hostmaster@domain.com administrator@domain.com

Шаг 7. Завершите заказ

На этом этапе запрос на SSL передается в сертификационный центр. Обязательно скачайте и сохраните запрос на сертификат (CSR) и закрытый ключ (RSA).

Шаг 8. Подтвердите право на домен и пройдите проверку

Чтобы подтвердить владение доменом, нужно перейти по ссылке в письме от сертификационного центра. Оно придет на e-mail, который вы выбрали на шаге 6, к примеру, admin@domain.com. Если вы заказывали сертификат с проверкой домена DV, достаточно подтвердить право на домен. После этого центр сертификации отправит файлы сертификата на e-mail технического контакта. Если вы заказывали сертификат с проверкой организации OV или с расширенной проверкой EV, вместе с подтверждением домена нужно пройти проверку организации. Процесс зависит от сертификационного центра, он отправит требования по e-mail. Как правило, центр проверяет ИНН/ОГРН в ФНС, запрашивает копии документов, делает проверочный звонок на номер из Yellow pages и 2Gis. Проверка длится от 2 до 14 дней в зависимости от типа сертификата.

Шаг 9. Установите SSL

После проверки домена и организации на e-mail администратора придет письмо с файлами SSL-сертификата. Чтобы его установить, воспользуйтесь инструкцией в документации.

Как выбрать SSL-сертификат

Выбор SSL-сертификата для рядового пользователя — нелегкий вопрос. Существует более 150 разных SSL-сертификатов. Все они обеспечивают HTTPS-соединение, высокий уровень шифрования и поддержку основными браузерами. Однако это не значит, что банку подойдет простой сертификат, а блогеру стоит покупать защиту премиум-уровня.

Сертификаты делят на группы по типу проверки, по количеству доменов и поддоменов, по доверию со стороны браузеров и по бренду. В этой статье мы определимся с уровнем доверия, которые дает тот или иной сертификат по типу проверки. После решим, какую структуру доменов необходимо защищать. Этого достаточно для того, чтобы выбрать подходящий сертификат.

Сертификаты делятся на 3 типа по уровню проверки: с проверкой домена (D или domain validated), с проверкой компании (D+O или organization validated) и с расширенной проверкой (EV или extended validation).

D-сертификат — это SSL начального уровня. Он отлично подходит для небольших онлайн-проектов, где не требуется строгая гарантия безопасности: блогов, хобби-сайтов, сайтов-визиток. Зеленого замочка в строке браузера достаточно, если посетители не вводят логины и пароли и не совершают покупки.

DV-сертификат только подтверждает, что домен действительно принадлежит вам. Посетители сайта не столкнутся с предупреждениями браузера о посещении непроверенного сайта. Мошенники не перехватят информацию пользователей, так как сертификат обеспечивает безопасное HTTPS-соединение

Подойдет: частным лицам, ИП и компаниям.

Как выглядит: зеленый замочек в строке браузера.

Выпуск: D-сертификат просто и быстро получить, так как не нужно предоставлять документы. Центр сертификации пришлет письмо на e-mail в домене сайта, к примеру — admin@domain.com. Чтобы подтвердить владение доменом, нужно перейти по ссылке в письме.

Самый популярный DV-сертификат: Comodo PositiveSSL.

Недостатки: Мы не рекомендуем использовать DV-сертификат на сайтах, где требуется более высокий уровень доверия пользователей. При его выпуске центр сертификации проверяет только право на домен и не проверяет законность бизнеса. Поэтому такой сертификат не гарантирует, что владельцу домена можно доверять логины, пароли и номера банковских карт.

В сфере онлайн-торговли распространено мошенничество. Злоумышленники устанавливают D-сертификаты на поддельных сайтах и принимают платежи незадачливых клиентов. Как правило, это копии существующих интернет-магазинов. Чтобы избежать таких ситуаций, стоит установить сертификат более высокого уровня.

Вам подойдет сертификат с проверкой организации, если на сайте есть формы ввода данных: обратная связь, подписка на рассылки, личный кабинет. При этом пользователи не совершают покупки.

Этот тип сертификатов доказывает и существование компании, и ее право на домен. Мошенники не смогут пройти проверку и получить такой сертификат. Посетители будут уверены, что сайт принадлежит реальной компании. Их e-mail адреса, логины, пароли — в безопасности.

Подойдет: только организациям.

Как выглядит: зеленый замочек в строке браузера + динамическая печать доверия + информация о компании в сертификате

Динамическая печать доверия — специальный знак на сайте с D+O - сертификатом, который выдает центр сертификации. Именно печать отличает OV-сертификат от сертификата с проверкой домена — из нее пользователи получают информацию о владельце сайта. Когда пользователи нажимают на печать, открывается сайт сертификационного центра. На нем сам центр подтверждает, что проверил компанию и ее сайт и выпустил сертификат.

Так посетители будут уверены, что их личная информация попадет только к вам, и не покинут сайт. Мы рекомендуем установить печать на видном месте и приучить посетителей обращать на нее внимание. Если мошенники подделают сайт, они не смогут установить печать, а бдительные пользователи заметят, что это не ваш сайт.

Выпуск: 3-10 рабочих дней. Центр сертификации должен убедиться, что вы — реально существующая компания. Для этого он проверяет информацию на сайте nalog.ru и в онлайн-справочнике “Желтые страницы”. Вам нужно предоставить уставные документы и ответить на проверочный звонок от центра сертификации. Центр сертификации пришлет письмо на e-mail в домене сайта, к примеру - admin@domain.com. Чтобы подтвердить владение доменом, нужно перейти по ссылке в письме.

Самый популярный D+O-сертификат: Thawte SSL Web Server .

Недостатки: Мы не рекомендуем использовать D+O - сертификаты для онлайн-торговли и порталов государственных учреждений. Если вы принимаете на сайте платежи или информацию о документах посетителей, установите EV-сертификат с зеленой строкой и названием компании. Он вызывает доверие даже у новых или неопытных пользователей.

Вам подойдет EV-сертификат с расширенной проверкой, если на вашем сайте посетители совершают платежи и вводят персональную информацию. Доверие посетителей особенно важно для интернет-магазинов, банков, порталов государственных учреждений и онлайн сервисов.

EV-сертификаты обеспечивают зеленую строку браузера и выводят в ней название компании. Они вызывают доверие даже у неопытных посетителей и тех, кто впервые слышит о вашей компании.

Подойдет: только организациям.

Как выглядит: зеленая строка + название компании в строке браузера

Выпуск: 10-14 дней. Центр сертификации должен убедиться, что вы — реально существующая надежная компания. Для этого он проверяет информацию на сайте государственного органа , и в онлайн-справочнике . Также нужно предоставить документы (зависят от типа организации и сертификационного центра) и ответить на проверочный звонок от центра сертификации. Центр сертификации пришлет письмо на e-mail в домене сайта, к примеру - admin@domain.com. Чтобы подтвердить владение доменом, нужно перейти по ссылке в письме.

Самый популярный EV-сертификат: Thawte SSL Web Server with EV.

При заказе Wildcard сертификата очень важно верно указать домен:

→ если вы укажете домен *.site.ru, Wildcard будет защищать все домены 3 уровня: shop.site.ru, forum.site.ru, doc.site.ru и т.д. Но НЕ будет защищать домены 4 уровня *.shop.mysite.ru.

→ если вы укажете домен *.shop.mysite.ru, Wildcard будет защищать все домены 4 уровня: 1.forum.site.ru, 2.forum.site.ru, 3.forum.site.ru и т.д. Но НЕ будет защищать домены 5 уровня *.1.shop.mysite.ru и 3 уровня *.site.ru

То есть если вам нужно защищать и поддомены 3 уровня и 4 уровня, нужно приобрести 2 отдельных Wildcard SSL и верно указать группу поддоменов.Если вы хотите защитить несколько отдельных доменов 1 сертификатом, то заказывайте сертификат подходящего уровня проверки (D, D+O или EV) с функцией Multi-domain.

ЧТО ТАКОЕ SSL-СЕРТИФИКАТ

SSL-сертификат — цифровой документ, который шифрует данные между браузером пользователя и сайтом. Его можно сравнить с паспортом. В зависимости от типа этот электронный документ содержит доменное имя, юридические данные, срок действия.

Его выдают специальные органы — доверенные центры сертификации. Они имеют соглашение со всеми популярными браузерами: Chrome, Firefox, IE, Safari. Центры сертификации проверяют право владельца на домен и изучают документы. Если все в порядке, сертификат выпускают и обслуживают.

Таким образом, SSL подтверждает, что домен принадлежит реальному человеку или компании. Браузер не будет доверять сайту без такого паспорта, как человек не доверит деньги банку без договора.

Когда вы заходите на сайт, вы подключаетесь к серверу, на котором он расположен. Это подключение может быть незащищенным — по протоколу HTTP. В этом случае логины, пароли и номера банковских карт могут оказаться у хакеров.

SSL-сертификат нужен, чтобы сделать подключение защищенным. При его наличии подключение идет по протоколу HTTPS. Добавленная в конце S означает "защищенный", от английского secured. Так данные, которые вы вводите, шифруются. Даже если злоумышленники их перехватят, они не смогут их расшифровать, а значит — воспользоваться.

Допустим, вы увлекаетесь тюнингом автомобилей и нашли в интернете блогера, который делает интересные обзоры и разбирается в теме. Вы подписываетесь на еженедельную рассылку. Для этого вводите в форме на сайте свой e-mail. Через неделю ваша почта “ломится” от непристойного спама. Злоумышленники перехватили e-mail, потому что на блоге про автотюнинг не было SSL-сертификата. Если бы подключение было защищенным, ваш адрес бы получил только владелец сайта.

Как убедиться, что соединение с сайтом безопасно? Для этого достаточно посмотреть в адресную строку браузера. Если все в порядке, вы увидите замочек и/или надпись “надежный”(зависит от браузера). Если сайт не защищен SSL, то браузер отметит его как “ненадежный”.

Когда посетитель заходит на сайт с SSL, браузер и сайт договариваются и защищают его личные данные. Их “диалог” происходит мгновенно, пользователь его не видит.

→ Браузер подключается к сайту с SSL-сертификатом.

→ Сайт в ответ посылает копию своего SSL.

→ Браузер проверяет сертификат на подлинность.

→ Если сертификат настоящий, они генерируют код шифра.

→ С его помощью устанавливается безопасное соединение.

После этого работать с сайтом безопасно. Мошенники останутся ни с чем.

Еще 5 лет назад HTTPS использовали только там, где особенно важна безопасность, например, в платежных системах. Сегодня SSL в равной степени нужен блогеру, интернет-магазину и онлайн-банку. Такие условия диктуют интернет-пользователи и IT-гиганты.

По данным Bloomberg, к 2020 году объем мировых транзакций в интернете вырастет до 27.7 трлн. долларов. Вместе с ним увеличивается и количество мошеннических операций. По этой причине интернет-пользователи стали внимательнее. Исследование GlobalSign показало, что 84% из них не покупают на сайтах без SSL-сертификата. С ненадежных страниц пользователи уходят, а сайты теряют деньги.

Технологические компании со своей стороны тоже непрерывно работают над повышением безопасности. Apple обязала разработчиков приложений для iOS перейти на HTTPS. Поисковые роботы Google отмечают сайты без SSL как небезопасные и понижают их позиции в поисковой выдаче. Google Chrome и Mozilla Firefox маркируют HTTP сайты как ненадежные. Так браузеры предупреждают пользователей, что мошенники могут украсть личные данные и деньги.

Наличие SSL — больше не прихоть крупных компаний, а обязательное требование для всех. Он нужен блогеру, интернет-магазину, малому бизнесу и корпорациям. Без SSL они потеряют позиции в поисковой выдаче, посетителей и деньги.