SSL-сертификат платный или FREE SSL

Еще несколько лет тому назад, даже среди веб-мастеров не все знали что такое SSL сертификат и для чего он вообще нужен. Но вот пришел Гугл и сказал, что теперь SSL стал влиять на ранжирование сайта в Гугл. Позже Яндекс тоже стал учитывать сертификат безопасности в своем ранжировании.

Но с SSL связан целый ряд вопросов, и один из них, какой сертификат использовать и можно-ли использовать бесплатный или обязательно нужен платный, да ещё и который подороже.

Давайте попробуем разобраться в этом вопросе.

Для чего нужен SSL сертификат.

О том, что такое SSL сертификат, вы можете посмотреть здесь. Но давайте немного углубимся в эту тему и посмотрим, для чего собственно нужен SSL сертификат.

Когда пользователь заходит на сайт, то на самом деле, данные проходят довольно большой путь. Если вы используете домашний интернет, то вначале, ваш компьютер подключается к вашему Wi-Fi роутеру. Затем роутер посылает сигнал в сеть, далее ваш запрос отправляется через кучу других маршрутизаторов и сетей и в результате доходит до того компьютера, где физически расположен запрашиваемый сайт.

Далее этот компьютер, сервер, обрабатывает запрос, и отправляет данные обратно до компьютера пользователя, по такому же сложному пути. Вот как будет выглядеть путь от моего компьютера до сайта wp-system.ru

Как видите, довольно большой путь проделывают мои данные, прежде чем они попадут на сервер, где находится сайт wp-system.ru. И на всём протяжении этого пути, трафик могут перехватить. Это может быть ваш сосед, который подключится к вашему Wi-Fi, это может быть просто злоумышленник, который подключится к вашему интернету из вашего подъезда, или это может быть перехват на любом другом участке.

И если ваш трафик перехватят, то при не шифрованном подключении, весь он будет как на ладони. Вся ваша переписка, все ваши поисковые запросы, всё что вы отправляете и принимаете из интернета, всё это станет доступным тем, кто перехватил ваш трафик. Но и это ещё не всё. В случае не зашифрованного трафика, злоумышленнику будет легко подделать другие сайты. К примеру, зашли вы на сайт интернет магазина и оплатили покупку, а это оказался не сайт интернет магазина, а сайт мошенника и тогда плакали ваши деньги.

Зачем нужен платный сертификат.

Канал защитить, это не проблема. Например, вы можете увидеть, что подключение с сайтом wp-system.ru защищено.

На это указывает значок замочка. И если мы кликнем по нему, то мы можем выйти на просмотр сертификата:

Уже здесь мы видим, что сертификат выдан центром сертификации Let’s Encrypt. Это крупнейший бесплатный центр сертификации, в чей серьезности сомневаться не приходится, поскольку среди его спонсоров такие компании какCISCO, IBM, Гугл, Майкрософт и другие известные IT компании.

Но давайте дальше посмотрим, на сам сертификат.

Здесь много чего написано, но меня сейчас интересует пункт Политики сертификата. И здесь мы видим значение — Domain Validation. Что это значит?

Различные виды SSL сертификатов.

На самом деле, все SSL сертификаты делятся на четыре типа.

1. Само подписанные. Этот сертификат может сделать любой администратор, у которого есть доступ к настройкам хостинга. Смысл его примерно такой же, как если я провозглашу, что я это князь всегаллактический)). Хотите верьте, хотите нет. То есть, вроде как подключение защищено, но никто не сможет доказать, что я это я.

2. Domain Validation — Подтверждение домена. С таким сертификатом, весь трафик от компьютера пользователя, до сервера, на котором физически размещается сайт, шифруется. То есть теперь, даже если кто-то перехватит ваш трафик, он не сможет увидеть, что вы там передавали, какие данные вы получали и никто не сможет вклинится между вами и сервером, отправляя вам фальшивую информацию.

Сертификат Domain Validation выдают как за деньги, так и за бесплатно. Но по сути, если вы веб-мастер то вам нет смысла платить за такой вид сертификата. Бесплатный сертификат от Let’s Encrypt будет защищать ничуть не хуже, чем любой другой платный сертификат.

Но есть и ещё два типа сертификата. Но пока давайте снова отвлечемся немного.

Окей, с помощью сертификата Domain Validation мы защитили подключение до сайта. И если вы читаете обычный блог, то больше проблем нет. Но что если вы как пользователь, решили сделать покупку в интернет магазине. Вы заходите на сайт, делаете покупку и…

И попадаете на мошенников((. Увы, такое часто случается.

Дело в том, что SSL сертификат Domain Validation защищает только сам маршрут пользователя. Но вот о том, кому принадлежит этот сайт, Domain Validation ничего не говорит. Такой сайт может принадлежать солидной компании, а может принадлежать мошенникам.

Более того, когда началась вся эта история с внедрением SSL сертификатов, мошенники первыми начали устанавливать эти сертификаты, обманывая людей налево и направо.

Так вот, чтобы избежать такого обмана, существуют еще два типа сертификата.

3. OV — Organization Validation, то есть, проверка организации. Вот как он будет выглядеть на сайте интернет магазина.

Чуть выше мы можем посмотреть название организации, которой был выдан SSL сертификат. А также мы можем посмотреть, в какой стране зарегистрирована эта организация.

Чтобы получить сертификат Organization Validation, компания должна выслать свои учредительские документы в центр сертификации. Центр сертификации, в свою очередь, проверяет эти документы и только если они в порядке, то только тогда выдает сертификат Organization Validation.

Откровенным мошенникам такой сертификат не получить. Для этого нужно иметь юридического лица. Это самый распространенный тип SSL сертификата для сайтов компаний.

4. EV — Extended Validation — расширенная проверка. Это высший пилотаж среди SSL сертификатов. Для его выдачи, центр сертификации проверяет не только учредительские документы, но целый ряд других документов и другие источники информации. Цель такой проверки, убедится, что сайт принадлежит солидной фирме. И такой сертификат, встречается очень редко.

Так какой сертификат выбрать?

Сертифика Domain Validation можно спокойно получить бесплатно. И он будет ничуть не хуже своих платных аналогов. Да, здесь вы столкнетесь с тем, что у вас не будет технической поддержки, или что бесплатные сертификаты нужно продлевать каждые 3 месяца, но это не является проблемой.

В интернете есть множество сайтов и форумов, которые помогут решить практически любую проблему, хотя проблемы с установкой бесплатных сертификатов редко бывают. Что касается продления действия, то это тоже не проблема, поскольку программными средствами такие сертификаты продлеваются автоматически.

Бесплатный сертификат подойдет для всех видов сайтов, которые не спрашивают чувствительную информацию у пользователей. К такой информации относятся ФИО, адрес проживания, финансовые данные. Так что, если у вас просто блог, то вам подойдет бесплатный SSL сертификат.

А вот сертификаты Organization Validation и Extended Validation бывают только платные. И если у вас сайт интернет магазина, или другой сайт, который запрашивает личные и финансовые данные, то вам сертификат Organization Validation нужен.