16.03.2016 | 01:59 Экономика
Теперь не нужно платить за DV (domain validated) TLS/SSL сертификаты (далее просто «TLS»). Компания Symantec, доминирующий игрок на рынке, собирается раздавать их в рамках программы партнерства с сервисами хостинга под названием Encryption Everywhere.
Бесплатный open-source центр сертификации Let’s Encrypt, находящийся в ведении Security Research Group Internet (ISRG), появился в Интернете в сентябре прошлого года. Недавно они выпустили свой миллионный сертификат.
Symantec, возможно, считает, что пользователи признают и доверяют имени Symantec больше, чем «Let’s Encrypt», но даже если это так, эти пользователи совершают ошибку. Независимо от того, кто выдает сертификат DV, он очень мало говорит о подлинности сайта.
Сертификаты TLS выполняют две функции: предлагают открытый ключ для шифрования коммуникаций, а также обеспечивают проверку подлинности сайта. Шифрования всегда можно было выполнить с помощью самоподписанного сертификата, который вы можете сделать сами бесплатно. Проблема состоит в том, что современные браузеры выдают до 5-ти предупреждений при просмотре сайта, работающего с самоподписанным сертификатом, и заставляют вас клинкнуть несколько раз, чтобы убедиться, что вы осознаете, что делаете. Это странный подход, учитывая, что браузеры не раздражают вас, когда вы попадаете на сайт без каких-либо TLS-сертификатов.
Такой подход также предполагает, что DV-сертификат, выданный доверенным центром сертификации, демонстрирует значимый уровень аутентификации. Но так ли это? Да, но не в достаточно высокой степени, чтобы обычные пользователи, которые не озадачиваются тщательными проверками сертификатов сайта, чувствовали себя в безопасности. Наличие сертификата свидетельствует о том, что лицо, получившее сертификат, имело доступ к учетной записи электронной почты зарегистрированного административного контакта сайта. Тот факт, что любой человек может легко получить бесплатный DV сертификат от респектабельного Let’s Encrypt, а не от коммерческого центра сертификации, еще более ухудшает ситуацию.
Есть более сильные формы сертификатов TLS: OV (Organization Validation) и EV (Extended Validation). Для получения OV-сертификата, в дополнение к доказательству того, что заявитель имеет административный контроль над доменом, ЦС должен, в соответствии с основными требованиями CA/Browser Forum:
«проверить имя и адрес заявителя, используя надежные источники информации, такие как правительственное учреждение в юрисдикции правотворчества заявителя, существование или подтверждение из надежной базы данных третьей стороны. CA также подтверждает подлинность запроса сертификата через надежные средства связи с организацией (то есть они проверяют, что лицо, запрашивающее сертификат, является уполномоченным работником/агентом подписывающейся организации). Для получения сертификатов, выданных физическим лицам, СА проверяет идентичность индивида с использованием выпущенного правительством удостоверения личности с фотографией, которое проверяется для индикации изменений или фальсификации».
с автоматической установкой из панели управления
Что обеспечивает SSL-сертификат:
Дополнительные возможности для сайта
Возможность установки на сайт браузерных push-уведомлений и сервиса геопозиционирования.
Отсутствие отметки Google Chrome о потенциальной опасности
Сохраните репутацию ресурса. Не отпугивайте потенциальных клиентов.
Защиту сайта от злоумышленников
Передача вводимой на сайте информации по защищенному соединению.
Повышение позиции сайта в поисковой выдаче
Обусловлено проверкой поисковыми системами наличия защищенного соединения.
Доверие пользователей
Уверенность посетителей сайта в том, что сайт не является мошенническим, а вводимые ими данные находятся под защитой.
Это решения стало реакцией на расследование теневых методов выдачи SSL сертификатов Symantec, инициированное Google и Mozilla.
В прошлом году исследователи обнаружили, что компания Symantec многократно нарушила отраслевые правила, принятые уполномоченной организацией (CA/B Forum), которая регулирует процедуры выдачи SSL-сертификатов для поддержки зашифрованного трафика HTTPS.
В марте 2017 года инженеры Google и Mozilla обнаружили, что Symantec допустила нарушения при выдаче 127 сертификатов SSL, но по мере продвижения расследования эта первоначальная оценка выросла до колоссальной цифры в более 30 000 сертификатов.
Данный масштаб шокировал экспертов отрасли. Поскольку Symantec был одним из крупнейших удостоверяющих центров на рынке, немногие осмелились публично отреагировать. Первым, кто проявил недовольство процедурами выдачи SSL-сертификатов Symantec, стал Google, который через несколько дней после получения окончательных цифр объявил о намерении постепенно удалить поддержку сертификатов Symantec в Chrome.
Хотя Mozilla, Microsoft или Apple никогда не высказывались о проблеме Symantec, они также были недовольны работой удостоверяющего центра, но позволили Google возглавить расследование, которое длилось несколько месяцев.
Компания Symantec отрицала любые нарушения, назвав результаты “преувеличенными и вводящими в заблуждение”. Тем не менее, компания была вынуждена сесть за стол переговоров.
Результаты переговоров оказались довольно запутанными - каждая сторона может объявить себя победителем. Google объявляет о блокировке Symantec, в то время как Symantec может продолжить выдавать сертификаты под своим именем.
Ниже приводится примерный сценарий того, что произойдет в течение следующих нескольких месяцев.
1 Этап. Symantec становится агентом другого удостоверяющего центра
После 1 декабря 2017 года Symantec начнет сотрудничество с другим удостоверяющим центром и будет выдавать сертификаты SSL под своим именем. С технической стороны Symantec будет выполнять роль подчиненного УЦ или Subordinate Certificate Authority (SubCA).
Google предложил данное решение этой весной, Symantec признал его в июне и одобрил в середине июля.
Этот шаг имеет решающее значение для выживания Symantec в качестве действительного центра сертификации, поскольку он позволит компании вести бизнес и выдавать новые сертификаты SSL в ближайшем будущем, сохраняя при этом своих клиентов.
Google также удовлетворен тем, что Symantec становится SubCA, поскольку УЦ, который принимает Symantec под своим крылом, будет нести ответственность за выдачу сертификатов SSL. Google и другие поставщики браузеров надеются, что, передача процесса выдачи SSL в инфраструктуру другого центра сертификации позволит предотвратить попытки нарушения Symantec утвержденных правил и случаи выдачи сертификатов неподходящим сайтам.
В то же время Symantec может незаметно подготовить новую инфраструктуру для создания своего нового бизнеса SSL. Компания начала изучать идею продажи своего бизнеса сертификации, поэтому есть шанс, что Symantec вернется с большим объемом инвестиций.
2 Этап. Частичное недоверие к сертификатам Symantec в Chrome
Второй этап начнется, когда Google выпустит Chrome 66 (предположительно, апрель 2018 года). Запустив эту версию, Chrome будет отображать ошибку для всех сертификатов Symantec, выпущенных до 1 июня 2016 года.
К 2018 году срок действия большинства этих сертификатов истечет, поэтому Google и Symantec смогут постепенно перейти к 3 этапу.
3 Этап. Полное недоверие к сертификатам Symantec в Chrome
С выпуском Chrome 70 (запланированным ориентировочно на октябрь 2018 года) Chrome будет отображать ошибки для всех сайтов с сертификатами Symantec SSL, выпущенными на старой инфраструктуре до 1 декабря 2017 года.
Этот этап представляет настоящую катастрофу для SSL сертификатов компании Symantec, которая согласно статистике, выдала каждый шестой SSL сертификат в Интернете.
Владельцам веб-сайтов и другим разработчикам, использующим сертификаты Symantec SSL внутри своего приложения, придется обратиться к Symantec за новым сертификатом SSL (выпущенным через партнера SubCA) или вообще связаться с другим поставщиком цифровых сертификатов.
В скором времени Google удалит из Chrome корневой сертификат Symantec. SSL-сертификаты образно похожи на гигантские деревья с бесчисленными ветвями, которые сходятся к корневому сертификату. После удаления этого сертификата все сертификаты, прикрепленные к этому корню, также перестанут работать.
Google удалит текущий корневой сертификат Symantec, но оставит возможность для внедрения нового корневого сертификата, который Symantec утвердит в будущем.
Кроме того, поскольку Symantec покупала другие центры сертификации, такие как GeoTrust, Thawte и RapidSSL, корневые сертификаты этих бывших компаний были добавлены в корневой каталог Symantec. Сертификаты, выпущенные в рамках этих трех центров сертификации, постигнет та же участь, что и родные сертификаты Symantec SSL. Аналогично, веб-мастерам и разработчикам придется запрашивать новые сертификаты.
До тех пор, пока Symantec не пересмотрит свои процедуры выдачи SSL и не получит более надежную систему, маловероятно, что Google снова разрешит новый корневой сертификат Symantec в Chrome. В то же время опция SubCA позволяет Symantec продолжать поддерживать свой бренд, даже работая с чужим корневым сертификатом.
В прошлом году Google прекратила доверие к сертификатам WoSign и StartCom за аналогичные проблемы.
Защита поддоменов
Доступен частным лицам
Доступен для компаний
Шифрование
Подтверждение бизнес-уровня компании владельца
Поддержка IDN
Поднятие уровня шифрования для устаревших браузеров и браузеров не поддерживающих высокий уровень шифрования
Печать доверия
| Сертификат для подписи | Цена | |
|---|---|---|
| Symantec Codesign Аdobe АIR | от 25 875 р./год | |
| Symantec Codesign Microsoft Аuthenticode | от 25 875 р./год | |
| Symantec Codesign Office VBA | от 25 875 р./год | |
| Symantec Codesign SUN JAVA | от 25 875 р./год |
Простой способ попасть в топ Google!
Популярный поисковик изменил правила ранжирования: теперь сайты, использующие HTTPS-соединение, поднимаются выше в результатах поиска. Став обладателем SSL-сертификата Symantec , вы сможете не только надежно защитить свой сайт, но и привлечь намного больше пользователей.
Будущее интернета — за SSL.SSL-сертификат — уникальная цифровая подпись вашего сайта. Прежде всего, она обладает тремя наиболее важными и необходимыми функциями:
Компания Symantec (VeriSign) является крупнейшим поставщиком SSL-сертификатов в мире, а также одним из популярнейших сертификационных центров среди ТОП-100 банков и ТОП-500 веб-сайтов. Сертификаты от Symantec (VeriSign) позволяют повысить эффективность бизнеса Вашего сайта. SSL сертификаты Symantec (VeriSign) — это элитный уровень сертификатов безопасности со стандартной и расширенной проверкой, который отлично подходит для крупных компаний, заботящихся о своей репутации. Сертификаты SSL «Симантек» столь востребованы ввиду наиболее высокого уровня доверия среди пользователей. Наличие SSL-сертификата не только обеспечит защиту информации, передаваемой между сайтом и клиентами, но и помогают подтвердить безопасность всего сайта в целом. Сайты, имеющие SSL-сертификаты от Symantec (VeriSign) пользуются максимальной степенью доверия: безопасность ссылки, безопасность сайта, безопасность сделки.
В компании сайт у вас есть возможность подобрать себе наиболее подходящий SSL-сертификат от компании Symantec (VeriSign).
Share on facebook
Share on twitter
Share on vk
Share on telegram
Share on whatsapp
Если Вы по какой-то причине озадачились бесплатным SSL-сертификатом для своего сайта, то я Вам советую сто раз подумать прежде чем связываться с бесплатными сертификатами, а точнее с центрами, которые выдают таковые сертификаты. Как и все бесплатное, бесплатные сертификаты своего рода сыр в мышеловке, в эту мышеловку попался и я. Наверняка Вы слыхали про китайские сертификаты, которые выдавались аж на три года, а тут ещё гугл с яндексом как сговорились, говорят мол будем делать а-я-яй сайтам без сертификатов, а тут уже и хостеры подхватили эту тему и давай сертификаты впаривать налево и направо не разбираясь надо это вообще сайту или нет.
Наличие сертификата это всегда здорово, особенно если это сертификат, например, типа EV стоимостью несколько тысяч рублей в год. Если на Вашем сайте установить такой сертификат, то в адресной строке рядом с адресом Вашего сайта поселится название Вашей организации:
Но такой сертификат могут получить только юридические лица после длительной проверки организации. Но мы то хотим халявы!
Одним из популярных центров, которые которые раздают халявные бесплатные сертификаты, является StartSSL. Долгое время люди переводили свои сайты на эти сертификаты, писали кучи статей о том, как получить бесплатный сертификат. Затем всем известные WoSogn со своими сертификатами на 3 года. Вот и я повелся на халяву прикрутив себе халявный сертификат от наших китайских друзей. Был ли от этого явный прирост посещаемости? Вряд ли. Во всяком случае прирост был не больше чем погрешность ибо динамика роста практически осталась той же какой была и до установки сертификата.
Все шло замечательно пока Opera, которой я пользуюсь в качестве основного браузера, не показала мне интересное сообщение при очередном посещении моего сайта:
«Твою же ж мать….» – прозвучало в моей голове, а потом я пошел проверять как сайт открывается в других браузерах, как оказалось на тот момент только Opera послала нафик сертификат от WoSogn. К слову сказать на тот момент основным зеркалом сайта был домен с www, мне бы дураку свалить по тихой с этого SSL, но дурная голова, как понимаете, не дает покоя. В итоге был взят халявный сертификат от хостера на 1 год и вот тут меня ждала западня, поскольку данный сертификат был типа «1d», то есть сертификат выдается только на домен site.ru, а на www.site.ru сертификата нет. Вот и получилось что я своими руками обвалил трафик своего сайта.
Обратите внимание на то, что даже платные сертификаты могут не поддерживаться некоторыми браузерами, по этой причине перед тем, как выбрать центр сертификации обратите внимание на то, какие браузеры поддерживают корневые сертификаты этого центра.
В случае с бесплатными сертификатами, центр, который выдал Вам сертификат, не несет перед Вами ответственности и ничего не гарантирует и в случае если сертификаты будут отозваны или их перестанут поддерживать основные браузеры, то у Вас, точнее у Вашего сайта возникнут проблемы в виде такоо сообщения:
Как видите я не могу зайти на такой сайт даже при большом желании, браузер мне этого в принципе не дает. В конечном итоге от бесплатного сертификата пользы Вы не получите, а вот проблем от непредвиденных обстоятельств Вы наверняка огребете.
А вот собственно дополнение спустя несколько месяцев. Привожу статистику посещаемости. Проблемы с бесплатным сертификатом, а точнее проблемы вызванные с отказом поддержки сертификатов браузерами, привели к падению трафика, которое сайт отыграл только в августе (см. фото).
Как видите вместо роста в апреле был спад, учитывая что рост должен был составить примерно 13%, то из-за, простите, сраного сертификата, я не досчитался нескольких тысяч посетителей.
Новичкам, которые решили приобрести себе сертификат для своего сайта на первых порах достаточно трудно разобраться в их обозначении и предназначении, а их, этих типов, достаточно много и у каждого не только свое предназначение, но и стоимость существенно отличается.
По типу верификации сертификаты делятся на три типа:
Сертификаты делятся по поддержке доменов на три типа:
Конечно же бесплатные сертификаты не имеют подобной типизации поскольку Вам дают возможность выпустить кучу сертификатов на каждый домен, то есть один сертификат на site.ru, второй на www.site.ru, третий на blog.site.ru и т.д.
Но если углубиться в тему сильнее, то типов сертификатов несколько больше:
IDN (англ. Internationalized Domain Names) – доменные имена, которые содержат символы национального алфавита, например сайт.рф.
Не все центры сертификации указывают наличия поддержки IDN-доменов, но и далеко не все имеют эту поддержку и вот список некоторых из центров, которые поддерживают такие домены:
Поскольку я категорически не советую Вам использовать бесплатный сертификат, то вариантов у нас в принципе не так уж и много. Что бы не заморачиваться нюансами процесса выпуска сертификата с последующей установкой, то есть смысл рассмотреть переезд к хостеру, который сделает все за Вас, Вам останется всего лишь это оплатить.
Поэтому вместо того, что бы заморачиваться изучением темы SSL-сертификатов, лучше заморочиться хостером, который сделает все за Вас. Из всего великого множества хостинов могу посоветовать следующие:
Услугами этого хостера я пользуюсь достаточно давно и претензий к его работ нет в принципе. Перед нами достаточно богатый выбор, начиная от бесплатного, заканчивая EV:
Как мы видим нам дают возможность получить бесплатный сертификат (на 1 год, после завершения срока действия сертификата необходимо будет приобрести платный), а так же приобрести более расширенный. На данный момент представлено всего три центра сертификации:
Если вдруг решитесь заказать там хостинг, то укажите промокод: UMMIAZED
Тут к нашему вниманию сертификаты только от GlobalSign, во всяком случае на странице приведены сертификаты только от этого центра.
Самый дешевый сертификат AlphaSSL за 1499 рублей:
Но кроме всего прочего REG.RU обещает бесплатный сертификат на год, того же GlobalSign при заказе услуги хостинга. Стоит отметить тот факт, что в отличии от СпейсВеб, который предлагает бесплатный SSL-сертификат на год только 1d без www, то REG.RU предлагает сертификат 1d+www. Собственно ссылка на новость: https://www.reg.ru/company/promotions/5063
Ничего не могу сказать по поводу данного хостинга, привожу его в пример лишь по причине его популярности. Данный хостинг предлагает нам сертификаты от Comodo и за самый простой просит 990 рублей.
Акций с бесплатными сертификатами у этого хостера нет, во всяком случае я таковых там не обнаружил.
На просторах сети попался мне данный сервис. Чем он привлек мое внимание, так это принципом подбора сертификата. Производится он простеньким опросом, где Вы выбираете нужные пункты, которые характеризуют Вашу ситуацию и в конечном итоге Вам предлагается подходящий вариант за умеренную цену.
Для подбора сертификата достаточно пройти на страницу сервиса и потыкать варианты.
Для себя я окончательно решил, бесплатные SSL-сертификаты – категорическое «нет». Пользы практически никакой, а проблемы, в случае отказа в поддержке таких сертификатов, будут серьезные. На данный момент (Апрель 2017) у меня установлен бесплатный сертификат Symantec Site Starter на один год, по истечении этого года мне придется купить другой сертификат, но у меня есть время подумать перейти ли мне на http или отдать три тысячи за нормальный сертификат.
