Где и зачем получать бесплатный SSL сертификат?
Давайте немного проясним тему о тотальном переходе на HTTPS и о том, зачем это вообще кому-либо нужно. В первую очередь разберемся в том, кому нужен SSL сертификат для сайта и когда стоит его купить, а когда получить бесплатно. А также посмотрим на способы получения защиты бесплатно.
Зачем нужен SSL сертификат
Лично Вам он не нужен в 99.9% случаев. Более того, он не нужен по сути большинству сайтов. Но реальность такова, что сейчас без SSL сертификата ни один сайт нормально существовать не может. Так получилось из-за тотального продвижения «безопасности» в интернет крупными операторами рынка. И под операторами я отнюдь не подразумеваю провайдеров интернет.
Исторически сложилось так, что развитие сети не обеспечивало нормальной защиты данных, которые передавались по ней. По сути не обеспечивало никакой защиты. Поэтому постепенно крупные игроки рынка пришли к мнению, что данные нужно шифровать и это критично для бизнеса. Одной из первых компаний, которые начали разработки в этой области была Netscape в 1994 году. В последние годы шифрование для сайтов активно продвигают Google, Mozilla, Yandex, Microsoft.
Но потребности бизнеса и потребности простых людей серфящих в интернет различаются очень сильно. И если для бизнеса шифрование каналов связи необходимость, то для обычных граждан это, часто, излишек. Исключением может быть разве что значимая информация — финансовые данные, личная информация…
А вот веб-мастерам, создающим сайты, это шифрование нужно уже просто позарез.
Законодательные требования и SEO
В наше время, с введением разных законодательных норм, типа GDPR, шифрование канала связи становится фактически обязательным. Это связано с ростом производительности компьютеров и безумным количеством мамкиных кулхацкеров. Первое делает шифрование относительно дешевым, а второе необходимым. Просто для того, чтобы затруднить работу злоумышленников. Не более того.
Кроме того, сейчас поисковые системы меньше доверяют сайтам, которые не имеют SSL. Хотите посетителей из поисковых систем — делайте SSL и переходите на https. Вот и простой ответ на вопрос «зачем мне https и SSL».
В интернет постоянно публикуются материалы, которые рассказывают о том, что платные сертификаты лучше бесплатных. И чем дороже, тем лучше. SSL уровня проверки компании может стоить нескольких тысяч долларов. И все что он дает это зеленая полоска в браузере с названием компании, связанной с доменом вместо серенького ключика. Да, и еще страхование не совсем понятно от чего.
На момент написания статьи у меня нет никаких документальных подтверждений того, что сайт, купивший дорогие сертификаты имеет какие-то преимущества в этом отношении перед другим сайтом, который получил бесплатный сертификат. Хотя искал я долго и тщательно, так как в первую очередь этот вопрос интересует меня, как владельца и администратора довольно немаленького количества сайтов. Есть только подтверждение того, что наличие SSL сертификата является одним из тысяч факторов ранжирования.
Эксперименты в этом направлении также встречаются как в открытом доступе, так и на закрытых ветках форумов веб-мастеров. И пока я не видел ни одного реального однозначного подтверждения большего влияния дорогого сертификата SSL на количество посетителей.
Поэтому вполне можно брать бесплатные сертификаты для своих ресурсов.
Иллюзия защиты
Основной концепцией при продвижении темы шифрования потока данных между веб-сайтом и конечным пользователем является то, что третьим лицам очень тяжело получить передаваемые данные в чистом виде. Замечу, что ключевое слово «очень тяжело», а не «невозможно».
Существует ряд способов все же добраться до этих данных. Одним из них является так называемая «атака человека посредине» (man-in-the-middle, MITM). Ее суть заключается в том, что между конечным сервером и клиентом устанавливается оборудование, которое позволяет прикинуться конечным сервером для клиента и клиентом для сервера. В этом случае MITM агент отдает валидный ключ шифрования клиенту, а полученный от сервера сохраняет у себя. То же проделывается и в обратном порядке. И если все проходит успешно, то на оборудовании агента данные получаются в чистом виде и могут быть прочитаны и даже изменены.
Такое оборудование может быть установлено на любой части канала — возле хаба провайдера, врезано в проводное соединение и даже подключено к беспроводным точкам связи.
Если кто-то пользовался интернет в кафе, супермаркетах или других общественных местах, то обращал внимание на то, что прежде чем перейти на нужную страницу приходится подтвердить согласие с условиями предоставления услуг или указать те или иные данные о себе. Это легальная реализация атаки MITM.
Официальные сертификаты от крупных ЦС имеют частичную защиту от таких действий, так как каждый сертификат проверяется на сервере ЦС перед использованием. Но, опять же, это лишь затрудняет доступ к данным, передаваемым по открытым каналам связи, усложняя задачу злоумышленнику.
Поэтому знайте, что абсолютной защиты не существует. Это всего лишь меры, которые останавливают кулхацкеров и школоту.
Чему верить
Скорее уж чему не верить.
Не верьте, если говорят, что это позволит защитить сайт от взлома. Это не так. Шифруются и защищаются только данные, которые передаются по сети. Но не те, что хранятся и обрабатываются на сервере.
Не верьте, если говорят, что это ускорит загрузку страниц. Шифрование и дешифрование очень быстрое, но все же требует ресурсов. Поэтому нагрузка на сервер и на браузер возрастет. Это милисекунды, но все же.
Не верьте, если кто-то скажет, что это абсолютная защита. Это всего лишь сильно усложняет работу хакера. И слегка усложняет работу спецслужб.
Верить можно в то, что SSL сертификат улучшает репутацию. Не на много, но все же. Большинство пользователей просто не обращают внимание на замочек в браузере. Немного более заметно, если у вас EV сертификат, который включает название компании или имя владельца. Но, как показывает практика, это влияет также не сильно.
Верить стоит также тому, что те сайты, которые не имеют HTTPS упускают часть конкурентного преимущества. Лидеры пусть и остаются на месте, но в условиях тотальных требований к безопасности быть на одном уровне с ними хотя бы в этом отношении необходимо.
Стоимость SSL сертификатов
Если хорошо покопаться, то можно получить SSL сертификат за пару баксов в год. Искать нужно крупных реселлеров, которые демпингуя стараются убить друг друга. Центры сертификации этому не противодействуют, так как все больше народу переходит на бесплатные варианты и любая денежка теперь выгрызается издателями сертификатов SSL со все большим трудом.
В то же время существует целый ряд способов получить сертификат SSL бесплатно. Именно поэтому многие хостеры уже подключили в свои панели управления возможность создавать их без оплаты.
Более того, есть способы сделать себе собственный самоподписанный сертификат. Но ничем хорошим такое действие не закончится. Браузеры давно уже блокируют попытки посещения сайтов с сапомодписанными сертификатами наравне с теми, кто просрочил перевыпуск SSL. Кроме того, такие варианты более уязвимы к различным атакам.
Где взять бесплатный сертификат SSL для HTTPS
Хостинг Провайдеры
Сейчас наличие возможности выдавать SSL сертификаты своим клиентам непосредственно из панели управления уже является необходимым для каждого провайдера. Иначе теряется большая часть конкурентного преимущества. Поэтому если уж решили переходить на https, то спросите о возможности получить бесплатный сертификат у своего хостера.
Регистраторы доменов
Многие регистраторы доменов на первый год дают платные сертификаты от Comodo или Geotrust бесплатно. Посмотрите внимательно в панели доменов или просто спросите у своего регистратора предоставляет ли он такую возможность.
Cloudflare
Сайт: CloudFlare
Ведущий сервис CDN предоставляет также возможность получения SSL сертификата для сайта бесплатно. Об этом, почему-то, знают не многие, хотя в бесплатном тарифном плане указано наличие такой возможности.
Помимо SSL сервис предоставляет еще массу других возможностей, но это уже тема для другой статьи. У них даже домен зарегистрировать можно недорого.
StartSSL
Сайт: www.startssl.com
Сервис в свое время умер (закрыт с 1 января 2018 года), так как из-за множественных нарушений безопасности получил бан в современных браузерах как центр сертификации. В частности в ноябре 2016 года Google отозвал доверие к этому центру сертификации. Пруф. То же самое сделали Мозилла и Apple.
Израильский проект StartCOM (он же StartSSL) плотно сотрудничал с китайским центром сертификации WoSign (он же WoTrus). Сейчас сертификаты этого центра в принципе воспринимаются браузерами, но запах еще остался.
Let’s encrypt
Сайт: letsencrypt.org
Здесь можно получить SSL сертификат бесплатно на 3 месяца. В конце этого периода есть возможность перевыпустить его. Весь процесс полностью автоматизирован. Для получения нужно чтобы домен уже работал в сети.
COMODO
Сайт: comodo.com , comodoca.com
Дают сертификат на 90 дней бесплатно (Comodo CA/Sectigi — 30 дней). Декларируется, что это тестовый сертификат, который позволяет проверить как работает центр сертификации.
На самом деле головная компания, владеющая comodo, провела реорганизацию и ребрендинг своего подразделения Comodo CA и теперь центр сертификации переименован в Sectigo.
sectigo
Сайт: sectigo
Здесь можно получить бесплатно SSL сертификат на 30 дней.
gogetssl
Сайт: gogetssl.com
Также на 90 дней можно получить бесплатно. В конце периода можно перевыпустить.