Почему Let’s Encrypt теперь в прошлом?

В этом году 30 сентября запомнится всем надолго. Столько шума наделал один из самых масштабных поставщиков HTTPS-сертификатов, Let’s Encrypt. 

Как говорится, what happened?

Let’s Encrypt – бесплатная некоммерческая организация, выпускающая сертификаты, которые шифруют соединение между вашим сайтом и устройствами пользователей, гарантируя, что никто не сможет перехватить или украсть данные ваших клиентов при передаче. Однако с 30 сентября 2021 большинство браузеров прекратили доверять сертификатам, выданным этим центром сертификации.

Вследствие того, что срок действия корневого сертификата Let’s Encrypt, IdenTrust DST Root CA X3, закончился, работоспособность миллионов сайтов по всему миру оказалась под угрозой.

Устройства, которые пострадали от окончания срока действия сертификата – это преимущественно встроенные системы, которые не предназначены для автоматического обновления, или смартфоны, на которых установлены выпуски программного обеспечения многолетней давности, в частности устройства на Android версии ниже, чем 2.3.6, а также на iOS версии ниже, чем 10. 

Также столкнулись с проблемами пользователи старых версий macOS 2016 и Windows XP старше версии SP3, Ubuntu версии ниже 12.04, Debian — ниже 6, Mozilla Firefox версии ниже, чем 2.0, а также PlayStation версии ниже, чем 5.0.

И что себе думает Let’s Encrypt?

Хотя Android, по словам Let’s Encrypt, «давным-давно имеет проблемы с обновлениями операционной системы», они нашли действенный обходной путь. В этом году Let’s Encrypt перешли на собственный сертификат ISRG Root X1, срок действия которого истекает только в 2035-ом году.

Хотя некоторые устройства все ещё могут столкнуться с проблемами, компания Let’s Encrypt рекомендует установить Firefox, так как это единственный браузер с собственным списком доверенных корневых сертификатов или обновить корневые сертификаты, чтобы избежать подобных случаев в будущем.

Что означает ошибка «Подключение не защищено»?

Если ваш сайт попал в группу риска, то, скорее всего, пользователи могли увидеть ошибку «Подключение не защищено». Это означает, что браузер не нашел корневой сертификат SSL в своем хранилище и устройство ваших клиентов может стать золотой жилой для хакеров. 

Чтобы ваши клиенты получили доступ к веб-сайту, браузер должен проверить цифровые сертификаты, установленные на сервере, чтобы убедиться, что сайт соответствует стандартам конфиденциальности и безопасный для работы. Если браузер обнаружит, что с сертификатом что-то не так, он запретит вашим клиентам доступ к сайту и они увидят сообщение «Подключение не защищено».

Есть ли решение?

Для того чтобы ваш сайт открывался на всех устройствах, вы можете порекомендовать пользователям вашего ресурса самостоятельно заменить IdenTrust DST Root CA X3 в «цепочке доверия» на ISRG Root X1 или просто попросить их обновить браузеры или операционные системы, однако следует понимать, что такое решение все равно не сможет на 100% обеспечить ваш сайт гарантированным уровнем безопасности на длительное время.

Лучшим решением в этой ситуации является установление платного сертификата. И вот почему:

• Тип SSL-сертификата и уровень доверия

Бесплатные SSL-сертификаты поставляются только с опцией проверки домена (DV). Сертификаты DV используются для обеспечения базового уровня аутентификации, как правило, для небольших сайтов и блогов.

Бесплатные SSL не предусматривают сертификаты Organization Validation (OV) – когда в адресной строке пользователя отображается подробная информация об организации, а также Extended Validation (EV).

Последний имеет самый высокий уровень доверия и является оптимальным решением для тех ресурсов, работа которых требует строгой конфиденциальности данных (например, при осуществлении финансовых транзакций). Само название этого типа сертификатов предполагает расширенную периодическую проверку данных владельца сайта для предотвращения их подмены.

Непосредственно в адресной строке клиента отображается информация об организации-владельце сайта в виде дополнительного ярлыка зелёного цвета (Green Bar). Такой ярлык сложно не заметить. Пользователю не обязательно нажимать на иконку сертификата в браузере для получения подробной информации о нем – самое важное подтверждение он получит, просто взглянув на адресную строку. Опция Green Bar поддерживается всеми популярными интернет-браузерами на всех актуальных операционных системах.  

Выбирая платный SSL-сертификат, вы можете выбрать любой тип проверки, включая OV и EV, которые абсолютно необходимы для защиты бизнес-сайтов. Подробнее о том, как выбрать нужный именно вам SSL-сертификат, вы можете прочитать здесь.

• Срок действия

Бесплатные SSL-сертификаты, предоставляемые популярными центрами сертификации, выдаются на 30-90 дней. В результате вам придется постоянно их обновлять. Платные же сертификаты выдаются, как правило, на 1 год.

• Наличие поддержки

Центры сертификации и реселлеры платных сертификатов обязуются предоставлять круглосуточную поддержку своим клиентам. В Hostpro, например, вы можете обратиться с любым вопросом относительно вашего SSL (и не только) с помощью чата на сайте почты ([email protected]) или телефонного звонка.

Бесплатные центры сертификации обычно не предоставляют клиентам такую ​​замечательную поддержку, потому что просто не могут себе этого позволить.

• Гарантия

Платные SSL-сертификаты предоставляют официальные гарантии и обязуются уплатить от 10 тисяч до 1,75 миллиона долларов в случае, если в результате ошибки при выдаче сертификат получит мошеннический сайт или если злоумышленники взломают шифр сертификата. Чего не скажешь о бесплатных SSL. 

Итоги

Сегодня веб-безопасность стала вопросом «без компромиссов», и SSL-сертификаты способны действительно помочь вам в этом. Не будем отрицать, что бесплатные SSL-сертификаты – это отличный вариант для многих, особенно, если это блог или даже небольшой сайт.

Но когда речь идет о реальном бизнесе — выбор очевиден. Если бы с бесплатными SSL-сертификатами не было никаких проблем, то все ведущие e-commerce сайты использовали бы их, не так ли? Но они этого не делают, и на это есть много причин.

Платные SSL-сертификаты могут помочь ускорить конверсию на сайтах, повышая доверие клиента, что в конечном итоге увеличит ваши доходы. Хотя вам придется за них заплатить, вы, несомненно, не пожалеете об этом позже. В конце концов, ни одна хорошая вещь не достается бесплатно. 

Дружеский совет: сейчас в Hostpro вы можете приобрести любой SSL-сертификат со скидкой 20%. Для этого просто примените промокод SSL-20 при заказе. Спешите, предложение действует до 22 октября 2021 года.