Какой SSL-сертификат выбрать для e-commerce: сравниваем бесплатные и платные решения

SSL-сертификат – это базовый минимум любого сайта. Он обеспечивает шифрование пользовательских данных, которые передаются между браузером и сервером, – паролей, данных банковских карт, электронных писем и т. д. Пользователи меньше доверяют сайтам без должной защиты, ведь поисковые системы помечают их как опасные.

В предыдущей статье рассказали основное об SSL-сертификатах – видах, принципе работы, способе получения и многом другом.

Поэтому без SSL-сертификата никуда, особенно интернет-магазинам, которые ежедневно обрабатывают персональные данные клиентов. Но возникает вопрос: какой именно сертификат выбрать? Они имеют разные уровни проверки и стоимость, а неправильный выбор может привести к потере доверия клиентов и даже к сбоям в работе сайта.

В этой статье мы сравнили ключевые особенности бесплатных и платных сертификатов и определили, какой лучше выбирать интернет-магазинам. Так что не переключайтесь, дальше много полезного!

Бесплатные SSL

Такие центры сертификации как Let’s Encrypt позволяют защитить свой сайт абсолютно бесплатно. Они лучше всего подходят для небольших сайтов – блогов, визиток, MVP или лендингов. Получить сертификат Let’s Encrypt можно напрямую через панель управления хостингом, а процесс займет всего минуту – инструкция по этой ссылке.

Бесплатные сертификаты выгодны, но действительно ли эта кожа стоит выделки? Рассмотрим подробнее их преимущества и недостатки.

Преимущества

В целом бесплатные сертификаты ничем не хуже по функционалу – они так же шифруют данные, которые передаются между пользователем и сервером. Кроме этого, имеют еще несколько практических преимуществ:

• Бесплатно устанавливаются и обновляются – идеально для ограниченного бюджета.
• Сайт переходит на HTTPS-соединение.
• Многие реселлеры предлагают автоматическое обновление бесплатных сертификатов. В HostPro также есть эта функция, получить ее можно по запросу в техподдержку.
• Не требуют расширенной проверки данных, поэтому выдаются всего за несколько секунд.

Недостатки

Недостатков бесплатных сертификатов немало – стоит ознакомиться со всеми ними, чтобы оценить все возможные риски.

Поддерживают только Domain Validation

DV-сертификат – это минимальный уровень проверки, который не требует подтверждения данных о личности или компании. Достаточно только подтвердить в базе WHOIS, что вы действительно являетесь владельцем домена.

Когда пользователь видит, что соединение с сайтом защищено, он спокойно вводит там свои персональные данные. Однако наличие DV-сертификата не гарантирует полную безопасность – иногда мошенники используют его для фишинговых сайтов. Поэтому если вам важно доверие пользователей, лучше выбрать сертификат с более высоким уровнем проверки – OV или EV.

Отсутствие финансовых гарантий (warranty)

Хотя взломать шифр сертификата практически невозможно, даже на случай инцидентов должна быть финансовая гарантия. Если она есть, сертификационный центр обязан выплатить компенсацию в случае утечки данных пользователей. Для коммерческих ресурсов отсутствие warranty означает, что вся ответственность и возможные убытки ложатся исключительно на владельцев сайта.

Нужно перевыпускать ежеквартально

Коммерческие SSL выдаются на год, но приобрести SSL от Comodo можно и на 2 и даже на 5 лет, просто нужно ежегодно перевыпускать. В то же время бесплатные приходится обновлять ежеквартально. Если не сделать этого вовремя, посетители увидят предупреждение о незащищенном соединении и просто закроют вкладку. Для e-commerce это означает потерю продаж и прибыли.

Что касается Let’s Encrypt, теперь пользователям приходится самостоятельно следить за сроком действия сертификата, ведь компания больше не присылает напоминаний об обновлении. Подробнее рассказали в нашей новостной ленте.

Не все платежные шлюзы одобряют бесплатные SSL

Некоторые устаревшие шлюзы (в частности Authorize.Net, First Data (сейчас Fiserv) и WorldPay) могут не поддерживать Let’s Encrypt. Это происходит, если шлюз использует фиксированные списки доверенных сертификатов (CA), имеет ограничения на тип проверки (например, только OV или EV) или работает через устаревший API. В современных интеграциях на базе REST API таких ограничений обычно нет, и обычный Let’s Encrypt тоже должен подойти.

Более того, некоторые старые операционные системы (например, Windows XP) или устаревшие версии Android не доверяют сертификатам Let’s Encrypt, из-за чего защищенное соединение может не устанавливаться.

Плохая репутация Let’s Encrypt

30 сентября 2021 года в Let’s Encrypt истек срок действия их корневого сертификата. Из-за этого ряд сайтов с сертификатами, выданными на его основе, перестали открываться, и пользователи видели сообщение о незащищенном соединении. Впоследствии компания обновила корневые сертификаты, но доверие к бесплатным сертификатам значительно подорвалось.

О подробностях этого инцидента с Let’s Encrypt в нашей предыдущей статье – нажмите здесь.

Платные SSL

На бесплатном сертификате далеко не уедешь – он хорошо справляется с безопасностью небольших сайтов, таких как блоги или визитки, но для электронной коммерции этого недостаточно. Поэтому интернет-магазинам лучше выбирать платные SSL, ведь они имеют более высокие уровни проверки, предусматривают компенсации и поддерживаются всеми современными платежными сервисами.

Преимущества

Давайте подробнее рассмотрим преимущества, которые получит ваш интернет-магазин с платным сертификатом.

Есть возможность расширенной проверки

Если бесплатные имеют только проверку по домену (DV), то в платных можно выбрать обычную (OV) или расширенную (EV) проверку организации. Оба сертификата выдаются только юридическим лицам и, соответственно, значительно повышают доверие пользователей к сайту. Рассмотрим условия выдачи:

• OV (organization validation) – проверка документов, подтверждающих существование компании (свидетельство о регистрации, налоговые документы, проверка в ЕГР и т. д.). Также могут позвонить на указанный контактный номер. 
• EV (extended validation) – сюда входит все из OV-проверки + подтверждение права собственности на название компании.

Подробнее о процедурах выпуска сертификатов мы рассказали в предыдущих статьях: об OV – по этой ссылке, об EV – читайте здесь.

Гарантия выплаты в случае взлома шифрования

Мы уже упоминали, что бесплатные сертификаты не предусматривают никаких гарантий на случай, если произойдет взлом шифра и частные данные попадут к третьим лицам. В платных же наоборот – каждый сертификационный центр предусматривает денежные компенсации. Их сумма зависит от типа сертификата, обычно это от нескольких тысяч до миллиона долларов.

Для интернет-магазинов такие гарантии особенно важны, ведь они ежедневно работают с частной информацией. Помимо повышения доверия пользователей, warranty является зеленым флажком для платежных сервисов (таких, как PayPal, Stripe или LiqPay), ведь это признак стабильности и надежности ресурса.

Название компании отображается в сертификате

Поскольку платные SSL поддерживают OV- и EV-проверку, их выдают на конкретную компанию. Каждый пользователь может просмотреть технические характеристики сертификата и увидеть, кому именно он выдан. Для этого нужно нажать на значок настроек в адресной строке → «Соединение безопасное» → «Сертификат действителен». Название компании отображается в поле «Общее имя».

Когда пользователь видит, что домен и название организации в сертификате совпадают, он понимает, что сайт принадлежит заявленной компании, а не мошенникам. Это вызывает доверие и создает ощущение безопасности при вводе платежных данных.

Поддержка e-commerce и банковских интеграций

В отличие от бесплатных SSL, платные значительно легче интегрируются с платежными шлюзами и банковскими системами. Это потому, что некоторые платежные или финансовые учреждения в требованиях безопасности могут рекомендовать использование OV/EV-сертификатов, чтобы идентифицировать компанию, которая принимает платежи. 

В таких случаях платный SSL нужен не потому, что бесплатный хуже технически, а потому, что DV-сертификат не подтверждает юридическое лицо. Это больше касается B2B-интеграций, корпоративных API или когда банк хочет иметь официальное подтверждение, что сайт принадлежит определенной компании.

Прежде чем подключить платежную систему, уточните у техподдержки, какой тип сертификата она принимает. Некоторые шлюзы могут работать только на сайтах с EV-сертификатами.

Выпускаются на год

Платный сертификат обычно выпускается на 1 год. Благодаря этому не нужно постоянно беспокоиться о его обновлении или волноваться, что однажды сайт просто перестанет работать, потому что отвалился сертификат.

Можно приобрести SSL сразу на несколько лет и забыть о нем, пока на почту не придет напоминание. Клиенты HostPro получают письма за 2 недели до истечения срока действия своих сертификатов.

Кстати, у нас можно взять SSL от сертификационного центра Comodo сразу на 4 или 5 лет, а мы еще и скидочку дадим. Детали предложения можно посмотреть по этой ссылке.

Недостатки

Для кого-то платные SSL – не всегда единственно правильное решение. Владельцы сайтов могут отказываться от них по нескольким причинам:

• Нужно платить. Цена SSL начинается от 6,50 долларов в год. Хотя такая покупка является инвестицией в безопасность и стабильность, для кого-то она может казаться ненужной или слишком дорогой.
• Требуется верификация компании. Если выбрать OV- или EV-проверку, нужно предоставлять документы, подтверждающие существование компании. Из-за этого процесс получения SSL становится сложнее и дольше, в отличие от бесплатных, которые выдаются буквально за минуту.

Оставляем ссылку на полезную статью, которая поможет упростить процесс проверки организации для получения сертификата.

Напоследок

Наш анализ доказал, что для электронной коммерции без платного SSL-сертификата – никуда. Для работы с личными данными пользователей нужен более высокий уровень защиты, который обеспечивают только платные решения. К тому же не все современные платежные шлюзы хотят работать с сайтами на бесплатных сертификатах.

В HostPro можно получить SSL-сертификаты от самых популярных центров сертификации, таких как Comodo, RapidSSL, Certum, GeoTrust и других. А чтобы не разбираться самостоятельно, обратитесь в нашу техподдержку – мы поможем подобрать оптимальное решение для вашего интернет-магазина.