Чому Let’s Encrypt відтепер у минулому?

Цьогорічне 30 вересня запам’ятається усім надовго. Стільки шуму наробив один з наймасштабніших постачальників HTTPS-сертифікатів, Let’s Encrypt. 

Як то кажуть, what happened?

Let’s Encrypt – безкоштовна некомерційна організація, що випускає сертифікати, які шифрують з’єднання між вашим сайтом та пристроями користувачів, гарантуючи, що ніхто не зможе перехопити чи вкрасти дані ваших клієнтів при передачі. Однак з 30 вересня 2021 року більшість браузерів припинили довіряти сертифікатам, виданим цим центром сертифікації.

Внаслідок того, що термін дії кореневого сертифікату Let’s Encrypt, IdenTrust DST Root CA X3, закінчився, працездатність мільйонів сайтів по всьому світу опинилась під загрозою. 

Пристрої, які постраждали від закінчення терміну дії сертифіката – це переважно вбудовані системи, які не призначені для автоматичного оновлення, або смартфони, на яких встановлені випуски програмного забезпечення багаторічної давності, зокрема пристрої на Android версії нижче, ніж 2.3.6, а також на iOS версії нижче, ніж 10. 

Також зіткнулися з проблемами користувачі старих версій macOS 2016 і Windows XP (старше версії SP3), Ubuntu версії нижче від 12.04, Debian – нижче 6, Mozilla Firefox версії нижче, ніж 2.0, а також PlayStation версії нижче, ніж 5.0. 

І що собі думає Let’s Encrypt?

Хоча Android, за словами Let’s Encrypt, “давним-давно має проблеми з оновленнями операційної системи”, вони знайшли дієвий обхідний шлях. Цього року Let’s Encrypt перейшли на власний сертифікат ISRG Root X1, термін дії якого закінчується тільки в 2035-ому. 

Хоча деякі пристрої все ще можуть зіткнутися з проблемами, компанія Let’s Encrypt рекомендує встановити Firefox, оскільки це єдиний браузер з власним списком довірених кореневих сертифікатів, або ж оновити кореневі сертифікати, щоб уникнути подібних випадків у майбутньому.

Що означає помилка “Підключення не захищене”?

Якщо ваш сайт потрапив у групу ризику, то, швидше за все, ваші користувачі могли побачити помилку “Підключення не захищене”. Це означає, що браузер не знайшов кореневий сертифікат SSL у своєму сховищі, тому пристрій ваших клієнтів може стати золотою жилою для хакерів. 

Щоб ваші клієнти отримали доступ до веб-сайту, браузер має перевірити цифрові сертифікати, встановлені на сервері, аби переконатися, що сайт відповідає стандартам конфіденційності та безпечний для роботи. Якщо браузер виявить, що з сертифікатом щось не так, він заборонить вашим клієнтом доступ до сайту, і вони побачать повідомлення  “Підключення не захищене”.

Чи є рішення?

Для того щоб ваш сайт відкривався на всіх пристроях, ви можете порекомендувати користувачам вашого ресурсу самостійно замінити IdenTrust DST Root CA X3 в “ланцюжку довіри” на ISRG Root X1 або ж просто попросити їх оновити браузери та операційні системи, однак варто розуміти, що таке рішення все одно не зможе на 100% надати вашому сайту гарантований рівень безпеки на довгий проміжок часу.

Найкращим рішенням у цій ситуації є встановлення платного сертифікату. І ось чому:

• Тип SSL-сертифікату та рівень довіри

Безкоштовні SSL-сертифікати поставляються тільки з опцією перевірки домену (DV). Сертифікати DV використовуються для забезпечення базового рівня аутентифікації. Зазвичай вони використовуються для невеликих веб-сайтів і блогів. 

Безкоштовні SSL-сертифікати не передбачають сертифікати Organization Validation (OV) – коли в адресному рядку користувача відображається детальна інформація про організацію, а також Extended Validation (EV). 

Останній має найвищий рівень довіри з боку інших інтернет-сайтів і є оптимальним рішенням для тих ресурсів, робота яких вимагає суворої конфіденційності даних (наприклад, при здійсненні фінансових транзакцій). Сама назва цього типу сертифікатів передбачає розширену періодичну перевірку даних власника сайту для запобігання їх підміни. 

Безпосередньо в адресному рядку клієнта відображається інформація про організацію-власника сайту у вигляді додаткового ярлика зеленого кольору (Green Bar). Такий ярлик складно не помітити. Користувачеві не обов’язково натискати на іконку сертифіката у браузері для отримання докладної інформації про нього – найважливіше підтвердження він отримає, просто глянувши на адресний рядок. Опція Green Bar підтримується всіма популярними інтернет-браузерами на всіх актуальних операційних системах.

Обираючи платний SSL-сертифікат, ви можете обрати будь-який тип перевірки, включаючи OV і EV, які абсолютно необхідні для захисту бізнес-сайтів. Детальніше про те, як обрати потрібний саме вам SSL-сертифікат, ви можете прочитати тут.  

• Термін дії

Безкоштовні SSL-сертифікати, що надаються популярними центрами сертифікації, зазвичай видаються на 30-90 днів. В результаті вам доведеться часто їх оновлювати. Платні ж сертифікати видаються, як правило, на 1 рік. 

• Наявність підтримки

Центри сертифікації і реселери платних сертифікатів зобов’язуються надавати цілодобову підтримку своїм клієнтам. У Hostpro, наприклад, ви можете звернутися з будь-яким питанням щодо вашого SSL (і не тільки) за допомогою чату на сайті, пошти ([email protected]) або ж телефонного дзвінка. 

Безкоштовні центри сертифікації зазвичай не надають клієнтам таку чудову підтримку, тому що просто не можуть собі цього дозволити.

• Гарантія

Платні SSL-сертифікати надають офіційні гарантії та зобов’язуються сплатити від 10 тисяч до 1,75 мільйона доларів у випадку, якщо внаслідок помилки при видачі сертифікат отримає шахрайський сайт або ж якщо зловмисники зламають шифр сертифікату. Чого не скажеш про безкоштовні SSL. 

Підсумки

Сьогодні веб-безпека стала питанням “без компромісів”, і SSL-сертифікати здатні справді допомогти вам у цьому. Не будемо заперечувати, що безкоштовні SSL – це чудовий варіант для багатьох, особливо, якщо це блог або невеликий сайт.

Але коли мова йде про реальний бізнес – вибір очевидний. Якби з безкоштовними SSL-сертифікатами не було жодних проблем, то всі провідні e-commerce сайти використовували би їх, чи не так? Але вони цього не роблять, і на це є багато причин.

Платні SSL-сертифікати можуть допомогти прискорити конверсію на сайтах, підвищуючи довіру клієнта, що в кінцевому підсумку збільшить ваші прибутки. Хоча вам доведеться за них заплатити, ви, безсумнівно, не пожалкуєте про це згодом. Зрештою, жодна хороша річ не дістається безкоштовно.  

Дружня порада: наразі у Hostpro ви можете придбати будь-який SSL-сертифікат зі знижкою 20%. Для цього просто застосуйте промокод SSL-20 при замовленні. Покваптесь, пропозиція діє до 22 жовтня 2021 року.