Які бувають SSL-сертифікати? Переваги й недоліки кожного типу

Без SSL-сертифікату неможливо завоювати довіру користувачів і впевненими кроками просуватися все вище й вище у пошуковій видачі. 

Щоб дані між браузером користувача та сервером передавалися у зашифрованому вигляді і потрапляли за призначенням без ризику перехоплення третіми особами, ваш сайт має працювати по захищеному протоколу HTTPS. Тоді вся особиста конфіденційна інформація (імена, емейли, номери телефонів, адреси) та платіжні дані клієнтів (номери карток та CVV-коди) будуть у безпеці. 

Детальніше про те, що таке SSL-сертифікати,  який принцип їх роботи та яка різниця між поняттями HTTPS, SSL і TLS, читайте у нашій статті. 

А в цьому матеріалі розглянемо, які бувають SSL-cертифікати. Детально і з прикладами поговоримо про типи сертифікатів різних типів захисту, рівнів перевірки компанії, а також про безкоштовні й комерційні SSL. 

Комерційні та безкоштовні

Якщо у вас некомерційний сайт, наприклад, сайт-портфоліо чи блог, тоді цілком достатньо буде безкоштовного Let’s Encrypt. Лише зауважте, що безкоштовні SSL не дають жодних гарантій збереження безпечного зʼєднання і клієнтських даних. 

Не так давно мільйони сайтів у всьому світі залишилися без захищеного шифрування через те, що термін дії кореневого сертифіката Let’s Encrypt несподівано завершився.

Різниця між безкоштовним та комерційними SSL полягає передусім у фінансових гарантіях, якщо шифр таки зламають. По-секрету, на злам шифру одного комерційного SSL можуть піти роки. Тож це практично неможливо. Одначе, центри сертифікації перестраховуються і гарантують виплати від $10 тисяч до $1,75 мільйона, залежно від сертифіката, тій особі, яка постраждала через злам шифру і порушення / викрадення даних. 

Тобто warranty (грошові гарантії) призначені для кінцевих користувачів – відвідувачів сайту. 

Водночас безкоштовні сертифікати, приміром найвідоміший Let’s Encrypt чи Free SSL Space, жодних гарантій та компенсацій у випадку порушення безпеки передачі даних не дають. 

Ще однією ключовою відмінністю є термін, на який видаються сертифікати. Безкоштовні зазвичай потрібно перевипускати через 30-90 днів, а комерційні – через 1 рік. 

Сертифікати різних рівнів перевірки 

SSL-сертифікати, видані центром сертифікації, можна розділити за рівнем перевірки власника:

1. перевірка тільки за доменом (DV, domain validation);
2. перевірка організації (OV, organization validation);
3. розширена перевірка організації (EV, extended validation).

DV-сертифікати

Базові DV SSL-сертифікати містять в собі тільки інформацію про домен, на який видавався сертифікат. Водночас підтвердження, що цей домен належить тій чи іншій компанії, не передбачене. 

Щоб отримати Domain Validation SSL вам лише потрібно підтвердити, що саме ви є власником домену. Перевірка здійснюється через WHOIS (базу даних, яка містить інформацію про всі зареєстровані у світі домени). Завдяки цьому сертифікати для домену видаються швидше за інші (до 15 хвилин), і для їх отримання не потрібно надавати жодних документів. Видаються вони і фізичним, і юридичним особам. 

До сертифікатів з доменною валідацією належать і безкоштовні сертифікати Let’s Encrypt.

На нашому сайті ви можете купити DV SSL від відомих центрів сертифікації: 

• Certum Commercial SSL
• Comodo Essential SSL
• RapidSSL
• Thawte SSL 123
• GeoTrust QuickSSL Premium

Більше сертифікатів для захисту домену

Переваги: 

• Швидко видається, бо не потрібно робити перевірку компанії 
• Дає впевненість користувачам, що зʼєднання захищене
• Зазвичай сертифікати DV-рівня найдешевші 

Недоліки:

• Захищений канал передачі даних ще не означає, що сайт належить саме тій компанії, з якою планував взаємодіяти клієнт. Шахраї можуть зареєструвати домен, який схожий на справжній домен компанії (наприклад, не cpanel.com, а cpenel.com), підключити на нього DV-сертифікат і дані справді будуть передаватися захищено, тільки є один нюанс – не туди, куди треба. 

Фактично єдиний вихід – придбати OV-сертифікат з перевіркою компанії.  

ОV-сертифікати 

Перевірка організації (OV SSL) передбачає перевірку документів, що підтверджують існування компанії (свідоцтво про реєстрацію компанії, документ про облік в податковому органі, перевірка наявності компанії в державному єдиному реєстрі). Також для перевірки може бути здійснений дзвінок на номер, вказаний як контактний. 

Такий SSL-сертифікат буде містити інформацію не лише інформацію про власника домену, а й про компанію, яка за ним стоїть. Як результат – значно підвищується довіра користувачів. 

Видаються сертифікати Organization Validation лише юридичним особам. Процес отримання може зайняти від одного до трьох днів. Детальніше про процедуру отримання OV-сертифікатів можна дізнатися за посиланням.

Найпопулярніші OV SSL:

• Certum Trusted SSL
• Comodo Elite SSL
• Comodo Instant SSL Premium 
• Comodo Instant SSL

Переваги:

• максимальний захист користувачів; 
• більша довіра до сайту. Оскільки в інформації про сертифікат буде зазначена офіційна компанія, відвідувачі будуть впевнені в тому, що їхня приватна інформація та кошти потраплять за призначенням;
• шахраї не отримають OV-сертифікат, оскільки не зможуть пройти перевірку компанії; 
• якщо ваш сайт приймає платежі, встановлення сертифіката OV SSL гарантує, що ви відповідаєте вимогам стандарту PCI-DSS (Payment Card Industry Data Security Standard – стандартів безпеки індустрії платіжних карток). 

Недоліки:

• не можуть отримати фізичні особи; 
• крім перевірки на володіння доменом, доведеться пройти також процедуру перевірки організації. Центр сертифікації перевірятиме, чи зареєстрована компанія у вашій країні і чи справді вона там діє; 
• зазвичай дорожчі, ніж домени рівня перевірки DV.

EV-сертифікати

Перевірка при видачі EV SSL-сертифіката (з розширеною перевіркою) аналогічна звичайній перевірці організації, але при цьому перевіряється ще й те, чи має компанія унікальне право на володіння своєю назвою. 

У підсумку буде здійснюватися перевірка домену, організації, державної реєстрації та права на комерційну діяльність, тобто наявність свідоцтва про реєстрацію компанії, посвідчення особи керівника або довіреної особи (в такому випадку потрібна довіреність) і, звісно, права власності на домен (якщо дані в Whois закриті). 

Детальніше про процес верифікації і всі необхідні документи для видачі сертифіката з розширеною перевіркою, читайте тут. 

А ось і помічні гайди:

• Перевірка домену для отримання SSL-сертифіката
• Перевірка організації для отримання SSL-сертифіката
• Лист про юридичний висновок
• Вимоги перевірки місцезнаходження
• Вимоги телефонної перевірки
• Дзвінок від Центру сертифікації для кінцевої перевірки

Видають сертифікати EV SSL (extended validation) здебільшого юридичним особам. Найбільше вони підходять тим проєктам, яким потрібен найвищий рівень захисту: банкам, комерційним гігантам, урядовим організаціям, страховим компаніям тощо. 

Чим відрізняються OV та EV SSL для відвідувачів? OV-сертифікат показує лише назву компанії, а при встановленому EV-сертифікаті відвідувачам буде показуватися назва компанії під замком у більш помітному місці. По суті, це візуальний індикатор того, що центр сертифікації перевірив існування компанії. Це, звичайно ж, позитивно позначиться на довірі клієнтів до такого інтернет-магазину, банку тощо. 

Якщо вам потрібен SSL з розширеною перевіркою, можемо порадити: 

• Certum Premium EV SSL (єдиний сертифікат з розширеною перевіркою, який доступний і для юридичних, і для фізичних осіб (ФОП).
• Comodo EV SSL
• Comodo PositiveSSL EV

Переваги:

• максимальний рівень захисту;
• найбільша довіра клієнтів, оскільки поруч із назвою компанії буде замочок – індикатор того, що центр сертифікації перевірив, що компанія зареєстрована й діє офіційно; 
• назва організації зазначена у більш помітному місці;  
• найбільші warranty – грошові компенсації, якщо внаслідок зламу шифру станеться витік даних відвідувача сайту.

Недоліки:  

• найскладніша процедура видачі; 
• на випуск EV-сертифікатів витрачається найбільше часу (до 5 днів); 
• через найбільші гарантії безпеки й складну процедуру випуску коштують такі SSL найдорожче.

Сертифікати за типом захисту

Сертифікати для домену 

Звичайні сертифікати, або сертифікати для домену забезпечують шифрування інформації тільки одного домену і не містять додаткових можливостей. Сертифіката для домену буде достатньо, якщо у вас лише один сайт. 

• Для одного домену з перевіркою домену – Certum Commercial | Comodo Essential | RapidSSL
• Для одного домену з перевіркою компанії – Certum Trusted | Comodo Instant | Comodo Instant Pro
• Для одного домену з розширеною перевіркою компанії – Certum Premium EV | Comodo Positive EV | Comodo EV

Сертифікати для кількох доменів 

Мультидоменні сертифікати, або SAN-сертифікати передбачають захист інформації для одразу кількох різних доменних імен, наприклад, kurochka.com.ua, pivnyk.com, indychka.top. Такі сертифікати заощадять ваш час на купівлю, генерацію й підтримку різних SSL для різних доменів. 

• Для кількох доменів з перевіркою домену – Comodo Positive Multi-Domain | GeoTrust QuickSSL Premium SAN Certificate | Certum Multidomain Commercial
•  Для кількох доменів з перевіркою компанії – Certum Multidomain Trusted | Comodo Unified Communications | Comodo Multi-Domain
• Для кількох доменів з розширеною перевіркою компанії – Comodo EV Multi-Domain | GeoTrust TrueBusinessID EV Multi-Domain

Сертифікати для субдоменів

Сертифікати для піддоменів, або Wildcard SSL, передбачають захист інформації, що передається на всіх піддоменах третього рівня одного домену. Такий сертифікат спростить управління сертифікатами, якщо у вас багато піддоменів, наприклад, регіональні сайти компанії. 

• Для піддоменів з перевіркою домену – Certum Commercial Wildcard | Comodo Essential Wildcard Certificate | Comodo Positive Wildcard
• Для піддоменів з перевіркою компанії – Comodo Instant Premium Wildcard | GeoTrust BusinessID Wildcard | Comodo Multi-Domain Wildcard
• Для піддоменів з розширеною перевіркою компанії – не існує. 

Сертифікати з підтримкою IDN

SSL з підтримкою IDN орієнтовані на кириличні або інші домени, які містять  літери нелатинських алфавітів. 

Comodo Positive SSL | Comodo Essential Certificate

Сертифікати Code Signing 

Сертифікати програмного коду дозволяють підписувати ваше програмне забезпечення. Віруси не зможуть дописати шкідливий код в компоненти сайту, не змінивши при цьому цифровий підпис. Таку спробу буде виявлено одразу. Це підвищить швидкість виявлення зламу ресурсу, що зі свого боку запобігатиме потраплянню сайту під фільтри пошукових систем і відповідно – втраті позицій.

Зауважимо, що нещодавно до процедури випуску Code Signing сертифікатів внесли зміни – з 1 червня 2023 року, сертифікати встановлюються на спеціальних HSM (hardware security module) USB-носіях, крім того, особа, зазначена в адміністративних контактах сертифіката, має надіслати в центр сертифікації два фото – фото документа посвідчення особи й своє селфі, тримаючи в руках документ посвідчення особи. 

Увесь список вимог для отримання сертифіката програмного коду доступний за посиланням. 

Comodo Code Signing | Comodo EV Code Signing

Сертифікати для захисту пошти та документів

SSL-сертифікати для захисту електронної пошти і документів підтверджують вашу поштову скриньку й забезпечують цілісність переданого повідомлення. Клієнти бачать, що підписані документи ідентифіковані підписантом і не були змінені зловмисниками (сюди віднесемо спам, фішинг, листи зі шкідливими вкладеннями, підроблені рахунки тощо).

Comodo Personal Authentication Certificates

На завершення 

Який тип сертифікату обрати, залежить від специфіки сайту. Для некомерційних проєктів справді достатньо буде безкоштовного Let’s Encrypt. Він розрахований на захист одного домену без перевірки компанії, та зауважте, що жодних фінансових гарантій при його використанні ви не отримаєте. 

Однак, якщо на сайті відбуваються транзакції і для вас важлива репутація бренду та захист введених користувачами даних, обирайте комерційні SSL. 

Памʼятайте, що з вибором і встановленням SSL-сертифікату для вашого сайту або сайтів ми в HostPro з радістю допоможемо 24/7. Просто напишіть нам у тікетах. 

Інструкція 👉 “Як підключити на сайт SSL-сертифікат”