Який SSL-сертифікат обрати для e-commerce: порівнюємо безплатні та платні рішення

SSL-сертифікат – це базовий мінімум будь-якого сайту. Він забезпечує шифрування користувацьких даних, які передаються між браузером і сервером, – паролів, даних банківських карток, емейлів тощо. Користувачі менше довіряють сайтам без належного захисту, адже пошукові системи позначають їх як небезпечні.

У попередній статті розповіли основне про SSL-сертифікати – види, принцип роботи, спосіб отримання та багато чого іншого.

Тому без SSL-сертифіката нікуди, особливо інтернет-магазинам, які щодня обробляють персональні дані клієнтів. Але постає питання: який саме сертифікат обрати? Вони мають різні рівні перевірки та вартість, а неправильний вибір може призвести до втрати довіри клієнтів і навіть до збоїв у роботі сайту.

У цій статті ми порівняли ключові особливості безплатних і платних сертифікатів й визначили, який краще обирати інтернет-магазинам. Тож не перемикайтеся, далі багато корисного!

Безплатні SSL

Такі центри сертифікації як Let’s Encrypt дозволяють захистити свій сайт абсолютно безплатно. Вони найкраще підходять для невеликих сайтів — блогів, візитівок, MVP або лендінгів. Отримати сертифікат Let’s Encrypt можна безпосередньо через панель керування хостингом, а процес займе всього хвилину – інструкція за цим посиланням.

Безплатні сертифікати вигідні, але чи справді варта ця шкірка вичинки? Розгляньмо детальніше їхні переваги та недоліки.

Переваги

Загалом безплатні сертифікати нічим не гірше за функціоналом – вони так само шифрують дані, які передаються між користувачем і сервером. Крім цього, мають ще кілька практичних переваг:

• Безплатно встановлюються та оновлюються – ідеально для обмеженого бюджету.
• Сайт переходить на HTTPS-з’єднання.
• Багато реселерів пропонують автоматичне оновлення безплатних сертифікатів. У HostPro також є ця функція, отримати її можна за запитом до техпідтримки.
• Не потребують розширеної перевірки даних, тому видаються всього за кілька секунд.

Недоліки

Недоліків безплатних сертифікатів чимало – варто ознайомитися з усіма ними, щоб оцінити всі можливі ризики.

Підтримують лише Domain Validation

DV-сертифікат – це мінімальний рівень перевірки, який не вимагає підтвердження даних про особу чи компанію. Достатньо лише підтвердити у базі WHOIS, що ви справді є власником домену.

Коли користувач бачить, що зʼєднання із сайтом захищене, він спокійно вводить там свої персональні дані. Проте наявність DV-сертифіката не гарантує повну безпеку –  іноді шахраї використовують його для фішингових сайтів. Тому якщо вам важлива довіра користувачів, краще обрати сертифікат з вищим рівнем перевірки – OV чи EV.

Відсутність фінансових гарантій (warranty)

Хоча зламати шифр сертифіката практично неможливо, навіть на випадок інцидентів повинна бути фінансова гарантія. Якщо вона є, сертифікаційний центр зобов’язаний виплатити компенсацію в разі витоку даних користувачів. Для комерційних ресурсів відсутність warranty означає, що вся відповідальність і можливі збитки лягають виключно на власників сайту.

Потрібно перевипускати щоквартально

Комерційні SSL видаються на рік, але придбати SSL від Comodo можна й на 2 або навіть на 5 років, просто потрібно щороку перевипускати. Водночас безплатні доводиться оновлювати щоквартально. Якщо цього не зробити вчасно, відвідувачі побачать попередження про незахищене зʼєднання й просто закриють вкладку. Для e-commerce це означає втрату продажів і прибутку.

Щодо Let’s Encrypt, тепер користувачам доводиться самостійно стежити за терміном дії сертифіката, адже компанія більше не надсилає нагадувань про оновлення. Детальніше розповіли у нашій новинній стрічці. 

Не всі платіжні шлюзи схвалюють безплатні SSL

Деякі застарілі шлюзи (зокрема Authorize.Net, First Data (зараз Fiserv) і WorldPay) можуть не підтримувати Let’s Encrypt. Це трапляється, якщо шлюз використовує фіксовані списки довірених сертифікатів (CA), має обмеження на тип перевірки (наприклад, лише OV або EV) або працює через застарілий API. У сучасних інтеграціях на базі REST API таких обмежень зазвичай немає, і звичайний Let’s Encrypt теж має підійти.

Ба більше, деякі старі операційні системи (наприклад, Windows XP) або застарілі версії Android не довіряють сертифікатам Let’s Encrypt, через що захищене з’єднання може не встановлюватися.

Заплямована репутація Let’s Encrypt

30 вересня 2021 року в Let’s Encrypt закінчився термін дії їхнього кореневого сертифіката. Через це низка сайтів із сертифікатами, виданими на його основі, перестали відкриватися й користувачі бачили повідомлення про незахищене зʼєднання. Згодом компанія оновила кореневі сертифікати, але довіра до безплатних сертифікатів значно підірвалася.

Про подробиці цього інциденту з Let’s Encrypt у нашій попередній статті – тиць тут.

Платні SSL

На безплатному сертифікаті далеко не заїдеш – він добре справляється з безпекою невеликих сайтів, як-от блогів чи візиток, але для електронної комерції цього замало. Тому інтернет-магазинам краще обирати платні SSL, адже вони мають вищі рівні перевірки, передбачають компенсації та підтримуються всіма сучасними платіжними сервісами.

Переваги

Пройдімося детальніше по перевагах, які отримає ваш інтернет-магазин із платним сертифікатом.

Є можливість розширеної перевірки

Якщо безплатні мають лише перевірку за доменом (DV), то у платних можна обрати звичайну (OV) або розширену (EV) перевірку організації. Обидва сертифікати видаються лише юридичним особам і, відповідно, значно підвищують довіру користувачів до сайту. Розгляньмо умови отримання:

• OV (organization validation) – перевірка документів, які підтверджують існування компанії (свідоцтво про реєстрацію, податкові документи, перевірка в ЄДР тощо). Також можуть зателефонувати на вказаний контактний номер. 
• EV (extended validation) – сюди входить усе з OV-перевірки + підтвердження права власності на назву компанії.

Детальніше про процедури випуску сертифікатів ми розповіли в попередніх статтях: про OV – за цим посиланням, про EV – читайте тут.

Гарантія виплати у випадку зламу шифрування

Ми вже згадували, що безплатні сертифікати не передбачають жодних гарантій на випадок, якщо станеться злам шифру і приватні дані потраплять до третіх осіб. У платних же навпаки – кожен сертифікаційний центр передбачає грошові компенсації. Їхня сума залежить від типу сертифіката, зазвичай це від кількох тисяч до мільйона доларів.

Для інтернет-магазинів такі гарантії особливо важливі, адже вони щодня працюють з приватною інформацією. Крім підвищення довіри користувачів, warranty є зеленим прапорцем для платіжних сервісів (як-от PayPal, Stripe чи LiqPay), адже це ознака стабільності та надійності ресурсу. 

Назва компанії показується у сертифікаті

Оскільки платні SSL підтримують OV- та EV-перевірку, їх видають на конкретну компанію. Кожен користувач може переглянути технічні характеристики сертифіката й побачити, кому саме він виданий. Для цього потрібно натиснути на значок налаштувань в адресному рядку → «Зʼєднання безпечне» → «Сертифікат дійсний». Назва компанії відображається в полі «Загальне ім’я».

Коли користувач бачить, що домен та назва організації в сертифікаті збігаються, він розуміє, що сайт належить заявленій компанії, а не шахраям. Це викликає довіру й створює відчуття безпеки під час введення платіжних даних. 

Підтримка e-commerce і банківських інтеграцій

На відміну від безплатних SSL, платні значно легше інтегруються з платіжними шлюзами та банківськими системами. Це тому, що деякі платіжні або фінансові установи у вимогах безпеки можуть радити використання OV/EV-сертифікатів, щоб ідентифікувати компанію, яка приймає платежі. 

У таких випадках платний SSL потрібен не тому, що безплатний гірший технічно, а тому, що DV-сертифікат не підтверджує юридичну особу. Це більше стосується B2B-інтеграцій, корпоративних API або коли банк хоче мати офіційне підтвердження, що сайт належить певній компанії.

Перш ніж під’єднати платіжну систему уточніть у техпідтримки, який тип сертифіката вона приймає. Деякі шлюзи можуть працювати лише на сайтах з EV-сертифікатами.

Випускаються на рік

Платний сертифікат зазвичай випускається на 1 рік. Завдяки цьому не потрібно постійно турбуватися про його оновлення, чи хвилюватися, що одного дня сайт просто перестане працювати, бо відвалився сертифікат. 

Можна придбати SSL одразу на кілька років й забути про нього, доки на пошту не прийде нагадування. Клієнти HostPro отримують листи за 2 тижні до закінчення терміну дії своїх сертифікатів.

До речі, у нас можна взяти SSL від сертифікаційного центру Comodo одразу на 4 або 5 років, а ми ще й знижечку дамо. Деталі пропозиції можна переглянути за цим посиланням.

Недоліки

Для когось платні SSL – не завжди єдине правильне рішення. Власники сайтів можуть відмовлятися від них із кількох причин:

• Потрібно платити. Ціна SSL починається від 6,50 доларів на рік. Хоч така покупка є інвестицією в безпеку та стабільність, для когось вона може здаватися непотрібною або занадто дорогою.
• Потрібна верифікація компанії. Якщо обрати OV- чи EV-перевірку, потрібно надавати документи, які підтверджують існування компанії. Через це процес отримання SSL стає складнішим і довшим, на відміну він безплатних, які видаються буквально за хвилину.

Залишаємо посилання на корисну статтю, яка допоможе спростити процес перевірки організації для отримання сертифіката.

Наостанок

Наш аналіз довів, що для електронної комерції без платного SSL-сертифіката – нікуди. Для роботи з приватними даними користувачів потрібен вищий рівень захисту, який забезпечують лише платні рішення. До того ж не всі сучасні платіжні шлюзи хочуть працювати із сайтами на безплатних сертифікатах.

У HostPro можна отримати SSL-сертифікати від провідних центрів сертифікації, як-от Comodo, RapidSSL, Certum, GeoTrust тощо. А щоб не розбиратися самостійно, зверніться до нашої техпідтримки – ми допоможемо підібрати оптимальне рішення для вашого інтернет-магазину.