Бесплатный SSL vs платный SSL-сертификат: какой выбрать?

Недавно мы уже отвечали на вопросы о том, что такое SSL-сертификат, как он связан с безопасностью сайта и данных пользователей. Сегодня же разберём плюсы и минусы платных и бесплатных SSL-сертификатов и расскажем, какой сертификат лучше выбрать для вашего бизнеса. Поехали 🙂 .

Вспомним теорию

SSL-сертификат — это цифровая подпись сайта, которая обеспечивает безопасное шифрованное соединение пользователя с вашей платформой. Без такого сертификата данные, которые вводят на сайте посетители, могут быть перехвачены мошенниками онлайн, например, электронные адреса, пароли, данные банковских карт и другие. 

Для установки безопасного соединения нужен ключ, который зашифровывает и расшифровывает сообщения. SSL-сертификат использует три ключа:

1. публичный —  он шифрует сообщения и нужен для того, чтобы браузер мог передать данные пользователя на сервер;
2. приватный — с его помощью сервер расшифровывает сообщения, получая их от браузера;
3. сеансовый — выполняет обе эти функции: его создаёт браузер на короткий промежуток времени, пока пользователь находится на сайте.

Если говорить о способах получения сертификата, то здесь также существуют три способа:

1. сделать сертификат самостоятельно;
2. получить SSL-сертификат бесплатно;
3. купить в удостоверяющем центре.

Давайте рассмотрим плюсы и минусы каждого способа.

Самоподписанные сертификаты

Самоподписанный (self-signed) сертификат — тот, который пользователь создаёт самостоятельно. Поэтому такие сертификаты ещё называют самозаверенными и самоизданными. 

Преимущества самоподписанных SSL-сертификатов

Во-первых, это бесплатно. 

Во-вторых, вы получаете возможность самостоятельно создавать неограниченное количество сертификатов без обращения к поставщикам. 

Также стоит отметить быстроту создания самоподписанных SSL. Но плюсом это станет только в том случае, если вы уже знакомы с процессом создания SSL-сертификатов и необходимыми утилитами. Если же нет, то на изучение вопроса придётся потратить приличное количество времени.

Звучит заманчиво? Но не будем спешить.

Недостатки самоподписанных SSL

В большинстве браузеров для них отображается предупреждение безопасности. Эти предупреждения информируют о том, что сертификат не прошел проверку доверенного центра сертификации.

Согласитесь, что такое предупреждение может не только отпугнуть потенциальных клиентов, опасающихся за сохранность своих данных, но и ударить по репутации компании. 

Также нельзя исключать возможные ошибки в оформлении и отображении сертификата, если вы сгенерировали сертификат в первый раз и сделали что-то неправильно. 

Конечно можно использовать такой вариант для экспериментов на внутренних ресурсах компании, но всё-таки рекомендуем исключить возможные риски и отказаться от него совсем. Если вы только учитесь создавать сайты и хотите протестировать SSL — лучше обратите внимание на бесплатные сертификаты.

Бесплатные SSL-сертификаты для сайта

Такие SSL-сертификаты можно оформить довольно быстро. Часто ими пользуются новички в IT, чтобы понять, что вообще такое SSL, поэтому бесплатные сертификаты — просто ступенька перед покупкой SSL от удостоверяющего центра.

Возможно вы задаёте вопрос: «Зачем что-то покупать, когда можно взять бесплатно и сэкономить?». Дело в том, что установка такого сертификата позволит сэкономить, но, как правило, у него будет низкий уровень безопасности, что подвергает риску работу вашего сайта. Давайте также перейдём к обзору бесплатных SSL-сертификатов и отметим плюсы и минусы этого типа получения SSL.

Преимущества таких сертификатов

• Никаких затрат.
• Оперативное подключение — такие сертификаты могут выдать вам уже через несколько минут. 
• Просто получить и установить.

Недостатки бесплатных SSL

Низкий уровень доверия от крупных компаний и пользователей. Дело в том, что бесплатные сертификаты бывают только одного вида — DV SSL (Domain Validation), которые удостоверяют только доменное имя. Зачастую именно такой бесплатный сертификат выбирают злоумышленники. Поэтому просим вас сохранять бдительность (особенно «чёрные» дни недели и другие распродажи) — если вы видите, что перед вами «крупный» сайт HTTPS с бесплатным сертификатом, например, от центра Cloudflare или Let’s Encrypt  — задумайтесь, довольно часто их выбирают мошенники, чтобы вызвать доверие пользователей.

Небольшой срок действия. Например, получить SSL-сертификаты Cloudflare и Let’s Encrypt можно получить бесплатно, но нужно перевыпускать каждые три месяца. Если не проверять сроки, можно пропустить время продления, и сертификаты будут аннулированы, что приведёт к снижению трафика и потере клиентов, ведь браузер начнет кричать о том, что страница небезопасна. 

Отсутствие поддержки. SSL-сертификат нуждается в полноценной поддержке для корректной работы, которая недоступна для бесплатных SSL. Если вдруг столкнётесь с проблемой, то придётся самостоятельно найти ответ или нужную инструкцию в Сети.

Отсутствие гарантии сохранности данных сайта и печати доверия — специальной отметки УЦ, которая подтверждает, что сайт проверен и данные надёжно защищены.

Некоторые сертификаты, например SSL от Cloudflare, выдаются на 49 случайных доменов сразу, не принадлежащих вам, что несёт за собой определённые риски.

Бесплатные сертификаты поддерживается далеко не во всех браузерах. Даже с сертификатом ваш сайт может не открыться у части клиентов. В итоге они увидят предупреждающее об опасности окно и, скорее всего, уйдут с вашей страницы.

Как видите, минусов у бесплатных сертификатов всё-таки больше. Это может быть тестовый инструмент, чтобы познакомиться с технологией. Но серьёзному проекту лучше присмотреться к коммерческим сертификатам (спойлер: там тоже есть пробные бесплатные версии, и вы сможете получить SSL на год бесплатно). Где же взять такой сертификат? Рассказываем прямо сейчас.

Платные или коммерческие сертификаты

Самый безопасный способ получить SSL — приобрести его в специальных удостоверяющих центрах или их партнёрах-распространителях, например, как REG.RU. Эти центры подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи. Возможно вы уже встречали такие названия таких УЦ, как: GlobalSign, Symantec, Comodo, Thawte, GeoTrust, DigiCert. Главный плюс в том, что при покупке вы сами можете выбрать нужный тип сертификата.

Типы сертифкатов по проверке сайта:

Как мы уже отметили ранее, сертификат DV (Domain Validation) подтверждает домен, а также шифрует и защищает данные при передаче с помощью протокола https. Выпускается он обычно не больше трёх часов. 

Второй тип — это OV (Organization Validation) SSL. Помимо защиты информации на сайте он подтверждает владение доменом конкретной компании. Сертификат выдаётся только компаниям с подтвержденным номером телефона и юридическим адресом.Выпускается этот тип SSL как правило в течение трёх дней.

Сертификат EV (Extended Validation) — по сути то же самое, что и OV-сертификат. Главное отличие в том, что при клике на замочек появляется название компании. Компания подтверждает факт существования и все официальные каналы связи с ней, а её владельцы — свои полномочия.  Выпускается EV SSL как правило в течение 5 дней.

Платный сертификат — настоящий гарант надёжности для пользователя. Все эти данные можно увидеть в один клик. Это и есть главное отличие данного типа сертификатов от других. OV и EV сертификаты подойдут для сайтов финансовых организаций и интернет-ресурсов других представителей крупного и среднего бизнеса.

Какие же плюсы и минусы у платных SSL?

Преимущества платных сертификатов

Высокий уровень защиты. Ключи платных сертификатов состоят из большего количества символов, чем у бесплатных SSL. А значит, что злоумышленникам будет очень тяжело расшифровать ключи и перехватить данные ваших клиентов.

Печать доверия — особый знак, позволяющий пользователям видеть, что соединение с вашим сайтом и все передаваемые данные надёжно защищены.

Это удобно. Вам не нужно ставить никакие напоминаний и заниматься переоформлением каждые три месяца — обновлять платные сертификаты нужно раз в год. 

Совместимость с 99% браузеров. Никаких пугающих уведомлений и небезопасности страницы, довольные клиенты и растущий трафик 😉 .

Многие УЦ предоставляют гарантии от взлома. Это означает, что если ваш SSL-сертификат всё же взломают, вы получите гарантированное возмещение. 

Поддержка в чате, по телефону или email по вопросам установки и работы с SSL на всех этапах использования. Например, в REG.RU процесс установки сертификата полностью автоматизирован, но если у вас возникнут другие вопросы, вы всегда сможете найти нужную инструкцию в нашей Базе знаний или обратиться к сотрудникам технической поддержки. 

Недостатки платных сертификатов

Единственный минус, который вытекает из самого названия  — это платно. Стоимость зависит  от выбранного вами типа сертификата и количества доменов, и начинается от 1 000 рублей в год. Но уверяем, все вложенные деньги быстро окупятся, ведь вы получите доверие пользователей, которые предоставляют вам свои личные данные.

И приятный бонус: в REG.RU вы можете получить бесплатный SSL-сертификат от GlobalSign с доменом или хостингом на год — этого времени должно хватить для старта интернет-проекта, а по мере его роста можно перейти на платный тариф. Этот сертификат обладает преимуществами платного сертификата и лишён всех минусов сертификатов от Cloudflare или Let’s Encrypt.

⌘⌘⌘

Если посчитать плюсы и минусы, то в этой схватке для коммерческих проектов однозначно побеждают платные SSL. Сертификат от авторитетного УЦ может не только заслужить доверие пользователей и надёжно защищать их данные, но и внести огромный вклад в стабильное развитие сайта.