Как выбрать SSL-сертификат
В области SSL-сертификатов есть свои новости — их не так и мало. Например, Google откажется от учета в качестве доверен-ных сертификатов WoSign для браузера Chrome. Помимо этого все организации, которые выдают сертификаты, должны будут применять специальные DNS-записи.
Чтобы научиться разбираться в том, что происходит, достаточно ознакомиться с нашим кратким гайдом по теме.
Основные отличия заключаются в методах проверки:
1. Проверка домена (Domain Validated) — самый доступный и распространенный способ верификации. Он позволяет под-твердить владельца домена и вебсервер, который использу-ется для работы сайта. Для этого центр сертификации может направить специальный запрос. Альтернативный вариант — добавление служебных записей в DNS или специального файла на сервере. DV-сертификаты годятся для некоммерческих проектов или веб-сайтов, которые только-только начинают работу.
2. Проверка компании (Organization Validated) — позволяет верифицировать компанию, которая владеет той или иной онлайн-площадкой. Эту информацию руководство передает при приобретении сертификата, далее — центр сертификации выходит на связь с организацией напрямую. По сравнению с первым типом — чуть более надежный вариант.
3. Расширенная проверка (Extended Validation) — в результате дает ту самую «зеленую строку», в которой будет отражено и имя компании. Этот вариант мы рекомендуем для площадок, которые принимают платежи и работают с данными, требующими высокий уровень защиты. Если вы перенаправляете клиентов на сайт платежного оператора, который уже применяет EV-сертификат, то вам будет достаточно приобрести тип OV.
Что еще дает EV-сертификат
Многоуровневая проверка не появилась «с потолка». Одна из основных причин востребованности EV-сертификатов — рост количества фишинговых атак. Даже временная подмена сайта может «вылиться» в серьезные имиджевые и финансовые проблемы как для клиентов, так и для самой организации. EV-сертификат позволяет и максимально затруднить осуществление подобных действий злоумышленниками.
Для выдачи сертификата компания раскрывает о себе данные согласно специальной анкете центра сертификации. Этот документ подписывает директор, а данные тщательным образом проверяют по ЕГРЮЛ согласно предоставленным идентификаторам юридического лица.
Альтернативный вариант подтверждения — помощь международного агентства вроде Dun & Bradstreet. Такие организации проводят свою проверку и присваивают DUNS (Digital Universal Numbering System). Его можно использовать для прохождения процедуры верификации и получения SSL-сертификата.
Зачем нужны цепочки сертификатов
Дополнительное подтверждение используют в тех случаях, когда необходимо удостовериться в надежности определенного центра сертификации. Количество уровней может быть любым, но главное — наличие конечной стороны, которой вы доверяете.
Для этого есть корневые сертификаты, которые выпущены центрами, авторитет которых признан международным ИТ-сообществом. Такие центры могут выбирать и сами компании я рамках своей политики информационной безопасности.
Какие еще есть сертификаты
Кроме DV, OV и EV-сертификатов есть и другие типы SSL-сертификатов. Они могут отличаться еще и по количеству доме-нов, для которых будут действительными:
• Однодоменные (Single Certificate)
• Мультидоменные (Subject Alternative Name, Unified Communica-tions Certificate, Multi Domain Certificate)
• Поддоменные (типа WildCard) — охватывают все поддомены указанного при регистрации доменного имени
Чтобы получить бесплатный SSL-сертификат достаточно воспользоваться одним из сервисов вроде OpenSSL. Такой вариант подойдет для внутренних нужд небольшой организации, но для взаимодействия с внешним миром мы рекомендуем приобрести официальный сертификат.
P.S. Дополнительное чтение по теме:
• Как узнать, из чего состоит SSL-сертификат
• Область покрытия SSL-сертификатов
• Зачем покупать SSL-сертификат