SSL sertifikatams tampant būtiniems praktiškai visoms svetainėms (plačiau: Nauja Google politika: SSL sertifikatai būtini SEO optimizacijai), vis dažniau kyla klausimas: kurį rinktis? Pardavėjų ir variantų daug, visi panašūs, o labiausiai skiriasi tik kainos – nuo nemokamų iki 1.999$ metams.
Sužinokite, kuo praktiškai skiriasi SSL sertifikatai. Išsirinkite tinkamą ir nepermokėkite.
Techniniai SSL sertifikatų skirtumai
Praktiškai visi šiuolaikiniai SSL sertifikatai naudoja tokio paties tipo 2048 bitų asimetriškus raktus. Tad iš kur bepirktumėte šiuolaikinį SSL sertifikatą, techniškai šifravimas veiks identiškai. Skirtumai gali atsirasti tik dėl TLS konfigūracijos, kurią atlieka serverio administratorius. Kas tas TLS, rašiau straipsnyje „Kas yra SSL sertifikatai ir kaip veikia HTTPS“.
Technologinis SSL sertifikatų skirtumas yra tik vienas – kiek serverių adresų gali naudoti tą patį SSL sertifikatą. Standartinis SSL sertifikatas gali būti naudojamas 1 adresu, SAN SSL sertifikatas – nuo 3 iki 100, Wildcard SSL sertifikatas – neribotam padomenių skaičiui.
Standartinis SSL sertifikatas gali būti naudojamas tik vienu adresu, kuriuo yra išduotas. Pavyzdžiui, paprastas https://pakamore.lt sertifikatas negali būti naudojamas ir https://www.pakamore.lt adresu. Naujo tipo SSL sertifikatai (pvz.: praktiškai visi Comodo sertifikatai) tai pačiai svetainei jau veikia ir su www, ir be www vienu metu be jokio papildomo mokesčio. Bet jei turite kelias skirtingas svetaines, teks kiekvienai išsiimti po atskirą SSL sertifikatą.
SAN (Subject Alternative Name) arba UC (Unified Communications) SSL sertifikatai naudojami tuomet, kai neįmanoma įdiegti atskirų sertifikatų skirtingiems adresams. Jei ta pati sistema, aptarnaujame tame pačiame serveryje, pasiekiama keliais skirtingais domenais (pvz.: https://lb.lt ir https://lb.lan), paprastų SSL sertifikatų instaliuoti atskirai visiems adresams dažniausiai neina. SAN leidžia tą patį sertifikatą naudoti 3–5 adresams. Jie kainuoja maždaug 3 kartus brangiau nei identiški sertifikatai be SAN. Jei reikia, už papildomą mokestį galima nusipirkti ir daugiau adresų.
Wildcard SSL sertifikatai naudojami visų padomenių (pvz.: https://*.lb.lt) apsaugai. Jei serveryje turite daug padomenių, pvz.: kiekvienam klientui sukuriate po jo zoną adresu https://klientas53.lb.lt, tikriausiai turite šimtus ar net tūkstančius tokių adresų ant vieno IP adreso. Priešingai nei SAN, Wildcard sertifikatų nereikia išsiimti iš naujo, kai atsiranda dar vienas adresas – jie iš karto veikia visiems padomeniams. Wildcard SSL sertifikatai kainuoja maždaug 4 kartus brangiau nei identiški sertifikatai be Wildcard galimybės.
Tą patį sertifikatą dažniausiai galima diegti keliuose skirtinguose serveriuose. Vadinasi, įsigijus vieną SAN ar Wildcard sertifikatą visiems savo adresams, jį galima įsidiegti atskiroms sistemoms skirtinguose serveriuose. Tačiau tai dažniausiai neapsimoka. 1 papildomas SAN adresas dažniausiai kainuoja panašiai kiek ir atskiras sertifikatas be SAN.
Naudojant tą patį sertifikatą skirtinguose serveriuose, atsiranda ir kur kas didesnės saugumo rizikos. Visiems serveriams naudojantis tuo pačiu SSL sertifikatu, jie naudos ir tą patį privatų raktą. Vadinasi, įsilaužus į vieną serverį ir pavogus privatų raktą, pažeidžiami tampa ir į visus kitus serverius keliaujantys duomenys.
Mano patarimas: kai įmanoma, visuomet naudokite atskirus SSL sertifikatus. Tai yra saugiau ir dažniausiai pigiau.
Kiti SSL sertifikatų skirtumai yra ne tiek techniniai, kiek SSL sertifikato išdavimo procedūros ir kokią informaciją sertifikavimo institucija jame įrašo.
SSL sertifikatų išdavimas
SSL sertifikatai yra sukuriami pagal atvirus standartus. Tą gali padaryti bet kas. Ir patys galite nemokamai susigeneruoti savo SSL sertifikatą. Niuansas tik tame, kad į svetainę atėję lankytojai matys tokį pranešimą:
Net paspaudus Proceed anyway adreso laukelyje spyna ir https:// lieka perbraukti raudona linija. Taip yra todėl, kad naršyklės pasitiki tik keletos jiems žinomų sertifikavimo institucijų išduodamais SSL sertifikatais. Kitų sertifikavimo institucijų išduoti SSL sertifikatai nepraeina autentifikavimo patikrinimo (plačiau: Kas yra SSL sertifikatai ir kaip veikia HTTPS).
Kai kuriems (ne pelno siekiančioms organizacijoms, privatiems asmenims ir t.t.) patikimos sertifikavimo institucijos išduotą SSL sertifikatą galima gauti ir nemokamai – apie tai rašysiu ateityje. Visiems kitiems, kurie nenori gąsdinti lankytojų aukščiau pavaizduota žinute, SSL sertifikatą teks pirkti.
Kai išsirenkate, jums reikia paprasto, SAN ar Wildcard SSL sertifikato, kitas žingsnis – nuspręsti, kiek duomenų apie save norite jame įkelti. Sertifikavimo institucija SSL sertifikate gali įrašyti arba tik domeną (Domain Validation), arba ir įmonės pavadinimą (Organization Validation), arba visą išsamią informaciją su žalia juosta naršyklėje (Extended Validation).
Domain Validation SSL sertifikatai
Tai paprasčiausi ir populiariausi SSL sertifikatai. Juose sertifikavimo institucija patvirtina, kad sertifikatas išduotas domeno savininkui. Į tokį sertifikatą turinčią svetainę atėjęs lankytojas žino, kad atėjo į originalią domeno svetainę. Šis sertifikatas suteikia visus straispnyje „Kas yra SSL sertifikatai ir kaip veikia HTTPS“ aptartus TLS privalumus.
Išduodant Domain Validation SSL sertifikatą, sertifikavimo institucija jūsų domeno el. pašto adresu siunčia patvirtinimo reikalaujantį el. laišką. Taip patvirtinama, kad jūs kontroliuojate šį domeną. Gavus patvirtinimą, SSL sertifikatas išduodamas tą pačią dieną.
Organization Validation SSL sertifikatai
Lankytojams šie sertifikatai naršyklėje niekuo vizualiai nesiskiria nuo Domain Validation sertifikatų. Tik giliai tarp sertifikato duomenų yra įrašomas įmonės pavadinimas ir miestas, kuriame ji registruota. Jei lankytojas moka pasižiūrėti detalią sertifikato informaciją, toks SSL sertifikatas jam suteikia didesnį pasitikėjimą. Jis patvirtina, kad lankytojas tikrai atėjo į domeno savininko svetainę ir kad ji priklauso įregistruotai įmonei.
Išduodant Organization Validation SSL sertifikatą, po domeno patvirtinimo sertifikavimo institucija dar patikrins ir jūsų įmonės registraciją įmonių duomenų bazėje. Šis procesas užtrunka 1–3 darbo dienas.
Šie sertifikatai yra brangesni ir jų išdavimas trunka ilgiau, o dauguma lankytojų nesupranta jų skirtumo nuo Domain Validation sertifikatų. Naršyklėje paspaudus ant spynos ikonos, tapatybės laukelyje vis tiek bus nurodomas domenas, o svetainės savininkas – nežinomas. Todėl šie sertifikatai yra mažiausiai populiarūs.
Extended Validation SSL sertifikatai
Šie sertifikatai naršyklėje adreso laukelį rodo žaliame fone, o prie domeno nurodo jūsų įmonės arba sertifikavimo institucijos pavadinimą. Technologiškai tai labai panašūs sertifikatai į Organization Validation, tik paspaudus ant spynos ikonos tapatybės laukelyje vietoj domeno matomas įmonės pavadinimas. Visiems lankytojams yra aiškiai garantuojama, kad jie lankosi autentiškoje nurodytos įmonės interneto svetainėje.
Išduodant Extended Validation sertifikatą, įmonės patikrinimui dar reikės nusiųsti nuskenuotą popierinę sutartį ir patvirtinti įmonės telefono numerį. Sertifikavimo institucija paskambins Visa Lietuva arba panašiame kataloge skelbiamu telefono numeriu ir prašys patvirtinti, kad išsiiminėjate SSL sertifikatą.
SSL sertifikato kaina
Kai žinote, kokio patvirtinimo sertifikato jums reikia (Domain, Organization ar Extended) ir kiek domenų norite jame nurodyti (vieną su paprastu, 3–100 su SAN arba visus padomenius su Wildcard), lieka išsirinkti sertifikavimo instituciją.
Visos sertifikavimo institucijos vadovaujasi tais pačiais standartais, tad vartotojui suprantamų techninių skirtumų tarp tokio paties tipo SSL sertifikatų nėra. Akivaizdžiausias skirtumas yra tik kainoje. Pavyzdžiui, vieno domeno Domain Validation sertifikatas Comodo Positive SSL kainuoja 49$, o Thawte SSL 123 – 149$. Technologiškai tai yra praktiškai vienodi SSL sertifikatai. Jie identiškai šifruoja duomenis ir visos naršyklės jais pasitiki.
Kainos skirtumas grindžiamas tik sertifikavimo institucijos prestižu ir draudimu. Kas tas draudimas ir ko vertos jo garantijos rašiau straipsnyje „SSL sertifikatų draudimas – finansinės apsaugos iliuzija“.
Prestižą galima vertinti pagal žinomumą. Tam gali padėti W3Techs duomenys. Straipsnio rašymo metu pagal išduotų SSL sertifikatų skaičių į TOP5 patenka šios įmonės (skliaustuose rinkos dalis): Comodo (27,3%), GeoTrust (26,7%), GoDaddy (11,8%), GlobalSign (10,8%) ir Thawte (7,3%).
Lietuvoje pasiskirstymas kitoks nei bendrai visame pasaulyje. GoDaddy sertifikatai mūsų šalyje iš viso nėra platinami. GlobalSign sertifikatai pas mus mažiau populiarūs nei anglakalbėse rinkose. Tad lietuviškas trejetukas lieka Comodo, GeoTrust ir Thawte, bet tikslaus jų rinkos pasiskirstymo duomenų kol kas neturiu.
Suvedant viską, ką rašiau, tai prieštarauja logikai: šiandien labiausiai SSL sertifikato kaina priklauso nuo prestižo, kuris gali būti vertinamas kaip sertifikavimo institucijos žinomumas, bet daugiausiai sertifikatų pasaulyje išleidusi sertifikavimo institucija Comodo už savo pigiausią sertifikatą prašo 3 kartus mažiau nei 4 kartus mažiau sertifikatų išdavusi Thawte. Kas gi renkasi tą Thawte?
Aukštas kainas laikančios sertifikavimo institucijos laikosi ne vien ant neišmanėlių. Didžiosios korporacijos savo IT skyriaus taisyklėse iš seniai yra įsitraukusios Verisign, Thawte ir GeoTrust kaip vieninteles patikimas sertifikavimo institucijas. Todėl vietiniai padaliniai privalo naudoti vienos iš šių institucijų sertifikatus, neatsižvelgdami į kainą. Šiandien jos visos priklauso Symantec grupei ir kainos tarp jų yra panašios. Taip Symantec, susipirkdama visas seniausias sertifikavimo institucijas, tarsi sukūrė „senojo patikimųjų sąrašo“ monopolį ir sugeba išlaikyti jų aukštesnes kainas. Visų kitų kainos yra žemesnės.
Jei nesate tarptautinės korporacijos dalis, kuriai motininė įmonė nurodo, kurį sertifikatą rinktis, siūlau rinktis racionaliai. Geras pavyzdys: kol visi skandinaviški komerciniai bankai naudoja tik Verisign sertifikatus, savarankiškai veikiantis Lietuvos bankas naudoja daug pigesnį DigiCert SSL sertifikatą. Nacionalinė mokėjimų agentūra naudoja Comodo sertifikatą. Jei jau valstybinės finansų institucijos nebešvaisto pinigų Symantec grupės sertifikatams, kodėl tai turėtų daryti jūsų įmonė?
Iš savo patirties sprendžiu, kad didžiausias praktinis skirtumas tarp sertifikavimo institucijų yra aptarnavime: kaip operatyviai jos išduoda SSL sertifikatą ir kiek patogus yra visas procesas. Bet kainoje tai neatsispindi. Ir apskritai, tuo aptarnavimu naudojatės ne jūs. Dažniausiai SSL sertifikatai perkami iš vietinės įmonės, pvz.: hostingo paslaugų teikėjo. Tad koks realiai bus aptarnavimas priklauso nuo vietinio pardavėjo.
SSL sertifikatų pardavėjai
Dėl didmeninių nuolaidų vietinių pardavėjų kainos beveik visada būna mažesnės, nei sertifikatą perkant tiesiai iš sertifikavimo institucijos. Nors ir retai, pasitaiko, kad tarp vietinių pardavėjų kaina skiriasi, nes maži paslaugų teikėjai iš sertifikavimo institucijos gauna mažesnę nuolaidą. Tačiau dažniausiai visų nuolaidos panašios ir kainos skirtumai atsiranda dėl skirtingo aptarnavimo lygio ir klientui skiriamo specialisto laiko bei dėmesio.
Kokį SSL sertifikatą bepasirinktumėte, svarbiausia jį teisingai instaliuoti. Pasirinkus kompetetingą vietinį paslaugų teikėją, jis pasirūpins, kad sertifikatas būtų sklandžiai išduotas, ir padės jį įsidiegti serveryje.
Neteisingai sukonfigūravus TLS, SSL sertifikatas nesuteiks jokios apsaugos, nes serveris priims ir nesaugias šifruotes. Neteisingai instaliavus SSL sertifikatą, daliai lankytojų svetainė gali iš viso neveikti. Todėl įsiinstaliavę SSL sertifikatą paprašykite pardavėjo patikrinti, ar gerai jį įsidiegėte ir ar gerai sukonfigūruotas serveris. Kitą savaitę aprašysiu, kaip tai lengvai patikrinti ir pačiam.
Kokia jūsų patirtis perkant ir naudojantis SSL sertifikatais? Kas nulėmė, kurį sertifikatą pasirinkote? Parašykite komentaruose, įdomu išgirsti jūsų nuomonę.