Nemokamas SSL sertifikatas

SSL sertifikatai pigiau: 5 būdai sutaupyti

Kai pasidalinau Google naujiena, kad SSL sertifikatai tampa būtini visoms svetainėms, socialiniuose tinkluose sulaukiau sveikos kritikos. Visi sutiko, kad SSL sertifikatai naudingi visoms svetainėms. Tačiau jie kainuoja. Todėl tą naudą reikia pasverti finansiškai.

Kai interneto svetainėje vykdoma e. komercija ir kliento duomenys labai tiesiogiai reiškia pinigus, klausimų dėl SSL sertifikatų atsiperkamumo nekyla. Jei kyla, siūlau susipažinti su nauda, kurią suteikia į SSL sertifikatą investuoti keliasdešimt eurų: Kas yra SSL sertifikatai ir kaip veikia HTTPS.

Finansiškai situacija visiškai kitokia, jei jūsų svetainė yra viešas tinklaraštis. Už SSL sertifikatą sumokėtumėte labai konkrečių keliasdešimt eurų kasmet. O nauda nekomercinei svetainei būtų gan abstrakti: gal geresnis įvaizdis dėl rūpinimosi skaitytojų privatumu, gal geresni Google reitingai, gal daugiau statistinių duomenų apie lankytojus (HTTP protokolo svetainės negauna iš HTTPS protokolo svetainių nukreiptų lankytojų duomenų).

Dvejonės paaštrėja, jei turite keliasdešimt mini-svetainių atskiriems produktams arba kažkokiais SEO tikslais. Išlaidos greitai pasiekia tūkstančius eurų, o atsiperkamumo formulėje į pajamų vietą kol kas lyg ir nėra ką konkrečiai įrašyti.

Jei sutinkate, kad SSL sertifikatai yra naudingi, bet dar negalite sau tos naudos įvardinti eurais, siūlau juos naudoti nemokamai. Kalbu ne apie kažkokius „pasidaryk pats“ ar panašius saugumo srityje abejotinus variantus, o apie patikimos sertifikavimo institucijos išduodamus, visur pripažįstamus SSL sertifikatus, kuriuos galite nemokamai įsiinstaliuoti bet kokiame hostingo serveryje be jokių papildomų išlaidų.

Iš karto įspėju, kad ne visi būdai tiks visais atvejais. Todėl ir aprašau ne vieną.

1. Nemokami SSL sertifikatai asmeniniam naudojimui

StartCom išduoda asmeniniam naudojimui skirtus SSL sertifikatus visiškai nemokamai. Ši sertifikavimo institucija yra plačiai pripažinta ir vadovaujasi standartine domeno savininko patikrinimo procedūra, tad jų išduotas SSL sertifikatas veiks kaip ir bet koks kitas Domain Validation tipo SSL sertifikatas (plačiau apie tipus ir jų skirtumus: SSL sertifikatų skirtumai ir optimali kaina).

Apribojimas tik tame, kad tokį SSL sertifikatą turite naudoti tikrai tik asmeniniais tikslais. Įmonėms StartCom siūlo mokamus SSL sertifikatus.

Dar vienas niuansas, kad kainuoja StartCom SSL sertifikato atšaukimas (šiuo momentu – 30$). Iš kliento pusės ši procedūra praktiškai naudojama tik tuomet, kai kas nors pavagia privatų sertifikato raktą iš jūsų serverio. Tokiu atveju privatų raktą turintis nusikaltėlis galėtų susikurti jūsų svetainės kloną ir pristatyti jį kaip originalą.

Riziką, kiek jūsų svetainė yra įdomi tokiems tapatybių vagims, galite įsivertinti individualiai. Vėlgi, klausimas čia ne saugumo (jis šioje situacijoje priklauso ne nuo SSL sertifikato), o to 30$, kurį gali tekti susimokėti.

2. Nemokami SSL sertifikatai atviro kodo projektams

GlobalSign išduoda savo standartinius SSL sertifikatus atviro kodo projektams nemokamai. Jie tai pristato kaip paramą atviro kodo bendruomenėms ir kelia labai logiškas sąlygas: projektas turi būti tebevystomas, kodas turi būti licencijuotas kuria nors iš standartinių atviro kodo licencijų ir interneto svetainė turi būti nekomercinė.

3. Nemokamas SSL sertifikatas 3 mėnesiams

Comodo išduoda nemokamus SSL sertifikatus be jokių papildomų sąlygų ar apribojimų 90-iai dienų. Priešingai nei pirmi 2 variantai, šis nesuteiks galimybės https:// adresu naudotis nemokamai visą laiką. Tačiau 90 dienų periodas yra kur kas daugiau nei demonstracija.

Per tiek laiko galite pradėti matyti pokyčius surinktoje lankytojų statistikoje (turėtumėte matyti daugiau Referrer duomenų), paieškų rezultatų puslapių pozicijose ir t.t. Tai konkrečiau nustatys SSL sertifikato naudą individualiu jūsų atveju. Tuomet galėsite priimti labiau pasvertą sprendimą, ar verta investuoti į mokamą SSL sertifikatą.

Kitas populiarus tokio sertifikato panaudojimas – kai SSL sertifikato reikia greitai. Pavyzdžiui, kai dabartinis baigia galioti rytoj ir reikia bent laikinai jį skubiai pakeisti. Kad nemokamos IT paslaugos ateina į stambų verslą ne dėl kainos, o dėl pajungimo greičio, jau rašiau anksčiau (Šiandien kiekvienas yra savo IT vadovas).

4. SNI – SSL sertifikatas be atskiro IP adreso

Kiekviena interneto svetainė, kuri naudoja SSL sertifikatą, dažniausiai yra pajungiama ant atskiro IP adreso. Seniau tai buvo techninis reikalavimas be alternatyvų. Dabar, kai daugumoje kompiuterių jau veikia SNI (Server Name Indication), tai nebėra būtina.

Kai kurie interneto paslaugų teikėjai už papildomą IP adresą prašo daugiau nei už patį SSL sertifikatą. Tad dedikuotų IP adresų atsisakymas dideliam svetainių skaičiui sutaupo solidžią sumą.

Trūkumas toks, kad senos operacinės sistemos, įskaitant ir Windows XP, SNI funkcijos neturi. Tad jų naudotojams SSL sertifikatas neveiks. Atsižvelgiant į faktą, kad Windows XP jau yra gamintojo nebepalaikoma operacinė sistema ir jos vartotojai jau bet kokiu atveju yra nesaugūs, jų nukreipimas į interneto svetainę be SSL sertifikato neatrodo didelė problema.

Techninė problema kyla tuomet, kai tie lankytojai į svetainę ateina ne tiesiogiai, o būna nukreipti iš kitur (pvz.: ateina iš Google). Jei jie eina tiesiai https:// adresu, jis jiems paprasčiausiai neveikia. Negalite tiesiog peradresuoti jų iš https:// į http://. Tikėtina, kad tokius lankytojus prarasite.

Prieš pradedant naudoti SNI siūlau išsianalizuoti lankytojų statistiką, kiek konkrečiai jūsų svetainės naršytojų naudoja Windows XP operacinę sistemą. Jei didelė jų dalis ateina iš paieškos sistemų, pagrindinius puslapių adresus (canonical) teks nurodyti http://. Tuomet naudojančius šiuolaikišką programinę įrangą lankytojus galėsite peradresuoti https:// adresu. Apie tai jau rašiau čią: 10 dažniausių SSL sertifikatų diegimo ir naudojimo klaidų.

5. SAN – tas pats SSL sertifikatas kelioms svetainėms

Straipsnyje „SSL sertifikatų skirtumai ir optimali kaina“ rašiau apie SAN sertifikatus, kuriuose galima nurodyti iki 210 domenų. Ir iš karto sakiau, kad nepatariu jų naudoti skirtinguose serveriuose dėl privataus rakto saugumo. Tos minties tebesilaikau, todėl siūlau visus tuos domenus aptarnauti iš to paties serverio.

Nauda – visos svetainės veiks ant vieno IP adreso, todėl net ir nenaudodami anksčiau aptarto SNI metodo išvengsite mokesčių už papildomus IP adresus. Lyginant su SNI, tai geresnis sprendimas, nes https:// adresai tvarkingai veiks visiems, įskaitant ir Windows XP vartotojus.

Priešingai nei SNI atveju, SAN sertifikatas naudojamas vienas ir tas pats visoms svetainėms. Galima jį instaliuoti tiek kiekvienai svetainei individualiai (sukuriant po atskirą hostingo vartotoją), tiek visoms bendrai (naudojant multi-site turinio valdymo sistemą kaip Drupal).

Kaip jau rašiau minėtame straipsnyje, vienas SAN adresas sertifikate dažniausiai kainuoja tiek pat, kiek ir atskiras SSL sertifikatas be SAN. Tad taupymas dažniausiai bus tik išvengiant dedikuotų IP adresų.

Taupymas dėl pačių sertifikatų pasireikš tik perkant Extended Validation (SSL sertifikatai su žalia juosta), kai pats sertifikatas yra brangus, o papildomi adresai sąlyginai pigesni. Tačiau jų 1 adresas bus vis vien kur kas brangesnis nei atskiras paprastas Domain Validation SSL sertifikatas.

***

Dirbantys didelėse įmonėse jau prieštaravo, kad didžioji sąnaudų dalis jiems yra ne SSL sertifikatų ar IP adresų įsigijimas, o organizacinių taisyklių ir procesų įsidiegimas. Sutinku, kad sertifikatų ir raktų valdymas, kai tame dalyvauja keliolika žmonių ir šimtai serverių, yra sudėtingas (t.y. žmogiškaisiais ištekliais brangus) procesas. Nors tokių įmonių Lietuvoje mažai, organizacinės problemos yra opios ir į jas ateityje atkreipsiu daugiau dėmesio.

Visiems kitiems, kuriems įsidiegti SSL sertifikatą hostingo serveryje trunka pusvalandį, siūlau tai išmėginti. Tai galima padaryti ir nemokamai. Investuotas pusvalandis galbūt atskleis pelningų įžvalgų į savo lankytojų srautą, o jiems suteiks didesnį privatumą.

Žinote daugiau būdų, kaip įsidiegti SSL sertifikatą pigiau ar net nemokamai? Pasidalinkite komentaruose.

Autoriaus interesų atskleidimas

Mano vadovaujama UAB „Virtuali erdvė“ pardavinėja ir padeda įsidiegti visų didžiausių komercinių sertifikavimo institucijų išduodamus SSL sertifikatus.

  • Anonymous

    Ar bus straipsnis, kaip pačiam instaliuoti ssl sertifikata?

    • Į ką atkreiptį dėmesį diegiant, rašiau čia: 10 dažniausių SSL sertifikatų diegimo ir naudojimo klaidų.

      Pats SSL sertifikato diegimas daugeliui vartotojų būna tik iš pardavėjo gautų kodų įkėlimas į serverio valdymo pultą. Hostingo ir VPS teikėjai tą dažniausiai aprašo savo žinynuose. Jei jie neaprašė, tai to serverio valdymo pulto gamintojas tikrai savo dokumentacijoje tai bus aprašęs.

      Subtilesnis būna tik teisingų CSR (sertifikato paraiškos) ir privataus rakto susigeneravimas. Tai šiek tiek specifiška kiekvienai situacijai, tad turėtų išaiškinti SSL sertifikato pardavėjas. Jei kilo kokių nors bendresnių klausimų, būtų įdomu išgirsti. Gal tai išsirutulios ir iki straipsnio.

      Jei neturit nei serverio valdymo pulto, nei serverio administratoriaus, tuomet yra daug pamokų anglų kalba, kaip pažingsniui įsidiegti ir susikonfigūruoti TLS bet kokiame serveryje. Jų versti neplanuoju, nes tai būtų mažai kam įdomu. Jei kilo kokių nors techninių klausimų, galiu juos atsakyti čia.

  • Eduardas

    Sveiki, Mantai
    Situacija tokia: mano svetainė veikia namuose, paprastame kompiuteryje. Nes elektros mokestis gaunasi mažesnis už „normalų“ hostingą (duombazėje virš 250 lentelių, jiems , atseit, neužtenka PHP procesų, todėl svetainė strigdavo). Svetainėje talpinami lankytojų dienoraščiai, foto. Taip pat įvairūs susirašinėjimai. Saugumu per daug nesirūpinu, nes …tai bendruomeninis saitas, be jokių komercijų. Kam jis įdomus? Tik mums patiems. Tačiau norint išeiti į platesnius vandenis metatagų, matyt, neužteks.
    Naudoju TVS Drupal, kuri veikia CentOS’e. Taip pat Apache ir MySQL. Šiandien įjungiau SSL įskiepį Apačiui, lyg viskas ok- atsirado spyna ir pan. Tačiau kituose (net mano WiFi tinklo kompe) aparatuose , išskyrus androidą išmaniajame išlindo ekrano užsklanda su „Ši svetainė nepatikrinta“ ar nesaugus ryšys ir pan. SSL sertifikatas sugeneruotas, raktas ir pan. yra savo aplankuose, surašiau viską, kas ant dūšios formoje- LT, miestas, vardas emeilas.
    Kaip dabar suprantu, reikia vis tik oficialių institucijų palaiminimo (ar palaikymo). Kaip tai padaryti?
    Norėčiau nemokamai, kaip pats išsireiškei- „dėl gero svetainės vardo“. Jokiais failais nesikeičiame, porno nėra ir pan.
    Tokia tad situacija.
    Jei galėtum pakonsultuoti, būčiai labai dėkingas.

    • Tereikia išsiimti nemokamą StarCom sertifikatą, kaip rašiau pirmame punkte. Jei problema tik patikrinime, su StarCom sertifikatu ta užsklanda dings.

      • Net juokinga man atrašyti.. Neatsidaro tas puslapis :(

        • Gal kažkokios interneto ryšio problemos. Man atidaro: https://www.startssl.com/?app=1

        • Sertifikatas išduodamas domenui, o ne IP adresui. Todėl IP pasikeitimai jo veikimo neįtakoja.

        • Authenticate puslapio ir neturi užkrauti, jis skirtas tik jau specialų raktą turintiems klientams. Pirmo sertifikato išdavimui yra Fast lane.

          • Išsiaiškinau. Viską sutvarkiau, bet su paštu nesąmonė gavosi. Parašiau į interneto viziją, kad persiųstų man mano raktą :)

  • Labai ačiū už info. Tačiau susigrybavau visvien: likus porai žingsnių iki sertifikato rakto gavimo, užpildžiau laukelius (domeno vardas), kai atėjo eilė emeilui- jų sistema man pakišo keturis ar penkis paštus, kurių keli turėtų būti mano (bet aš neturiu serveryje pašto serverio) ir vieną bendrovės, kurioje pirkau domeną. Parašiau laišką hostmaster… lt, sakau, gal atsių man raktą? Vat tokie detektyvau gaunasi :(
    Sėkmės ir ačiū už patarimą.

    • Jei moki serverį susikonfigūruoti savo kompiuteryje, mokėsi ir mėgėjiškame VPS serveryje už 4€/mėn. Tuomet galėsi ir el. paštą lengvai pasijungti, ir IP nesikeitinės, ir kainuos mažiau nei elektra.

  • Tomas Šivickas

    kolegos, ka manote apie nemokama ssl per: https://www.cloudflare.com/ssl ? Pabandziau pajungti, kaip vartotojui, viskas gerai veikia. Tik ar Google seo atzvilgiu irgi tai iskaitys kaip bonusa?

    • Tomas Šivickas

      visgi pastebimas ir kritimas adsense pajamu del SSL, kam tai aktualu: https://www.seroundtable.com/https-google-adsense-19035.html (kaip patys Google aiskina, de lto ,akd nebe visus skelbimus gali rodyti, sumazeja konkurencija)

      • Tikrai taip. Tačiau su HTTPS gausite iš kitų HTTPS puslapių ateinančių lankytojų Referer duomenis.

        Jei turite didelį tiesioginį srautą ir parduodate daug lankytojų atviros rinkos reklamos kanalais, HTTPS turės neigiamų padarinių pajamoms. Tokių Lietuvoje mažai.

        Jei daug lankytojų perkate, HTTPS turės teigiamą efektą lankomumo statistikai. Tokios – dauguma Lietuvos įmonių interneto svetainių.

    • Vartotojų saugumo ir SEO prasme nėra skirtumo, kokio CA ir koks sertifikatas naudojamas, kol neatšaukiamas jo šakninis sertifikatas. Jei naudojatės CloudFlare, jų pačių SSL sertifikatas puikiai tiks.

      Cituoju CloudFlare: „You will need to have a valid SSL certificate installed on your server“. CloudFlare nesiūlo atskirų SSL sertifikatų, o tik pajungia jį savo persiuntimo serveriuose. Panašių variantų siūlo dauguma CDN teikėjų.

      Norint užtikrinti duomenų konfidencialumą, vis tiek reikės diegtis atskirą SSL sertifikatą savo serveriuose. Kitaip duomenys tarp jūsų ir CDN serverių liks nešifruoti. Šis maršrutas gali turėti stebimų IXP.

      • Tomas Šivickas

        visgi vartotojai ir google seo gali likti apgauti – naudojant cloudflare, svetianes lankytojams gali buti sudarytas ivaizdis kad ssl pilnai veikia (ssl tarp narsykles ir cloudflare, degs zalia spynele), o duomenys tarp cloudflare ir serverio gali likti ir nekoduoti :)

        • Teoriškai, taip. Bet spyna naršyklėje ir garantuoja tik konfidencialų duomenų nugabenimą iki serverio. Ji negarantuoja, kad paskui tas serveris saugiai juos tvarkys.

          Kai duomenys saugiai ateina iki pirmojo serverio, yra begalės variantų, kaip to serverio savininkas gali visiškai pažeisti serverių saugumą ir duomenų privatumą: nesaugi programinė įranga ar virusai serveryje ir t.t. Mano nuomone, CloudFlare atvejis, kai nešifruojami duomenys toliau persiunčiami viešais tinklais, yra vienas iš tokių atvejų.

  • Tomas Šivickas

    Google yra parengusi plana isgyvendinti is rinkos SSL sertifikatus 3.0, kurie koduojami SHA-1 algoritmu. Deja, dauguma pardaveju dar pardavineja tokius sertifikatus. O juos naudojant, chrome narsykleje vieotje zalios spyneles matysime ispejimus. Rekomenduoju visiems perkant sertifikata ziureti, kad butu SHA-2. Google plano grafikas: http://www.symantec.com/connect/blogs/google-s-sha-1-deprecation-plan-chrome

    • Taip, SHA1 sertifikatai jau nebelaikomi saugiais ir tiek naršyklės, tiek testavimo įrankiai tą rodo. Apie tai jau rašiau čia: 7 didžiausi įmonių IT pokyčiai 2014 metais.

      Ką matau praktikoje, jau nuo rudens visi mūsų klientams išduoti Comodo SSL sertifikatai buvo tik SHA2. Nemokamai persigeneruoti sertifikatai seniems užsakymams irgi išduoti tik su SHA2 algoritmais. Senąjį SHA1 galima gauti tik išskirtinai jo prašant.

      Tad klientams tuo kaip ir nereikia rūpintis. Išimtis tik užsisakę SSL sertifikatus ilgam terminui. Jie savo iniciatyva turėtų nemokamai išsiimti naujus sertifikatus anksčiau, nei jie baigs galioti.

Autorių teisės

Creative Commons licencija Straipsnis „SSL sertifikatai pigiau: 5 būdai sutaupyti“, kurio autorius Mantas Pakamorė pasilieka ir saugo visas savo autoriaus teises, yra licencijuotas publikavimui pagal Creative Commons Priskyrimas + Jokių išvestinių darbų (BY-ND) 4.0 tarptautinę licenciją.