Нещодавно ми всі були зачаровані магією зеленого замка на панелі браузера. На це вказує Google, але також часто веб-браузери попереджають нас про незашифровані дані.
Про те, як працює шифрування даних між браузером і комп’ютером, ви можете прочитати в цій статті.
Ви можете придбати SSL-сертифікат. Але ви також можете отримати його безкоштовно. Чи безкоштовне варте стільки ж, скільки “платне”? Про це ми поговоримо нижче.
Відмінності між платними та безкоштовними SSL-сертифікатами
SSL-сертифікати ставали дедалі популярнішими, а умовою отримання зеленого висячого замка було те, що сертифікат має бути виданий так званим “довіреним центром сертифікації”, і це було лише питанням часу, коли з’являться незалежні центри, які видаватимуть SSL-сертифікати безкоштовно.
Першим великим центром, який видав SSL-сертифікат безкоштовно, стала громадська організація Let’s Encrypt, створена Internet Security Research Group за підтримки таких відомих компаній, як Mozilla Foundation, Cisco Systems і Akamai Technologies. Інші компанії, що пропонують безкоштовні SSL-сертифікати, – це Comodo, Cloudflare, Startcom або WoSign. Деякі з компаній, що пропонують безкоштовні сертифікати, раніше видавали сертифікати на платній основі, а зараз змінюють свій підхід і видають сертифікати безкоштовно. Іноді трапляється, що компанії одночасно продають сертифікати і роздають еквівалент безкоштовно.
Ми порівняли два популярних сертифікати: безкоштовний Let’s encrypt та комерційний RapidSSL.
Платні сертифікати (на прикладі RapidSSL) | Безкоштовні сертифікати (на прикладі Let’s Encrypt) |
Видається на один рік (або більше) | Видається на 3 місяці |
Самовідновлення: відсутнє | Самовідновлення: є |
Сертифікат типу DV (перевірка домену) | Сертифікат типу DV (перевірка домену) |
Розпізнавання браузером: 99+ % | Розпізнавання браузером: 99+ % |
Розмір симетричного ключа: 256 біт | Розмір симетричного ключа: 256 біт |
Гарантія: $10 000 | Гарантія: відсутня |
Якщо шифр SSL-сертифіката зламано, організація, що його видала, зобов’язана виплатити компенсацію. | |
Ціна: $59 | Ціна: безкоштовно |
На основі цієї таблиці можна зробити висновок, що фактично єдиною важливою відмінністю між платними та безкоштовними сертифікатами є “гарантія”. Гарантія звучить добре, одразу відчуваєш себе більш захищеним 🙂 Однак, варто почитати, на що саме поширюється гарантія.
Деталі платного сертифікату (RapidSSL):
Деталі безкоштовного сертифікату (Let’s Encrypt):
Гарантія – єдина реальна різниця між безкоштовними та платними сертифікатами
Гарантія дуже привабливо рекламується в рекламних матеріалах сертифікатів. Однак знайти детальну інформацію про гарантію не так просто – для цього зазвичай доводиться читати умови та положення, а точніше додаток до умов та положень, щось на кшталт цього: Warranty of the Relying Party (Гарантія сторони, що покладається).
Формально – маркетинговий хід: Платні сертифікати пропонують гарантію покриття повної або часткової вартості наслідків, що виникають у разі зламу ключа та витоку конфіденційних даних.
Стільки теорії. І що це означає? Це означає, що шифр сертифіката повинен бути зламаний. Він має той самий тип у безкоштовному сертифікаті, сертифікаті DV, сертифікаті OV та сертифікаті EV. І такий самий у всіх сертифікаційних компаніях. Злам шифру, по суті, робить всі сертифікати недійсними. Але чи отримаю я тоді компенсацію? Наприклад, я хочу отримати $10 000? Що ж, нічого з цього ….
Винятки та обмеження в “гарантійних” положеннях
Щоб переконатися, що на компенсацію не обов’язково можна розраховувати, потрібно прочитати нормативно-правові акти. Ось кілька абзаців аналізу регламенту відомої компанії Comodo, зробленого на основі її регламенту: https://www.comodo.com/repository/docs/SSL_relying_party_warranty.php.
Звичайно, це лише приклад, оскільки кожен постачальник сертифікатів має подібні положення у своїх умовах.
Сума $10,000 в регламенті є … обмежена: $1,000 за один інцидент, але все ж таки “в межах суми понесених збитків”. Тобто, навіть якщо якимось дивом шифр було зламано, ми можемо отримати максимум $1,000 за гарантією, за умови, що зможемо довести, що саме стільки ми втратили в результаті цього інциденту. Тому проблема полягатиме в тому, ЯК довести, що ми щось втратили, і скільки саме це коштувало. Скільки коштує прослуховування вашої розмови в банку? Однак, навіть якщо ви зазнаєте конкретних фінансових втрат, вони будуть обмежені фактичною сумою збитків … …але не більше $1,000. Як кажуть у народі: нічого цікавого.
Звичайно, окрім квотних обмежень, існують й інші, наприклад компенсація не виплачується, якщо клієнт бере участь у шахрайській процедурі будь-яким чином (свідомо чи ні). Тобто, значення, наприклад, $10 000 відноситься до максимальної суми компенсації, але у випадку більшості DV-сертифікатів це сума “реальних збитків”, яких зазнав користувач, але все ще обмежена однією транзакцією, яка не може перевищувати $1 000! Czyli poniosłeś stratę np. 5000$ to dostaniesz i tak maksymalnie 1000$ – pod warunkiem, że udowodnisz, że nie było tam twojej winy.
Також варто прочитати “винятки”, тобто розділ 5 вищезгаданого регламенту. Там є такі записи, як (я залишаю їх мовою оригіналу, але такі слова, як “вірус” або “шкідливе програмне забезпечення”, є досить впізнаваними для будь-кого):
This Warranty does not apply to losses or damages of a Covered Person, caused wholly or partially by:
[…]
5. acts by any unauthorized individuals which impairs, damages, or misuses the services of any Internet Service Provider or telecommunications, cable, or satellite carrier, other common carrier or value-added services, including but not limited to, denials of service attacks and the use of malicious software such as computer viruses;
або:
7. failure of any services or equipment not under the exclusive control or ownership of Comodo or its partners, affiliates, and agents; or
Так ось … в теорії гарантія є, але на практиці вам доведеться звертатися до суду, якщо шифр зламають, і ви можете отримати з одноразового збитку те, що втратили, але не більше $1000 ….
Тож чи варто використовувати платні SSL-сертифікати?
Підсумок буде вкрай суб’єктивним. З технічної точки зору, платні та безкоштовні DV-сертифікати (з перевіркою домену) по суті однакові. Я не думаю, що варто покладатися на гарантію, тому що, по-перше, шифр навряд чи буде зламаний в реальному часі, але навіть якби це було так, судова тяганина за $1000 – це не те, на що варто витрачати час 🙂
Оскільки не існує безкоштовних сертифікатів wildcard або EV (розширена валідація), ці сертифікати варто придбати. Слід зазначити, що wildcard-сертифікат : *.client-domain.net.ua в принципі легко замінюється на будь-яку кількість безкоштовних сертифікатів для піддоменів. Однак сертифікат типу EV дає нам напис поруч із зеленим замком із зазначенням установи, для якої видано сертифікат. Але чи кожен є банківською установою?
Дедалі більше хостинг-провайдерів, у тому числі й наша компанія: www.smarthost.net.ua, пропонують будь-яку кількість безкоштовних SSL-сертифікатів для доменів, які клієнт додає в панелі хостингу. У цьому випадку для більшості застосувань буде достатньо безкоштовного сертифіката.
Якщо ви хочете дізнатися, які існують типи SSL-сертифікатів і чим відрізняються DV, OV і EV сертифікати, ми підготували статтю на цю тему: Як працюють сертифікати SSL. Які існують типи SSL-сертифікатів.
- SPF і DKIM – захист від спаму - 20 Вересня, 2018
- Що таке DMARC і навіщо він вам потрібен? - 18 Вересня, 2018
- У чому різниця між безкоштовними SSL-сертифікатами та платними SSL-сертифікатами? - 2 Листопада, 2017