Способы оплаты Abuse

За что вы платите, покупая SSL-сертификат

16.05.2023, 11:14
За что вы платите, покупая SSL-сертификат

Правда об SSL: на самом деле и бесплатные, и платные сертификаты любого типа валидации работают одинаково. Большинство из них даже имеют приблизительно один уровень шифрования. А вот цены при этом могут очень различаться у разных вендоров. Почему так? В этой статье подробно разберём, от чего на самом деле зависит стоимость SSL-сертификата.

От чего зависит надёжность сертификата. Длина ключа

Всё, ради чего придуманы SSL-сертификаты, — сделать сайт и операции на нем безопаснее, защитив канал передачи данных между сервером и клиентом. А единственное, что прямо влияет на безопасность SSL, — это алгоритм шифрования и длина ключа.

Современные SSL-сертификаты должны использовать стандарт шифрования SHA 256 и длину ключа 2048 бит. Такие требования предъявляют сейчас браузеры, именно такие сертификаты считаются достаточно надёжными. 

Можно выпустить сертификаты с длиной ключа 3072 бита и больше. Например, GlobalSign выпускает сертификаты с алгоритмом хеширования SHA-256 и поддержкой ключей RSA 2048+, ECC 256 и 384 бит. Некоторые производители предлагают ключи длиной даже 4096 бит. Но пока такой уровень шифрования считается избыточным: только в 2030-х годах планируется переход на ключи минимум RSA 3072+ бита.

Итак, мы выяснили, что безопасность сертификата зависит от его алгоритма шифрования. Но отражается ли это на стоимости SSL? Нет. Вы можете установить бесплатный SSL-сертификат от Let’s Encrypt на 4096 бит и купить платные сертификаты со стандартными 2048 битами.  

Дело в том, что каждый удостоверяющие центр самостоятельно устанавливает цены на свои сертификаты. Но обычно цена прямо пропорциональна типу проверки, наличию дополнительных опций и доверию к бренду. Разберём эти факторы подробнее.   

Тип проверки сертификата — DV, OV, EV

От типа проверки зависит, какая информация будет содержаться в сертификате: что смогут узнать браузеры и посетители сайтов о владельце домена. 

Сертификат с базовым типом проверки DV содержит только список доменов, для которых он будет работать. Получить такой сертификат просто, а выпускающему центру не нужно прилагать усилий, чтобы выдать его: валидация проходит в автоматическом режиме. 

В сертификатах OV (Organization Validation) указывается список защищаемых доменов. EV (Extended Validation) сертификаты содержат чуть больше данных. В них, дополнительно к списку сайтов, еще прописывается для кого выпущены сертификаты — имя, адрес, номер и вид собственности организации. Оба вида сертификатов доступны только для юридических лиц и ИП, проходят валидацию вручную, удостоверяющий центр запрашивает и проверяет документы у заказчика. 

DV-сертификаты содержат меньше всего информации и стоят дешевле остальных. DV можно получить даже бесплатно, например, заказать SSL-сертификат у Let’s Encrypt. При этом длина ключа DV-сертификата может быть больше, чем у самого дорогого EV. Сертификаты же EV и OV обойдутся дороже потому что проверяются вручную и выпускаются для бизнеса. 

Дополнительные опции Wildcard и SAN

Обычно сертификат выпускается на одно доменное имя: например ispmanager.ru. Это значит, он будет работать только для ispmanager.ru, но не будет, например, для my.ispmanager.ru или ispmanager.com. Другое дело, если вы установили сертификат с Wildcard или SAN.

Опция SAN
Стандартно сертификат выпускается для конкретного доменного имени, а для защиты нового приходится покупать ещё один SSL. Функция SAN (Subject Alternative Name) позволяет добавить к имеющемуся домену ещё один или несколько. В итоге один сертификат будет распространяться на несколько имён. Например, в нём могут содержаться google.com и youtube.com одновременно. Так можно сэкономить время и деньги и показать, что этими доменными именами владеет одна компания.

Опция Wildcard
Эта функция тоже позволяет обойти ограничение «один домен — один сертификат», но делает это иначе, по сравнению с SAN. С помощью Wildcard можно добавить к имени значение со * перед основным значением домена. Таким образом, можно выпустить сертификат вида *.yandex.ru, чтобы он работал и с www.yandex.ru, и с mail.yandex.ru, weather.yandex.ru, 1.yandex.ru и так далее. Сертификат работает только на тот уровень, на котором стоит *, то есть доменное имя типа 1.2.3.yandex.ru защищено не будет, потому что оно на 2 уровня ниже, чем *.yandex.ru.

Поэтому выбирая между сертификатом с SAN или Wildcard выбирайте вариант, который больше подходит именно вашему бизнесу. Например, если вы ведёте несколько не связанных друг с другом компаний с разными сайтами, лучше покупать сертификаты с SAN. Для сайтов с большим количеством поддоменов на одном уровне подойдёт Wildcard.

Размер страховки

Каждый удостоверяющий центр предоставляет денежную гарантию на свои сертификаты. На неё можно претендовать, если посетитель или владелец сайта понесёт убытки по вине центра сертификации. Например, если шифр сертификата взломают по вине удостоверяющего центра, или удостоверяющий центр выдаст сертификат мошенникам, которые выдают себя за других. Каждый вендор сам решает, какие страховые выплаты он гарантирует и на какие случаи они распространяются. Всегда чем сложнее тип проверки — DV, OV или EV, тем больше гарантия и стоимость. Размеры гарантий опубликованы на сайтах удостоверяющих центров:

GlobalSign
Digicert
GeoTrust

Репутация удостоверяющего центра

Как ни банально, но на стоимость влияет и бренд, под которым выпускается сертификат. Чем он именитее и чем надёжнее его история, тем дороже может быть его сертификат. Кроме того, чем дольше существует компания, тем больше вероятность, что её SSL поддерживаются большим количеством устройств. Тогда цена может быть ещё выше.  

Итак, мы выяснили, стоимость SSL-сертификата не зависит от уровня его шифрования. Но зато на неё влияют тип валидации, наличие дополнительных опций, размер страховки и репутация удостоверяющего центра. 

На что ориентироваться, выбирая SSL-сертификат

Уровень шифрования всех SSL примерно одинаковый и надёжный. Поэтому при выборе стоит обращать внимание на другие факторы, которые мы рассмотрели. 

  • Тип валидации: DV, OV или EV. DV-сертификаты подойдут для большинства сайтов. Однако для компаний, принимающих платежи прямо на сайте (не через эквайринг, например), и для известных брендов рекомендуются ОV и EV-сертификаты — это поможет защититься от фишинга. 
  • Дополнительные возможности: опция SAN для защиты нескольких доменов и Wildcard для защиты поддоменов. 
  • Бренд: чем дольше удостоверяющий центр на рынке, тем больше вероятность, что с его SSL-cертификатами не возникнет проблем и браузеры будут им доверять.

Ну, а если вы ищете подходящий SSL-сертификат от надежного и известного удостоверяющего центра, то у нас хорошие новости. Только до 31 мая в личном кабинете PQ.Hosting вы можете выбрать и заказать популярные сертификаты от GlobalSign со скидкой 20%! Безопасность и выгода – идеальное сочетание от PQ.Hosting