Сайт без сертификата сейчас иметь почти уже нельзя (и безопасность, и гугл просто не даст трафик). Но есть бесплатный LetsEncrypt и не другие _бесплатные_ альтернативы. Сайт будет работать с любыми браузерами. Но если не хочется (по имиджевым соображениям) пользоваться нищебродским LetsEncrypt, есть коммерческие дешевые сертификаты. У них есть разные уровни валидации (с разной ценой) и цена на технически одинаковый сертификат может сильно отличаться.
Например, GitHub:
$ showcert github.com
IP: 140.82.121.4
Names: github.com www.github.com
notBefore: 2022-03-15 00:00:00 (227 days old)
notAfter: 2023-03-15 23:59:59 (138 days left)
Issuer: C=US O=DigiCert Inc CN=DigiCert TLS Hybrid ECC SHA384 2020 CA1
Смотрим
https://onlinenic.com/en/Certificates/brandsdetail... , я не нашел там ничего со словом Hybrid, но самый дешевый стоит $255 в год, а с EV - $549 . При этом на том же сайте есть сертификаты от Positive SSL, обычный за $4.90, а EV - $67.20.
Если нет(?) разницы, зачем платить больше? Почему кто-то сам хочет заплатить 549 вместо 4.90 (или даже 0)? И даже если есть смысл в EV, то почему бы его не купить почти в 10 раз дешевле? Просто показать всем, что сириусбизнес, что "я могу такой же галстук на сто баксов дороже купить?"
И актуальны ли вообще EV сертификаты? Я понимаю, про более сложную валидацию, их сложнее получить, и вряд ли их получит хакер. Но ведь вебсайт делается для конечного пользователя ("бабушки"), а у бабушки даже на letsencrypt сертификат (который может получить хакер при успешной атаке на DNS через доменную валидацию) отрисуется "замочек", все как надо. В старых статьях были скрины, как браузер для EV-сайтов прямо в адресной строке пишет название компании в зеленом цвете.
Круто выглядит (выгляде
ло). И хотя бы видно, что сайт отличается чем-то от студенческой поделки. Но сейчас везде "серый замочек". Попробуйте сами на apple.com (там EV). Чтобы увидеть, что сертификат EV'шный (я вот сейчас сам специально это захотел узнать, и "трудился") в Firefox нужно нажать на замочек (увидим: Certificate issued to: Apple Inc. - и за это файр-шоу 500 баксов?). А в хромоподобных - вообще аж два клика надо сделать, чтобы заметить разницу! Мне кажется, средний человек, даже ITшник с уклоном в веб и безопасность, за день посещает сотню сайтов, но не замечает, какие из них были с Extended Validation.
Люди платят за это, просто потому что могут, потому что не из своего кармана деньги? Или стараются угодить тем трем-пяти маньякам, которые откажутся покупать эппловскую технику если на apple.com будет стоять сертификат от LetsEncrypt или дешевый RapidSSL / PositiveSSL? Есть какая-то объективная практическая ежедневная выгода от использования EV сертификатов, и от использования сертификатов от дорогих CA?
Простой
Простой
