Как разобраться со множеством вопросов перед переходм на HTTPS?

Question

[weranda]

Задумался над переводом сайта с http на https. Почитал немного. Много открытых вопросов для меня. Буду изучать вопрос, но в надежде на быстрые ответы, обращаюсь к вам. Если знаете ответы на какие-нибудь из следующих вопросов, буду рад их прочитать. Понимаю ситуацию, вопросов полным полно, но все же...

вопрос 1
https медленнее чем http? Если ответ – да, то какая это конкретно разница в скорости? Допустим что страница весит 1 Мб и загружается по http за одну секунду. Везде пишут что https медленнее http.
Два сайта (один, два) и приводится противоречивая информация, возможно из-за моего английского.
На первом результаты тестов показывают незначительное замедление работы сайта с https, а на втором наоборот – существенное преимущество https на реальном тесте в скорости перед http.

вопрос 2
Кэшируется ли зашифрованный контент на устройстве пользователя?

вопрос 3
Будет ли работать SEO ссылка проставленная на другом сайте по http?

вопрос 4
Нужен ли постоянный IP адрес?

вопрос 5
Может ли работающий сертификат до истечения своего срока заглючить и браузер выдаст сообщение о том, что сайт не безопасен?

вопрос 6
Кто все эти организации (центры сертификации), которые выдают сертификаты, на каких основаниях, по какому-то закону или просто так, захотели и выдают на доверии, перед кем несут ответственность?

вопрос 7
По какому принципу следует выбирать центр сертификации?

вопрос 8
Видел на каком-то популярном сайте разные цвета одного и того же замка, один желтый, второй зеленый. Какая между ними разница?

вопрос 9
На некоторых сайтах этих центров написано о гарантии в 5, 10, 100 тысяч и пр. Что это значит?

вопрос 10
Какие типы шифрования у тех или иных сертификатов и какой выбрать?

вопрос 11
Допустим что есть два сертификата от двух разных центров сертификации. Один заканчивается 10 августа, а второй сформирован 5 августа. Можно ли спокойно заменить один сертификат на другой без каких бы то ни было последствий?

вопрос 12
Можно ли с одним и тем же сертификатом переехать на другой сервер с другой конфигурацией?

вопрос 13
Любой ли сертификат будет поддерживать все устройства или все зависит от центра сертификации или типа сертификата?

вопрос 14
Что будет с отображением и работой сайта если этот сертификат им не поддерживается?

вопрос 15
Есть ли отличия платного сертификата от бесплатного для одного домена?

Сколько раз пользовался электронной подписью, столько же раз мне казалось, что выдают их по весьма странным ценам, а делают все за несколько минут.

Answer 1

[АртемЪ]

1

https медленнее чем http?

Медленнее. Ибо обмен ключами и шифрование передачи. Но не слишком заметно, чтобы на это обращать внимание.

2

Кэшируется ли зашифрованный контент на устройстве пользователя?

Да.

3

Будет ли работать SEO ссылка проставленная на другом сайте по http?

Вполне.

4

Нужен ли постоянный IP адрес?

Нет.

5

Может ли работающий сертификат до истечения своего срока заглючить и браузер выдаст сообщение о том, что сайт не безопасен?

Нет. Нет такого понятия как работающий,сертификат не выполняет никакую работу. Пока его не отзовут или не окончится срок действия он действителен.

6

Кто все эти организации (центры сертификации), которые выдают сертификаты

Кто угодно. Выдавать сертификаты может кто угодно, я вам прям сейчас могу сотню сертификатов выдать. Вопрос лишь в доверии.

на каких основаниях, по какому-то закону или просто так

Никаких оснований и законов для этого не нужно, лишь желание.

перед кем несут ответственность?

Ни перед кем, если иное не оговорено в договоре.

7

По какому принципу следует выбирать центр сертификации?

Чтобы ему доверяли ваши клиенты.

8

Видел на каком-то популярном сайте разные цвета одного и того же замка, один желтый, второй зеленый. Какая между ними разница?

Зеленый - без проблем, красный - явные проблемы, остальные по вкусу браузеров предупреждают о том что существуют некоторые проблемы, какие - смотрите в документации браузера.

9

На некоторых сайтах этих центров написано о гарантии в 5, 10, 100 тысяч и пр. Что это значит?

Максимальная сумма компенсации которую готов выплатить центр сертификации в возмещение ущерба.

10

Какие типы шифрования у тех или иных сертификатов и какой выбрать?

Сертификат это удостоверение личности и только, к шифрованию он никакого отношения не имеет.

11

Можно ли спокойно заменить один сертификат на другой без каких бы то ни было последствий?

Да

12

Можно ли с одним и тем же сертификатом переехать на другой сервер с другой конфигурацией?

Можно

13

Любой ли сертификат будет поддерживать все устройства или все зависит от центра сертификации или типа сертификата?

Сертификат ничего не поддерживает. Он удостоверяет личность и ничего более.
Вопрос лишь в том будут ли доверять ваши устройства компании которая выдала сертификат или нет.

14

Что будет с отображением и работой сайта если этот сертификат им не поддерживается?

Конкретный сертификат не может не подерживаться. Может не поддерживаться https.

15

Есть ли отличия платного сертификата от бесплатного для одного домена?

Нет разницы сколько вы заплатили за сертификат. Значение имеет только доверие к издателю сертификата.
Если пользователи ему доверяют, то все отлично.

Сколько раз пользовался электронной подписью, столько же раз мне казалось, что выдают их по весьма странным ценам, а делают все за несколько минут.

Ничего странного - сертификат делается утилитой которая валяется в публичном доступе, и занимает это менее секунды. Можете сами штамповать их тысячами и продавать.

Answer 2

[Влад Животнев]

> https медленнее чем http?
Грамотно настроенный - нет. Но проблема в хендшейках, это +3-4 rtt перед первым коннектом по https с сервером (раз во время жизни хендшейков).
Ну и шифрование тяжелого контента всё же жрет cpu на сервере, на видеопотоке заметно.

> Кэшируется ли зашифрованный контент на устройстве пользователя?
HTTPS шифрует только канал между пользователем и сервером. Внутри - самый обычный http, по сути. Настроите кэши - будут работать.

> Нужен ли постоянный IP адрес?
Нужен выделенный адрес (иначе будут проблемы с клиентами, которые не поддерживают SNI). А насчет его постоянства - вопрос удобства.

> Может ли работающий сертификат до истечения своего срока заглючить и браузер выдаст сообщение о том, что сайт не безопасен?
Сертификат не заглючит, но у сертификата есть срок действия (при том он выражен временем "от" и "до"). Если у клиента неверно настроены часы (сбиты на год) - то сертификат у пользователя будет считаться невалидным. С другой стороны, у такого человека вообще https работать нигде не будет толком)

> Кто все эти организации (центры сертификации), которые выдают сертификаты, на каких основаниях, по какому-то закону или просто так, захотели и выдают на доверии, перед кем несут ответственность?
Они занесли деньги владельцам основных хранилищ (майкрософт с виндой, mozilla c firefox, apple с макосью и так далее) и прошли аудит безопасности этих самых владельцев. Всё это дорого. В теории они несут материальную ответственность перед клиентами, но это только в теории.
На практике - вся система торговли сертификатами - это торговля воздухом, что уже доказано, например, StartSSL (берут деньги только за услуги, требующие ручной работы - например, валидируют пользователя за деньги, а сертификатов он может получить уже сколько угодно) и letsencrypt (которые выдают бесплатные сертификаты, а существуют на деньги спонсоров).

> По какому принципу следует выбирать центр сертификации?
Если речь не о e-commerce - то по цене. Если о коммерции - то по размеру страховки (вы её всё равно не получите, но всё же).
Плюс смотрите на свою аудиторию, устройства, какие корневые сертификаты у них зашиты из коробки.

> Видел на каком-то популярном сайте разные цвета одного и того же замка, один желтый, второй зеленый. Какая между ними разница?
Браузер в таких вопросах озвучивать нужно. Но скорее всего речь про то, что желтый замок == сам сайт работает по https, но часть контента (например, картинка) загружена по http. Это невалидная настройка https на сервере/сайте.

> На некоторых сайтах этих центров написано о гарантии в 5, 10, 100 тысяч и пр. Что это значит?
С учетом того, что вы общаетесь на русском языке - ничего.

> Какие типы шифрования у тех или иных сертификатов и какой выбрать?
От сертификата шифры не зависят. Выбирать вам можно только длину ключа. Больше длина - надежнее шифрование, но медленнее хендшейк.

> Допустим что есть два сертификата от двух разных центров сертификации. Один заканчивается 10 августа, а второй сформирован 5 августа. Можно ли спокойно заменить один сертификат на другой без каких бы то ни было последствий?
Если нет пиннинга - то да. Но второй сертификат нельзя ставить раньше 6 августа (точнее, лучше всего подождать 24 часа с момента получения сертификата).

> Можно ли с одним и тем же сертификатом переехать на другой сервер с другой конфигурацией?
Да.

> Любой ли сертификат будет поддерживать все устройства или все зависит от центра сертификации или типа сертификата?
Зависит от центра сертификации - занесли ли они денег конкретному производителю. Ну и если про старые платформы говорить (та же ХР) - то вопрос в том, когда занесли.

> Что будет с отображением и работой сайта если этот сертификат им не поддерживается?
Сайту наплевать на сертификаты, "сайту" (а точнее его движку) важно понимать, что он должен работать по https, чтобы не генерировать http-ссылки.

> Есть ли отличия платного сертификата от бесплатного для одного домена?
Страховка, список поддерживаемых платформ, уровень поддержки живыми людьми (но тут как бы документация у всех есть).

Answer 3

[ТёмнаяМатерия]

вопрос 3 - да, будет работать
вопрос 5 - нет, но на хабре писали что сертификаты отзывали некоторые бесплатные конторы, тогда да появится надпись что недостоверен сертификат
вопрос 13 - все устройства поддерживаются

Answer 4

[vreitech]

1. скорость передачи зашифрованного контента в целом ограничена полосой пропускания и в общем случае не медленнее http. временной лаг перед получение первого пакета больше, это да, но не сильно.
2. кешируется.
4. нет, если сертификат выдан по имени домена.
5. заглючить - не может. но может быть отозван.
6. в идеале это организации, которые прошли аккредитацию вышестоящих центров сертификации или комитетов по предоставлению услуги выпуска сертификатов клиентам. на основании аккредитации. законов в общем-то нет, если речь о https. выдают не просто так, а потому что аккредитованы. несут ответственность - отзыв аккредитации.
8. жёлтый - сертификат верный, но использует устаревший алгоритм шифрования. или же сайт защищён не целиком (присутствует http-контент).
11. можно.
12. можно.
13. любой.
14. не могу представить ситуацию, чтобы сайтом не поддерживался сертификат. он может не поддерживаться веб-сервером - надо заменить веб-сервер на более современный.
15. да. бесплатные сертификаты могут быть заверены слабораспространённым центром сертификации, о котором не знает, например, firefox, chrome или opera.