Какие есть тонкости при покупке ssl-сертификата?

Question

[mystdeim]

Планирую перевод своего проекта на https, в связи с чем возник вопрос покупки сертификата. Какие есть подводные камни при его покупки? Где лучше взять? После быстрого просмотра удивился, что многие дают только на 90 дней, то есть раз в квартал принудительно продлять?

Answer 1

[Lindon_cano]

Если вам нужен Domain Validated, то не придумывайте себе лишних трат, используйте сертификат от LE, его обновление автоматизируется и однажды поставив можно забыть. Чушь про «бесплатному не будут доверять» не слушайте, он ничем не отличается от других DV-сертификатов.

Answer 2

[Виктория]

В общем-то все выше уже привели практически все тонкости при приобретении сертификатов.
Соглашусь с CityCat4, если настроены работать всерьез и надолго, лучше брать сертификаты платно, у проверенных ЦС (Центров Сертификации), благо их достаточно.
Самый популярный на сегодняшний день, это Comodo. И по стоимости и по времени выпуска, и по функционалу. У них наиболее широкий выбор сертификатов.

Вообще с чего начать выбор сертификата:
1) устанавливаем владельца домена: физ.лицо, ИП или Юр.лицо
Если физ.лицо или ИП - подойдут сертификаты только с уровнем проверки домена (DV)
Если юр.лицо - все сертификаты: проверка на уровне домена/проверка организации/расширенная проверка организации (DV, OV, EV)

2) определяем необходимый функционал сертификата:
Защита одного домена
Защита одного домена и всех его поддоменов - сертификаты с пометкой Wildcard
Защита нескольких различных доменов - сертификаты с пометкой Multidomain
Защита нескольких различных доменов и их поддоменов - сертификаты с пометкой Multidomain Wildcard
Принудительно высокий уровень шифрования - сертификаты, которые автоматически принудительно повышают уровень шифрования даже если посетители используют старые браузеры (частое явление для бюджетных организаций, имеющих устаревшую техническую базу).

Нюансы:
В стоимость "сложных" сертификатов, например с защитой нескольких доменов, входит только 2 или 3 домена. Остальные необходимо докупать.

В зависимости от ситуаций и сложности задачи, можно сертификаты компоновать.
Т.е. например: на основном домене использовать простой сертификат для защиты одного домена, на поддомене ставить Wildcard.

3) определяем какой уровень проверки нам нужен:
DV - проверка на уровне домена - как уже выше писала, подходит для всех владельцев домена;
OV - проверка на уровне организации - подходить только для юр.лиц;
EV - расширенная проверка на уровне организации - подходить только для юр.лиц;

В зависимости от уровня проверки у вас в строке браузера может быть замочек и зеленый текст, зеленая строка браузера, замочек и зеленый текст.

Answer 3

[Дмитрий Беляев]

Вот тут можно почитать о видах сертификатов: https://ssl.ru/info/whats_the_ssl/index.html
Если владелец сайта - физ.лицо, то в большинстве случаев достаточно let'sEncrypt - он бесплатный

Comments

[mystdeim]

мне для интернет магазина нужен, работает в России

[mystdeim]

но оформлять на физ лицо буду

[Дмитрий Беляев]

mystdeim: https://www.nic.ru/dns/service/ssl/category.html?c...

Answer 4

[Игорь Воротнёв]

Если под личный проект физлица - берите бесплатный Let's Encrypt и не заморачивайтесь. Или самый простой платный, который обычно стоит $9-$25. Очень часто у многих регистраторов западных можно при покупке домена его получить вообще за $1.99 или около того.

Это все базовые сертификаты с вариацией доменного имени (при чем одного, при чем часто только одной версии - с www или без). В браузере это будет выглядеть как зеленый замочек. Все остальные сертификаты, которые подороже, включают дополнительные услуги - верификацию не только домена, но и юридического лица, возможность использовать этот же сертификат для поддоменов (wildcard) и тд.

Answer 5

[CityCat4]

Есть множество тонкостей.

Один из главных вопросов - физик или юрик. Второй - что за проект, продающий или нет.
Если просто для физика, для сайта, рассказывающего о строении Вселенной - достаточно будет и бесплатного сертификата, где бы его ни взяли. Ему, конечно, не будут доверять многие - но в этом случае это пофиг. При выдаче выполняется упрощенная проверка - достаточно подтвердить факт владения доменом и подтверждать он будет только факт наличия домена и того, что он принадлежит Вам.
Если сайт для юрика - при выдаче сертификата будет более расширенная проверка, потребуется передать копии учредительных документов, скорее всего будет обратный контрольный звонок. Сертификат будет подтверждать не только наличие домена, но и наличие конторы и то, что ее наименование соответствует тому, что в сертификате. Расширенная проверка дает еще больше гарантий, но и стоит дороже.
Если сайт продающий - не слушайте тех, кто советует letsEncrypt/StartSSL - для продающего сайта лучше убить жабу и купить сертификат у нормального регистратора.
Где-то в январофевральском номере "Системного администратора" была статья "РУЦЕНТР: Получаем сертификат в общепризнанном УЦ" про тонкости общения с Geotrust и Comodo и вообще о выпуске сертификатов.