Когда нужны платные сертификаты SSL?

Question

[Валентин]

Раньше все сертификаты SSL-были платные. Хочешь HTTPS - плати за сертификат. Сейчас появился бесплатный Let's encrypt. Но в то же время существуют и платные сертификаты. Да, выдается всего на 3 месяца, но скриптами отлично обновляется. Вопрос - в чем преимущество платных сертификатов сейчас, в чем ограничения Let's encrypt? Зачем их покупать, если можно использовать бесплатно? Дело только в "престиже"?

Интересует применительно к WEB. Я знаю про их ограничения для авторизации по IKE.

Comments

[ky0]

Да, дело только в понтах и неолуддитах типа akelsey, для которых платный DV-сертификат лучше по каким-то мифическим параметрам, демонстрирующим "серьёзность намерений". Хотя казалось бы - шифрование в них при нормальной настройке одно и то же. Эстеты-с.

[akelsey]

ky0, ну зачем глупости то писать, я сам пользуюсь сертификатами летсенкрипт, я же привел конкретный пример - отправлять деньги интернет магазину у которого серт летсэнкрипт, я никогда не буду. Шифрование тут абсолютно не причем. Для покупки сертификата как минимум нужно юрлицо, проверка этого юрлица, после этого вам выпустят сертификат. Потом в стоимость сертификата входят меры безопасности по защите УЦ и прочие мероприятия.
По этому всё под свои задачи, кому домашнюю страничку, или для почтовых сервисов - без проблем, всё очень здорово. Если же процессинговый центр или что то серьезное - то само собой сертификаты от платных и крупных УЦ

Answer 1

[CityCat4]

Технически вообще все сертификаты одинаковы :) Это просто личный и общий ключи для шифрования-расшифровывания, вопрос разницы между ними исключительно в доверии к издателю.
- Локальные сертификаты. Издаются корпоративным CA, доверие к которому абсолютно в пределах конторы и равно нулю за ее пределами, доверие возникает только если две конторы обмениваются корневыми сертификатами (но мне такие случаи неизвестны). Выпускаются бесплатно, ставятся ответственными лицами, иногда ты конкретно знаешь, кто именно отвечает за выпуск.
- LE. Издаются бесплатным CA, на три месяца, требуют настройки скриптов обновления. Доверие минимально, поскольку для подтверждения права на выпуск сертификата нужно только подтверждение права владения доменом. Тем не менее применяются широко - для отладки, тестирования, для личных сайтов, для всех, кто не слишком заботится о своей репутации и не переживает за возможность подмены сертификата. Например для личного сайта, блога, для сайта с низкой посещаемостью LE - лучший выбор.
(JFYI: Я никогда ничего не куплю в Интернет-магазине с сертификатом от LE - чел, который не нашел в бюджете пары тысяч на DV-сертификат - это пародия на бизнесмена или же просто кидала)
- DV с общеизвестного CA. Издаются платно, за небольшие деньги (от нескольких сот до нескольких тысяч рублей), обычно на год. Доверие чуть выше, хотя издаются как правило автоматами, для выпуска достаточно подтвердить право владения доменом. Сфера применения - практически та же, плюс небольшие Интернет-магазины, СМИ, персональные сайты популярных людей (поскольку DV выдается физику), сайты организации.
- OV с общеизвестного CA. Издаются платно, за бОльшие деньги (от нескольких тысяч до нескольких десятков тысяч), обычно на год. Доверие заметно выше, чем к DV, потому что издаются не автоматом, а только после ручной проверки - CA самостоятельно по третьим источникам находит контактный номер (именно поэтому при формировании заявки рекомендуют дать ссылку на 2gis, Yellow Pages и т.д) и делает обратный контрольный звонок. В некоторых CA (но не во всех) есть русскоязычный персонал. Также запрашивают основные документы, подтверждающие регистрацию организации. Работать с CA за рубежом довольно сложно, лучше всего найти компанию-прокси в РФ (например, ярославское ЭМАРО) - они дадут все бухгалтерские документы по стандартам РФ. Сфера применения - СМИ, Интернет-магазины, почтовые сервера (мы, например заказываем для OWA)
- EV c общеизвестного CA. Издаются платно, за приличные деньги (десятки тысяч), обычно на год. Самая высокая степень доверия, самая долгая и сложная проверка. Сфера применения - банки, крупные Интернет-магазины, крупные СМИ, вообще все "крупное".

Comments

[Валентин]

Спасибо за развёрнутый ответ. Как можно понять уровень сертификата? Из браузера можно?

[dimti]

Спасибо, за объяснение, насчет зарубежной работы с CA и компаниями в РФ - интересно.
Насчет пародии на бизнесмена - не соглашусь.
Никому не жалко потратить на это несколько тысяч (от слова совсем не жалко). Не стоит вводить людей в заблуждение и агитировать людей думать о сайтах в таком свете, так как Вы это предоставили.
Я знаю, по-крайне мере несколько интернет-магазинов с сертификатом LetsEcnrypt - обычные магазины, обычные люди, просто продают свой товар.

У магазина задача: показать товар. Если Вам нужен этот товар - Вы его заказываете (онлайн платежи через шлюз банка, а не сайт магазина).

Я Вас не пониманию, почему Вы не купите товар из-за значков в замочке SSL? А если этот товар единственный и выгодные условия доставки - все равно не купите, потому что админ сайта поставил LE-сертификат - серьезно?

Автоматическую установку сертификатов LetsEncrypt предоставляют многие хостинговые компании. Панель управления ISP manager Lite. Сисадмину проще один раз запустить certbot, и забыть о проблемах с сертификатами. Это удобно. Конечному пользователю это не нужно (спросите свою женю/девушку, друга электрика или бухгалтера, какое ему есть дело для DV и OV).

Подтверждение организации по-телефону, мне лично как пользователю не дают никаких гарантий добропорядочности владельцев сайта. Нашим русским бизнесменам SSL нужен только для гарантий SEO в выдаче и отсутствия назойливых уведомлений в Google Chrome.

Это естественный подход для бизнесмена - экономить деньги.

[CityCat4]

Валентин, Иногда. Технически-то DV/OV/EV не отличаются ничем, разница только в уровне проверки CA. EV в некоторых браузерах можно отличить по большой зеленой строке после значка сертификата - но не во всех. Отсюда и возникает убеждение, что "все сертификаты одинаковы". А вот нифига.

[CityCat4]

А если этот товар единственный и выгодные условия доставки

Да? Назовите мне плиз товар, который может быть единственным в мире :) и не иметь достатотчно денег для покупки OV-сертификата за три тысячи :) Единственные в мире поставщики - это авторская работа - одежда, обувь, ювелирка, автомобили - там такие бабки крутятся, что они, не чихнув, купят весь CA :) вместе с его бизнесом.

Это естественный подход для бизнесмена - экономить деньги.

Именно это я и хотел сказать - если три тысячи в год для "бизнесмена" это деньги, которые могут спасти его "бизнес", то это бизнес уровня ларька в переходе метро. Не смешите людей. LE ставят от лени и нежелания разбираться - далеко не всегда просто одолеть процедуру выпуска сертификата, даже если это просто DV.
А что касается "подтверждения по телефону" - давайте будем спорить о вкусе устриц с теми, кто их ел? Вы сами проходили валидацию в Thawte/Comodo/DigiCert? При чем тут сайт?
Проверяется организация - Вы разницу вообще понимаете? Сайт я и сам как физик запросто подыму и DV-сертификат получу (в ЭМАРО за 600 руб в год - много, да?) А вот OV получит только юрик и там довольно строго все к заполнению CSR. То есть, если в сертификате записано например Bank VTB PAO - то издатель этого сертификата (DigiCert) гарантирует любому своим авторитетом, что сервис, в котором он применен (это вовсе не обязательно https) - принадлежит ПАО ВТБ и готов нести финансовую ответственность за это.
Вы, может быть и бизнесмен, но простите уровня ларька :) Потому что в бизнесе есть определенный момент, когда расходы становятся менее важны чем надежность, чем престиж, чем привлекательность etc.
Когда бесплатное решение, скостыленное из трех-четырех систем, связанных между собой палкой-веревкой - не устраивает потому что если вдруг перестает работать - его очень трудно почнинть.

Но, разумеется, владельцу Интернет-магазина на хостинге, с сертификатом от LE, с документами в Гуглодоксах, облачной АТС и 1С на оутсорсе это обьяснять бессмысленно - копеечные прибыли порождают копеечные ИТ-бюджеты :)

[Валентин]

CityCat4, так а как понять, какой уровень доверия сертификата на сайте? На том же тостере например?

[CityCat4]

Валентин, Из самого сертификата - толком никак, только опосредованно. Если в O указана организация (например на www.ozon.ru O = Internet Solutions LLC), то это точно не ниже OV (физику не выдается), если организация не указана, ка на хабре - то может быть и DV

[Валентин]

CityCat4, а не из самого сертификата? И где что должно быть написано для LE и EV?

[CityCat4]

Валентин, для LE - издателем является Lets Encrypt. Как это выглядит в сертификате я сказать не могу - нет под рукой LE-шных сертификатов. Для EV - в некоторых браузерах (но точно не в FF) при заходе на сайт с EV-сертификатом показывается длинная зеленая строка с именем конторы.

Answer 2

[chupasaurus]

Extended Validation (сомнительно), генерация для интранетов и wildcard-сертификаты для доменов, в которые нельзя внести записи по API.

Comments

[Валентин]

wildcard-сертификаты для доменов, в которые нельзя внести записи по API.

Это например какие нельзя внести по API?

[chupasaurus]

Валентин, я про хостеров DNS-зон без API. Руками работать при обновлении LE серта такое себе занятие.

Answer 3

[Sanes]

Дело в верификации. Letsencrypt проверяет, что у вас есть доступ к домену по DNS или к серверу.
Простые DV платные тоже самое.
Имеет смысл, когда верифицируете организацию.

Comments

[Валентин]

Разверни мысль.

что у вас есть доступ к домену по DNS или к серверу

В любой организации есть человек, у которого есть доступ в панель регистратора и/или управления сервером.

[Sanes]

Валентин, если есть доступ, значит можешь выпустить сертификат.

[Sanes]

Валентин, твои документы никто не проверяет. Только домен.
Для верификации OV и EV уже требует других подтверждений.
https://www.leaderssl.ru/articles/233-raznitsa-mez...

Answer 4

[akelsey]

Интернет магазину с сертификатом на letsencrypt я доверять никогда не буду. SSL признак серьезности компании и серьезности её намеряний.

Comments

[Sanes]

Так себе критерий.

[Sanes]

https://www.ozon.ru/
https://www.eldorado.ru/
DV сертификат.

[Developer]

Человеку, который пишет "намеряний" я тоже не доверяю.

Что мешает мошеннику купить платный SSL-сертификат? Они же копейки стоят

[akelsey]

Developer, не хочется отвечать в стиле сам дурак, но не я это начал, наугад ткнул в первую твою же тему


Бибилиотек
нпример

Ну и к чему эти придирки, игры в квази граммар наци, на банальные опечатки, или типа ты только отвечая мне через четыре сервиса проверки грамматики проверил свой текст?

[Developer]

akelsey, у тебя явно НЕ опечатка, а у меня опечатка и это очевидно.
Не надо подменять понятия.
Я к опечаткам отношусь снисходительно, а к ошибкам нет