vvpoloskin
@vvpoloskin
Инженер связи

Когда нужны платные сертификаты SSL?

Раньше все сертификаты SSL-были платные. Хочешь HTTPS - плати за сертификат. Сейчас появился бесплатный Let's encrypt. Но в то же время существуют и платные сертификаты. Да, выдается всего на 3 месяца, но скриптами отлично обновляется. Вопрос - в чем преимущество платных сертификатов сейчас, в чем ограничения Let's encrypt? Зачем их покупать, если можно использовать бесплатно? Дело только в "престиже"?

Интересует применительно к WEB. Я знаю про их ограничения для авторизации по IKE.
  • Вопрос задан
  • 815 просмотров
Решения вопроса 1
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
Если я чешу в затылке - не беда!
Технически вообще все сертификаты одинаковы :) Это просто личный и общий ключи для шифрования-расшифровывания, вопрос разницы между ними исключительно в доверии к издателю.
- Локальные сертификаты. Издаются корпоративным CA, доверие к которому абсолютно в пределах конторы и равно нулю за ее пределами, доверие возникает только если две конторы обмениваются корневыми сертификатами (но мне такие случаи неизвестны). Выпускаются бесплатно, ставятся ответственными лицами, иногда ты конкретно знаешь, кто именно отвечает за выпуск.
- LE. Издаются бесплатным CA, на три месяца, требуют настройки скриптов обновления. Доверие минимально, поскольку для подтверждения права на выпуск сертификата нужно только подтверждение права владения доменом. Тем не менее применяются широко - для отладки, тестирования, для личных сайтов, для всех, кто не слишком заботится о своей репутации и не переживает за возможность подмены сертификата. Например для личного сайта, блога, для сайта с низкой посещаемостью LE - лучший выбор.
(JFYI: Я никогда ничего не куплю в Интернет-магазине с сертификатом от LE - чел, который не нашел в бюджете пары тысяч на DV-сертификат - это пародия на бизнесмена или же просто кидала)
- DV с общеизвестного CA. Издаются платно, за небольшие деньги (от нескольких сот до нескольких тысяч рублей), обычно на год. Доверие чуть выше, хотя издаются как правило автоматами, для выпуска достаточно подтвердить право владения доменом. Сфера применения - практически та же, плюс небольшие Интернет-магазины, СМИ, персональные сайты популярных людей (поскольку DV выдается физику), сайты организации.
- OV с общеизвестного CA. Издаются платно, за бОльшие деньги (от нескольких тысяч до нескольких десятков тысяч), обычно на год. Доверие заметно выше, чем к DV, потому что издаются не автоматом, а только после ручной проверки - CA самостоятельно по третьим источникам находит контактный номер (именно поэтому при формировании заявки рекомендуют дать ссылку на 2gis, Yellow Pages и т.д) и делает обратный контрольный звонок. В некоторых CA (но не во всех) есть русскоязычный персонал. Также запрашивают основные документы, подтверждающие регистрацию организации. Работать с CA за рубежом довольно сложно, лучше всего найти компанию-прокси в РФ (например, ярославское ЭМАРО) - они дадут все бухгалтерские документы по стандартам РФ. Сфера применения - СМИ, Интернет-магазины, почтовые сервера (мы, например заказываем для OWA)
- EV c общеизвестного CA. Издаются платно, за приличные деньги (десятки тысяч), обычно на год. Самая высокая степень доверия, самая долгая и сложная проверка. Сфера применения - банки, крупные Интернет-магазины, крупные СМИ, вообще все "крупное".
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
Нужны только тогда, когда лениво обновлять. В остальных случаях бесплатных хватает полностью. Ну и бесплатность означает что в любой момент контора может перестать выдавать новые сертификаты и отозвать старые. В общем чуть меньше гарантий.
Ответ написан
chupasaurus
@chupasaurus
Сею рефлекторное, злое, временное
Extended Validation (сомнительно), генерация для интранетов и wildcard-сертификаты для доменов, в которые нельзя внести записи по API.
Ответ написан
Sanes
@Sanes
!
Дело в верификации. Letsencrypt проверяет, что у вас есть доступ к домену по DNS или к серверу.
Простые DV платные тоже самое.
Имеет смысл, когда верифицируете организацию.
Ответ написан
akelsey
@akelsey
Интернет магазину с сертификатом на letsencrypt я доверять никогда не буду. SSL признак серьезности компании и серьезности её намеряний.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы