Главные минусы самоподписанных SSL-сертификатов
SSL-сертификаты — самый распространенный тип сертификатов в Интернете. Чаще всего их устанавливают на сайтах, которые собирают персональные данные пользователей (email, пароли, данные банковских карт и др.). Чтобы эти данные не перехватили, соединение защищается специальным протоколом HTTPS, шифрующим всю информацию, которой обмениваются посетитель и сайт. Для работы этого протокола как раз и нужны SSL-сертификаты, приставка SSL (Secure Socket Layer) в названии которых — это технология, обеспечивающая шифрование соединения между веб-сервером (сайтом) и браузером.
Когда сайт работает по защищенному протоколу HTTPS браузер сообщает об этом пользователю в адресной строке. Например, в браузере Google Chrome отображается замок зеленого цвета и надпись Secure (безопасный):
А при желании пользователь может посмотреть сведения о сертификате, кликнув на замок правой кнопкой мышки:
В сертификате хранится следующая информация:
- полное (уникальное) имя владельца сертификата;
- открытый ключ владельца сертификата;
- дата окончания сертификата;
- полное (уникальное) название центра сертификации;
- цифровая подпись центра сертификации.
Цифровая подпись, заверенная центром сертификации, является доказательством подлинности владельца домена и обуславливает его право законно использовать секретный ключ.
Сами же SSL-сертификаты делятся на несколько типов. В самых простых проверяется только домен, в самых дорогих — производится целый ряд проверок, а название организации отображается в адресной строке рядом с доменом.
Доверенные и недоверенные сертификаты
Выпуском SSL-сертификатов занимаются центры сертификации или, как их еще называют, удостоверяющие центы (Certification Authority, CA). Как правило, это авторитетные IT-организации, пользующиеся известным открытым криптографическим ключом:
- Sectigo/Comodo;
- GeoTrust;
- RapidSSL;
- Thawte и другие.
Сертификаты этих организаций называют доверенными. К недоверенным же сертификатам относятся:
- самоподписанные сертификаты, которые владельцы сайтов выдают и подписывают сами себе;
- сертификаты, подписанные недоверенными центрами;
- цифровые подписи, выданные центрами, утратившими доверие.
Почему не стоит пользоваться самоподписанными сертификатами?
Когда к сайту, защищенному самоподписанным сертификатом, подключается пользователь, он видит предупреждение о том, что сертификат не является безопасным:
Большинство посетителей предпочтет не переходить на такой сайт, а его владелец может потерять значительную аудиторию. Поэтому на публичных сайтах и тем более в онлайн-магазинах ни в коем случае нельзя использовать самоподписанные SSL-сертификаты.
Вторая угроза самоподписанных сертификатов — это атаки. Дело в том, что такими сертификатами любят пользоваться хакеры, совершая фишинговые атаки. При фишинге пользователей перенаправляют на сайт с похожим адресом (URL). При этом в браузере обязательно появится предупреждение про небезопасный сертификат (точно такое же, как при входе на реальный сайт с самоподписанным сертификатом).
В итоге у самоподписанного сертификата можно разглядеть только одно достоинство — бесплатность. Но и этому найдется альтернатива в виде SSL-сертификатов проверенных центров сертификации, которые тоже выпускаются бесплатно. Например, сертификаты Let's Encrypt. Однако не стоит забывать и про недостатки Let's Encrypt:
- Ограниченный срок действия
Бесплатные сертификаты Let’s Encrypt рассчитаны на 90 дней. Для автоматического перевыпуска необходимо настроить планировщик, который будет запускать скрипт перевыпуска или принимать настройки центра сертификации, которые смогут вносить изменения в конфигурацию ваших серверов. - Отсутствие технической поддержки
Вам остается самостоятельно изучать документацию по Let’s Encrypt на английском языке на официальном сайте или искать ее на других специализированных площадках. - Нет расширенных проверок
При выпуске сертификата проверяется только домен, проверка организации не производится. - Проблемы с поддержкой в браузерах
При использовании сертификатов Let’s Encrypt некоторые браузеры выводят сообщения о том, что они не доверяют этому сертификату (при использовании устаревших браузеров и операционных систем или по другой причине).
Поэтому рекомендуем вам обратить внимание на платные сертификаты проверенных брендов. Например, облачные провайдеры VPS/VDS или IaaS часто предлагают приобрести надежные SSL-сертификаты вместе с услугой хостинга, причем стоимость такого сертификата будет намного ниже, чем при его приобретении непосредственно у центров сертификации.
