Покрокове керівництво по вибору SSL-сертифіката
Який сертифікат SSL / TLS мені потрібен?

Крок 1 - Чи зареєстрований ваш домен?

Во-первых, вам потрібно зареєструвати свій домен, перш ніж ви зможете отримати загальнодоступний SSL-сертифікат Це пов'язано з тим, що центри сертифікації (ЦС, СЦ, CA - організації, випускаючі сертифікати) повинні підтвердити ваше право власності на домен.

Що, якщо ваш домен не зареєстрований?
Якщо ваш домен не зареєстрований, ви, ймовірно, говорите про ім'я внутрішнього сервера. Внутрішнє ім'я - це домен або IP-адреса, який є частиною приватної мережі, наприклад:

Відповідно Правилам ЦС забороняється видавати загальнодоступні SSL-сертифікати, що містять внутрішні імена серверів або зарезервовані IP-адреси. Це пов'язано з тим, що ці імена не є чимось унікальним і використовуються внутрішньо, тому CA не може перевірити, чи володіє цим ім'ям компанія, наприклад, багато компаній можуть мати внутрішню поштову систему за адресою: https://mail.

SSL для внутрішніх імен серверів
Отже, що ви можете зробити, якщо хочете захистити зв'язок між вашими внутрішніми серверами, які використовують імена внутрішніх серверів? Ви не можете використовувати загальнодоступний SSL-сертифікат, тому одним з варіантів є використання самозавіряючих сертифікатів або настройка власного CA і видача сертифікатів за допомогою PKI. Хоча це, безумовно, життєздатні варіанти, запуск власного ЦС вимагає великого внутрішнього досвіду і може бути вельми ресурсоємним. Symantec також пропонуєсертифікати, розроблені саме для внутрішнього використання Видані з непублічного кореня, ці сертифікати не повинні відповідати тим же правилам, що і загальнодоступні сертифікати, тому вони можуть включати такі речі, як внутрішні імена серверів і зарезервовані IP-адреси. Таким чином, ви можете захистити свої внутрішні сервери без проблем з запуском власного CA або з самозавіряючимиі сертифікатами.

Крок 2 - Який рівень довіри вам потрібен?

Всі SSL-сертифікати забезпечують безпеку сеансу і шифрують будь-яку інформацію, представлену через веб-сайт, але вони розрізняються залежно від того, скільки ідентифікаційної інформації включено в сертифікат і як вони відображаються в браузерах. Існує три основних рівня довіри для SSL-сертифікатів: від найвищого до найнижчого

При виборі між рівнями довіри головне питання, яке ви задаєте собі, полягає в наступному: «Скільки довіри ви хочете передати своїм відвідувачам?» Також слід враховувати, наскільки важлива ваша торгова марка і імідж для вашої веб-присутності. Ви хочете, щоб ваш бренд був чітко представлений в адресному рядку браузера або просто включений в сам сертифікат? Чи зв'язок вашої фірмової ідентифікації з вашим доменом не так важливо для вас?

Сертифікати розширеної валідації (EV)
Сертифікати EV включають в себе більшість даних компанії, і компанії повинні відповідати найвищим, найсуворішим вимогам будь-якого сертифіката SSL до отримання сертифіката. Вони також надають найбільшу довіру вашому веб-сайту, привносячи посвідчення особистості і центру вашої компанії, чітко відображаючи назву вашої компанії в зеленому адресному рядку.

Сертифікати, підтверджені організацією (OV)
Сертифікати OV також включають аутентифікацію бізнесу, тобто інформація про вашу компанію включена, але, на відміну від сертифікатів EV, ця інформація не так помітно відображається. Щоб побачити інформацію про вашу компанію, відвідувачам необхідно переглянути відомості про сертифікат.

Сертифікати, які підтверджують домен(DV)
Сертифікати DV - це самий базовий тип SSL-сертифіката, включаючи найменшу кількість ідентифікаційної інформації в сертифікаті, і тільки підтвердження того, що власник веб-сайту може продемонструвати адміністративний контроль над доменом. Хоча сертифікати DV пропонують сеансовое шифрування (так що вони, безумовно, краще, ніж нічого), вони не містять ніякої інформації про компанію. Це означає, наприклад, що ніщо не включено в сертифікат DV SSL, виданий на abc.com.ua, щоб переконатися, що він фактично управляється компанією ABC. Як не дивно звучить, але використання ДВ ССЛ сертифіката іноді може заподіяти більше шкоди ніж користі;) Ми не рекомендуємо сертифікати DV для використання в бізнесі. Беручи до уваги зростання сайтів шахрайства та фішингу, ми рекомендуємо операторам веб-сайту використовувати SSL-сертифікати, що містять інформацію про компанії (наприклад, OV або EV), щоб відвідувачі сайту могли переглядати особу власника домену.

Крок 3 - Скільки доменів вам потрібно захищати за допомогою цього сертифіката?

Просто один домен - використовуйте стандартний сертифікат
Якщо вам потрібно тільки захистити один домен (наприклад, .example.com), ви повинні придбати один домен або стандартний сертифікат. У вас є вибір рівня довіри - DV, OV або EV.

Декілька доменів
Якщо ви хочете захистити декілька доменів (наприклад, example.com, example.net, example.co.uk) за допомогою одного сертифіката, вам необхідно придбати багатодоменний сертифікат. Багатодоменні сертифікати дозволяють захистити кілька доменних імен одним сертифікатом. Домени перераховані як альтернативні імена суб'єктів (DNS SAN) в сертифікаті, тому їх часто називають САН сертифікати або Мультидоменні сертифікати ССЛ.

Декілька піддоменів
Якщо ви хочете захистити декілька піддоменів (наприклад, login.domain.com.ua, payment.domain.com.ua) одним сертифікатом, ви можете використовувати або підстановлювальний Wildcard сертифікат, або МультиДоменні SAN сертифікат. Який з них найкраще підходить для вас, залежить від кількості піддоменів, які необхідно захистити, і рівня довіри, який ви хочете мати.

Якщо у вас багато піддоменів або очікуєте додати більше в майбутньому, вам має смилс розглянути сертифікат підстановки ваілдкард, тому що ви можете забезпечити необмежену кількість захищених сайтів безпосередньо в домені. Підставні (субдоменні) сертифікати мають загальну назву формату * .domain.com.ua, тому він забезпечить приклади, перераховані вище, одним сертифікатом. Підставні (субдоменні) сертифікати підтримуються продуктами DV та OV, але галузеві вимоги не допускають сертифікати Wildcard.

Якщо у вас є тільки кілька піддоменів, або якщо ваші сайти містять різну кількість вузлів в імені домена (Наприклад, store.domain.com.ua, store.ua.domain.com.ua, store.eurpoe.domain.com.ua), ви повинні розгляньте Multi-Domain Certificate, використовуючи піддомени, тому що вони, як правило, більш економічні, ніж Wildcards, і більш гнучкі в підтримці різних рівнів доменів. Сертифікати субдоменів підтримуються DV, OV і EV.
Top ^