Permalink

2

Самоподписанный SSL сертификат — преимущества и недостатки

Самоподписанный SSL сертификат ЭМАРО

Все системные администраторы время от времени стоят перед выбором: купить SSL сертификат от Comodo, Thawte, Symantec и т.д. или же создать его самому? Зачем покупать вообще, если можно сгенерировать самоподписанный SSL сертификат? В этой статье мы постараемся разобраться, в каких случаях можно обойтись самоподписанным, а когда все же лучше приобрести доверенный SSL сертификат.

Что такое самоподписанный SSL сертификат?

В криптографии под самоподписанным SSL сертификатом понимают сертификат открытого ключа, изданный и подписанный тем же лицом, которое он идентифицирует. Проще говоря, если Вы сами для своего домена или IP-адреса создали SSL сертификат он будет называться самоподписанным. Также существуют другие названия: «самоизданный» или «самозаверенный», что является одним и тем же.

SSL сертификаты необходимы для обеспечения безопасной передачи информации в сети (как в Интернете, так и в интранете). Самоподписанные SSL сертификаты лучше всего подходят для внутреннего пользования в силу некоторых неудобств, которые мы опишем ниже, и зачастую применяются частными лицами или же в малых фирмах, сотрудники которых осведомлены о его наличии и необходимости добавлять его в списки браузера.

Преимущества самоподписанных SSL сертификатов:

  • Возможность самостоятельно создавать неограниченное количество SSL сертификатов без обращения к поставщикам услуг по их оформлению.
  • Отсутствие денежных затрат, если Вы создаете SSL сертификат сами, а не обращаетесь за помощью к «неофициальному производителю» за символическую плату. Во втором случае лучше вложить символические 590 рублей в официально заверенный PositiveSSL от Comodo.
  • Быстрота в создании – только в том случае, если Вы хорошо знакомы с процессом создания SSL сертификатов и необходимыми утилитами. Иначе их изучение может занять больше сил и времени, нежели оформление заказа у официального поставщика.

Главный недостаток самоподписанного SSL сертификата

При всем своем удобстве, самоподписанный сертификат SSL обладает огромным недостатком: его можно применять только при обмене данными между пользователями, которые знают о самоизданном SSL сертификате и подтвердили его в браузере. Если же к каналу, защищенному таким SSL сертификатом, подключается внешний посетитель, он видит следующее предупреждение: «Сертификат безопасности не является доверенным!»

самоподписанный SSL сертификат

Предупреждение о самоподписанном SSL сертификате в Chrome

На данном этапе большинство пользователей предпочитает вернуться назад к безопасности и выбрать веб-сайт без риска, в связи с чем Ваш сайт может потерять значительное число посетителей.

Поэтому на публичных сайтах, и тем более в онлайн-магазинах ни в коем случае нельзя использовать самоподписанный SSL сертификат! Вы так только отпугнете потенциальных покупателей, вместо того, чтобы обеспечить дополнительное доверие.

Зачем же платить центру сертификации?

Самоподписанный SSL сертификат, как и доверительный, обеспечивает https соединение между Вашим сайтом и браузером пользователя, шифруя передаваемую по нему информацию. На этом функции самоподписанного SSL сертификата заканчиваются, в то время как удостоверяющие центры, помимо защиты соединения, гарантирует, что информация о домене была проверена независимым доверительным источником. Это соответственно отображается в браузере, которым пользуется посетитель Вашего сайта.

В зависимости от типа SSL сертификата производится проверка разных уровней – от одного домена и до полной проверки документации юридического лица. Как следствие, центр сертификации может гарантировать разный уровень доверия к серверу, что будет по-разному отображаться в браузере и в самом SSL сертификате. Так, при расширенной проверке, веб-сайт обзаведется не только соединением через https, но и зеленой адресной строкой, которую не оставит без внимания ни один Ваш клиент.

Итак, преимущества использования доверенного SSL сертификата по сравнению с самоподписанным:

  • Отсутствие ошибок и предупреждения о неизвестном издателе SSL сертификата. Все общеизвесные центры сертификации гарантируют наличие своих корневых сертификатов в браузерах и программном обеспечении, что исключает появление подобных предупреждений.
  • Печать доверия: покупая доверенный SSL сертификат, Вы получаете возможность установить печать защиты (Trust logo или Site Seal) с логотипом соответствующего удостоверяющего центра, что дополнительно привлекает внимание посетителей и вызывает их доверие к сайту.
  • Гарантия денежной компенсации: если пользователь попал на фишинговый сайт с действительным SSL сертификатом (то есть, если SSL сертификат был ошибочно выдан по вине удостоверяющего центра) и понес от этого определенные убытки, центр сертификации гарантирует денежную компенсацию. Ее размер колеблется от 10 000 до 1 500 000 долларов в зависимости от удостоверителя и типа каждого отдельного SSL сертификата.
  • Помощь в выборе и оформлении SSL сертификата: даже если Вы не очень хорошо разбираетесь в тонкостях SSL и https, Вы всегда можете проконсультироваться и получить помощь в оформлении сертификатов SSL, если обратитесь к специалистам.

Поэтому, прежде чем устанавливать самоподписанный SSL сертификат, мы рекомендуем взвесить все за и против и только после этого принимать окончательное решение. Если Вы все-таки решили для начала остановиться на самоподписанном варианте, узнайте в нашей инструкции, как создать SSL сертификат самостоятельно.

Самоподписанный SSL сертификат — преимущества и недостатки 4.67/5 (93.33%) Всего оценок: 9

2 Comments

  1. Здравствуйте все конечно правильно написано, но я одного не пойму, если у Яндекса и Гугла самоподписанные SSL, то тогда почему в браузерах при попадании на главные страницы не выскакивает предупреждение, они так, же их сгенерировали.

    • Потому что они подписаны корневыми сертификатами доверенных центров сертификации. У Google, например, корневой сертификат GeoTrust. Вы это можете проверить, если нажмете на замок в адресной строке и перейдете во вкладку Certification Path.
      Практически все известные центры сертификации предлагают возможность создания своего PKI на основе их сертификатов. Эта процедура очень дорогая и длительная. Это имеет смысл для больших корпораций, у которых множество доменов (речь идет о тысячах) — тогда проще самим управлять своими сертификатами, чем заказывать их у центра сертификации.
      Если у компании всего несколько десятков доменов, намного проще заказать сертификат у нас.

Добавить комментарий

Обязательные поля отмечены *.

+ 16 = 24