Вопрос по SSL сертификатам

Столкнулся с необходимостью продления SSL сертификатов на сайте и возник вопрос: стоимость варьирует от 0 рублей в год (Let's Encrypt) и до бесконечности. Есть ли смысл ставить платные и если да, то какие у них преимущества? На сайте DTF насколько я вижу стоит Let's Encrypt, не смотря на то что здесь немало личных данных хранится после ввода платной подписки.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Даниил Булаев", "author_type": "self", "tags": [], "comments": 48, "likes": 5, "favorites": 9, "is_advertisement": false, "subsite_label": "ask", "id": 102217, "is_wide": true, "is_ugc": true, "date": "Tue, 11 Feb 2020 15:42:52 +0300", "is_special": false }
0
{ "id": 102217, "author_id": 41811, "diff_limit": 1000, "urls": {"diff":"\/comments\/102217\/get","add":"\/comments\/102217\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/102217"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 64961, "last_count_and_date": null }
48 комментариев
Популярные
По порядку
Написать комментарий...
21

Есть ли смысл ставить платные и если да, то какие у них преимущества?

Нет. Let's Encrypt ничем не хуже "платных" сертификатов, и используя его ты никак не компрометируешь безопасность.

Ответить
1

А для чего нужны платные?

Ответить
18

В основном для гарантии и саппорта. Продавая сертификат, компания берет на себя определенные обязательства. Траблшутинг, например. Ну и если, теоретически, что-то пойдет не так, то она и отвечать будет. 

С бесплатным сертификатом ты этого не получаешь - вся ответственность на тебе. Например, если по какой-то причине сертификат не продлился (бывает иногда), и ты понес убытки - ну чо, сам виноват. 

Ну и, плюс, в умах многих людей прочно закреплена парадигма "дорого = хорошо", и это тоже немаловажно. Например, где-то недавно была статья, в которой поливали дерьмом компанию за то, что использует бесплатный сертификат. Народ же не разбирается, и не знает, что он ничем не хуже. В их понимании "бесплатный -> пожалели денег на безопасность -> не ценят данные пользователей". Возможно, придется отдавать деньги за дамаг-контроль.

Ответить
2

Ещё финансовая гарантия. Если взломают серт, удостоверяющий центр выплатит многаденяг, с Lets Encrypt такого нет.

Ответить
0

А на Let's Encrypt какой алгоритм шифрования? ГОСТовские тоже есть?

Ответить
3

ГОСТовских нет в TLS, а алгоритм шифрования зависит от настроек сервера, сертификат тут ни при чем.

Ответить
1

Прошу прощения, неправильно задал вопрос. Алгоритм подписи имел в виду.

Ответить
3

Раньше сертификаты ставились на сайты, где была возможность ввести номер банковской карты (интернет-магазины и пр.). И этот номер кулцхакеры могли перехватить. Шифрование от этого защищало. Но если все же своровали - при бесплатном сертификате ты сам во всем виноват, а при платном - компенсирует поставщик сертификата.
В один прекрасный момент гуглхром начал помечать как не безопасные любые сайты без сертификата. Пришлось всем ставить бесплатные, к счастью быстро появился Let's Encrypt, который большинство хостингов сами устанавливают и продлевают подписку.
Так, что если у тебя на сайте нет крупных финансовых операций - Let's Encrypt хватит с головой, да даже не крупные магазины вполне пользуются бесплатным.

Ответить
1

Платный - проделвать раз в год.

Lets-encrypt - продлевать каждые 3 месяца. важный нюанс: иногда автоматические системы продления могут затупить или сломаться при попытке обновить сертификат. Как следствие иногда нужно проверять, что сертификат обновился и все корректно работает.

Ответить
0

Была еще ситуация когда один из протоколов был отрублен из-за уязвимости, и клиенты пришлось фиксить. 

https://community.letsencrypt.org/t/2018-01-11-update-regarding-acme-tls-sni-and-shared-hosting-infrastructure/50188
https://community.letsencrypt.org/t/march-13-2019-end-of-life-for-all-tls-sni-01-validation-support/74209

Ответить
0

Ага. У меня на одном старом проекте выяснилось, что сайтом пользуются через windows xp. И в XP браузеры не умеют в новое шифрование. А я уже прикрутил принудительный редирект на https:// По итогу пришлось писать костыль в коде - если user agent от Win XP  не включать https на сайте.

Ответить
0

Они даются на длительный срок. Раньше не было бесплатных, которые нормально получались. Или если тебе нужен мультидоменный сертификат. У  Let's Encrypt с такими много мороки, проще купить.

Ответить
0

в случае с моим хостингом (timeweb, если интересно, не реклама, ибо неебу, насколько он лучше или хуже конкрунетов, просто первым попался) установка сертификата Let's Encrypt — дело пары кликов, если не используешь CMS. Просто подрубаешь сам серт-т в услугах, в настройках домена выставляешь поддержку HTTPS. Продлевается, пишут, автоматически. Даже если и нет, можно поставить где-нибудь напоминалку и руками это делать.

Ответить
1

Не это для лентяев только centos только консоль. Я использую виртуальные сервера и сам настраиваю под себя. Да в панельке ISPManager есть подключение Let's Encrypt и продление, но у меня есть и железные сервера без панелек. И вот как раз в панельке были случаи, что не продлялось. Ну я вижу в сообщениях если ошибка. И продляется заранее. Но пару раз пропускал.

Ответить
0

Ну надо

Ответить
0

Саппорт. Т.е. если ты представляешь какую-то большую контору и у тебя спросят "а что это за Let's Encrypt, если сломается, куда звонить?", то тебе как бы и нечего ответить. А если возьмешь сертификат Comodo например, то там все это есть.
Тоже самое, что бесплатный линукс, который админ поставил и убежал, и "линукс на поддержке".

Ответить
0

Понты. Если на пальцах, то при выдаче самого простого сертификата УЦ просто проверит что запросивший действительно владеет доменом для которого выпускается сертификат, а для выдачи самого навороченного помимо этого еще проверят что компания существует, владеет активами и ведет реальную деятельность. Раньше для навороченных сертификатов адресная строка подсвечивалась зеленым и в ней помимо адреса сайта отображалось название компании, но сейчас от этого уже отказываются и независимо от того какой сертификат установлен отображается просто замочек. Переплачивать смысла нет.

Ответить
0

Кто отказывается?
Выведение домена от сертификата полезно, и наверняка будет продолжать использоваться банками и и прочими компаниями, которые хотят сократить вероятность подделки своих страниц.

Обн.: А, увидел вашу ссылку ниже, что ж жаль, и зря, мне кажется.

Ответить
0

У этой медали есть и обратная сторона. Корневые УЦ задрали цены на сертификаты до заоблачных величин (относительно себестоимости) и на рынке фактически установилась олигополия. При этом многие даже не до конца понимают за что платит, а существенное число пользователей вообще не обращает внимание на наличие сертификата...

Ответить
6

Let's Encrypt обычный сертификат, но дается на три месяца. Можно автоматически продлевать со своей стороны. Но иногда бывают косяки и не продлевается. Но если у тебя один сайт пофиг, заметишь. В общем это способ сэкономить где то 1000 р. Странно что DTF не разорился на платный сертификат.

Ответить
3

почти на всех хостингах и панельках он продлевается автоматом

Ответить
0

Знаю, но бывают косяки когда не продлевается. Там n-ое число попыток. И если сайтов до фига, то с таким сталкиваешься.

Ответить
0

Бывает не спорю, но это лучший вариант когда сайтов реально дохрена

Ответить
0

Ещё и за серт платить порносайту?)

Ответить
0

Это так-то да, но если на проект не плевать, он обвешан метриками и алертами со всех сторон. 

Ответить
2

Мы на комм. сайтах используем летсенкрипт, но можно прикупить и от Комодо, например, и у вас в адресной строке будет зелёная строка с юр. названием организации

Ответить
0

В каком-нибудь Edge да, еще выводится, а вот в Chrome уже разницы нет.

Ответить
2

Не поленился, нашел пример
Commodosslstore - расширенная адресная строка
Или digicert.com
А в опере они ещё и зелёные
 с летсенкрипт мы перешли на cloudflare.
Но по теме, да, наверно, разницы сейчас особой нет. В любом случае особой разницы для простого и среднего сайта нет, а в магазинах же обычно сторонние платежные шлюзы со своими сертификатами.

Ответить
2

Сертификаты как продавали так и продают, в этой части ничего не изменилось. А вот разработчики браузеров от поддержки этой фишки уже отказываются:
https://www.securitylab.ru/news/500492.php

Ответить
0

Используем везде, даже на SMTP/IMAP, включая всякие iOS/etc и пока что проблем нет. С платным как раз были проблемы на iPhone.

А с тех пор как перешли на Let's'Encrypt у клиентов кожа стала бархатная, волосы шелковистые и настроение улучшилось. Это всё из-за отсутствия проблем.

Пробовал поставить на виртуалку в офисе, у которой в принципе нет сети и не будет, изолирована, но через certbot и по манам навскидку не получилось верифицироваться, забил.

Ответить
0

В современных браузерах нет зелёной строки. Отображается только замок, неважно, какой сертификат используется.

Ответить
0

Опера вполне современный браузер, в нем строка есть, но мы уже выяснили, что эта фишка сходит на нет.

Ответить
1

после ввода платной подписки

А какая связь? Сам дтф же никаких платежных данных у себя не хранит вроде как. Все через банк или партнера идет какого-то.

Ответить
0

форма ввода данных карты на самом сайте высвечивается, на этом моменте нельзя перехватить данные? Или сертификаты защищают те данные, что прям уже хранятся на сервере?

Ответить
0

Безопасность можно обеспечить и самоподписанным сертификатом так-то, все дело больше в том, чтобы убедить тебя, что тут безопасно

Ответить
0

да в моем случае дело в том, что сам сайт - интернет-магазин небольшой. И тут уже какой-то процент пользователей может задуматься о том, стоит ли тут вводить данные своей банковской карты, чекнет сертификат - скажет "фу, бесплатный". Хотя оплата происходит средствами Яндекс.Кассы, думаю, тут они на себя берут обязательства обеспечить сохранность данных

Ответить
2

Никто в своем уме не смотрит издателя сертификата. Для магазина важнее прозрачность процесса покупки/получения, цена товара, лёгкость оформления заказа и вообще все, что связано с юзабилити. 

Ответить
1

Не парься, на сертификаты Let's Encrypt вроде особо никто не жалуется среди магазинов

Ответить
0

А пользователи, к слову, порой жалуются даже на то, что CVV звездочками не закрывается - "НЕБЕЗОПАСНО". Хотя в реальности нет никакой разницы (ну кроме как подглядеть через плечо)

Ответить
–1

Нет, сертификат обеспечивает приватность передачи данных между пользователем и сервером. То есть исключают вмешательство третьих лиц в этот интимный процесс. При чем сам сайт гипотетически вполне может быть сам мошенником. 

Расширенные сертификаты ещё подтверждают факт, например, существования орг. Рога и копыта, указанной на самом сайте.

Ответить
0

 Расширенные сертификаты ещё подтверждают факт, например, существования орг. Рога и копыта, указанной на самом сайте.

Это точно, забыли в комментах про это.

Ответить
1

На всех своих сайтах использую LetEncrypt. Ставлю и продлеваю с помощью утилиты certbot. Продлеваются автоматически через crontab, за 3+ года ни разу не было ситуации чтобы один из сертификатов не продлился в автоматическом режиме.

Ответить
0

SSL Вольнова работает.

Ответить
0

Comodo - один из стандартов в этой сфере, платно, но совместимость с определением на всех платформах. Пользуюсь сервисом лет 10, покупались сертификаты от года до пяти.

Последний раз покупал на год, цена вопроса 10 евро, сертификат под конкретный домен.

Кстати надо смотреть, либо он под множество доменов - дорого, либо под конкретный один - вменяемых денег стоит, либо enterprise - для всего и вся, стоит соответственно.

Ответить
–4

Если тебе плевать на сохранность данных, то просто введи регистрацию с приёмом соглашения, если домен не европейский, то прокатит 

Ответить
0

Нет, не плевать

Ответить

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovz", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-250597-0", "render_to": "inpage_VI-250597-0-1134314964", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=clmf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudo", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "chvjx", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbl", "p2": "gnwc" } } } ] { "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJwcm9qZWN0SWQiOiI1ZTRmZjUyNjYyOGE2Yzc4NDQxNWY0ZGMiLCJpYXQiOjE1ODI1MzY0Nzd9.BFsYFBgalfu_3oH9Fj-oBhiEgVx976VQfprRahAELFQ", "release": "44bde710" }
{ "jsPath": "/static/build/dtf.ru/specials/DeliveryCheats/js/all.min.js?v=05.02.2020", "cssPath": "/static/build/dtf.ru/specials/DeliveryCheats/styles/all.min.css?v=05.02.2020", "fontsPath": "https://fonts.googleapis.com/css?family=Roboto+Mono:400,700,700i&subset=cyrillic" }