16.03.2016 | 01:59 Экономика

Теперь не нужно платить за DV (domain validated) TLS/SSL сертификаты (далее просто «TLS»). Компания Symantec, доминирующий игрок на рынке, собирается раздавать их в рамках программы партнерства с сервисами хостинга под названием Encryption Everywhere.

Бесплатный open-source центр сертификации Let’s Encrypt, находящийся в ведении Security Research Group Internet (ISRG), появился в Интернете в сентябре прошлого года. Недавно они выпустили свой миллионный сертификат.

Symantec, возможно, считает, что пользователи признают и доверяют имени Symantec больше, чем «Let’s Encrypt», но даже если это так, эти пользователи совершают ошибку. Независимо от того, кто выдает сертификат DV, он очень мало говорит о подлинности сайта.

Сертификаты TLS выполняют две функции: предлагают открытый ключ для шифрования коммуникаций, а также обеспечивают проверку подлинности сайта. Шифрования всегда можно было выполнить с помощью самоподписанного сертификата, который вы можете сделать сами бесплатно. Проблема состоит в том, что современные браузеры выдают до 5-ти предупреждений при просмотре сайта, работающего с самоподписанным сертификатом, и заставляют вас клинкнуть несколько раз, чтобы убедиться, что вы осознаете, что делаете. Это странный подход, учитывая, что браузеры не раздражают вас, когда вы попадаете на сайт без каких-либо TLS-сертификатов.

Такой подход также предполагает, что DV-сертификат, выданный доверенным центром сертификации, демонстрирует значимый уровень аутентификации. Но так ли это? Да, но не в достаточно высокой степени, чтобы обычные пользователи, которые не озадачиваются тщательными проверками сертификатов сайта, чувствовали себя в безопасности. Наличие сертификата свидетельствует о том, что лицо, получившее сертификат, имело доступ к учетной записи электронной почты зарегистрированного административного контакта сайта. Тот факт, что любой человек может легко получить бесплатный DV сертификат от респектабельного Let’s Encrypt, а не от коммерческого центра сертификации, еще более ухудшает ситуацию.

Есть более сильные формы сертификатов TLS: OV (Organization Validation) и EV (Extended Validation). Для получения OV-сертификата, в дополнение к доказательству того, что заявитель имеет административный контроль над доменом, ЦС должен, в соответствии с основными требованиями CA/Browser Forum:

«проверить имя и адрес заявителя, используя надежные источники информации, такие как правительственное учреждение в юрисдикции правотворчества заявителя, существование или подтверждение из надежной базы данных третьей стороны. CA также подтверждает подлинность запроса сертификата через надежные средства связи с организацией (то есть они проверяют, что лицо, запрашивающее сертификат, является уполномоченным работником/агентом подписывающейся организации). Для получения сертификатов, выданных физическим лицам, СА проверяет идентичность индивида с использованием выпущенного правительством удостоверения личности с фотографией, которое проверяется для индикации изменений или фальсификации».

В организации работы инфраструктуры, нарушениями при подготовке отчётности и злоупотреблениями , которые привели к выдаче сертификатов уровня EV (Extended Validation) без требуемых проверок, в настоящее время Google и Mozilla планируют процесс утраты доверия к сертификатам Symantec .

Компания Symantec согласилась с 1 декабря 2017 года ввести в строй новый процесс выдачи сертификатов, при котором компания не будет иметь своего корневого сертификата и будет выступать агентом другого удостоверяющего центра, выполняя роль SubCA (Subordinate Certificate Authority), работающего под внешним контролем (Managed CA). Сертификаты Symantec, выданные после 1 декабря 2017 года, не будут подпадать под блокировку и, судя по всему, продолжат работу.

В 2010 году Symantec за сумму в 1.28 млрд долларов приобрёл бизнес аутентификации у компании VeriSign, став, таким образом, одним из крупнейших удостоверяющих центров (с долей в 14% всех сертификатов в мире). Однако даже такие масштабы (и ожидаемые в связи с этим рост внимания к собственным инфраструктуре и процессам) не позволили компании вести бизнес полностью корректно, что привело, в конце концов, к множественным претензиям со стороны производителей браузеров.

В частности, очень острой оказалась ситуация с выдачей EV-сертификатов. Как известно, сертификаты уровня Extended Validation (EV) подтверждают заявленные параметры идентификации владельца, и, по правилам, для их получения требуется проведение проверки документов о принадлежности домена, а также физическое присутствие владельца ресурса. В случае Symantec подобная проверка не проводилась должным образом, т.е. нет гарантии, что полномочия владельца всегда проверялись. Весной 2017 года в Google обратили внимание на то, что Symantec предоставил доступ к инфраструктуре удостоверяющего центра как минимум четырём сторонним организациям, которым предоставлены полномочия по выдаче сертификатов. При этом компания Symantec не обеспечила должный уровень надзора за ними и допустила несоблюдение ими установленных стандартов обслуживания.

В ответ на запросы, компания Symantec также не могла предоставить в установленные сроки отчёты с разбором имевшихся инцидентов. В частности, исследователями безопасности было выявлено, что в январе 2017 удостоверяющим центром Symantec были сгенерированы 108 неправильно выданных сертификатов. Ранее, компания Symantec уже была вовлечена в скандал, связанный с выдачей сертификатов посторонним на чужие домены, в частности осенью 2015 года было уволено (ссылка на архивную копию страницы) несколько сотрудников, которые были уличены в выдаче тестовых сертификатов на домены (в том числе на домены google.com , gmail.com и gstatic.com ), без получения согласия владельцев доменов - неудивительно, таким образом, что Google отнеслась к ситуации без лишней сердечности.

Для того, чтобы сгладить последствия прекращения доверия к сертификатам Symantec и предоставить пользователям время обновить свои сертификаты, разработчики Chrome пошли на компромисс и согласились провести процесс поэтапно, дав Symantec возможность перестроить свои организационные процессы, устранить проблемы в инфраструктуре и перейти на новые корневые сертификаты.

Первый этап прекращения доверия запланирован на выпуск Chrome 66 , релиз которого ожидается 17 апреля 2018 года. На этом этапе будет утрачено доверие к сертификатам Symantec, выписанным до 1 июня 2016 года. Следует отметить, что в Mozilla обсуждается предложение по применению первого этапа блокировки, начиная с 1 декабря 2017 года, т.е. на четыре месяца раньше, но, скорее всего, окончательно будет утверждена дата близкая к апрелю 2018 года. Google также рассматривал возможность блокировки в октябрьском и декабрьском выпусках Chrome 62 и 63, но отложил блокировку до Chrome 66, приняв во внимание пожелания отрасли.

Полное прекращение поддержки сертификатов Symantec ожидается в Chrome 70 (запланирован на 23 октября 2018 года). Mozilla планирует полностью прекратить доверие к сертификатам Symantec в Firefox 63 (16 октября 2018) или 64 (27 ноября 2018). Для избежания проблем, сайтам, имеющим сертификаты Symantec, рекомендуется не затягивать с обновлением сертификата. Утрата доверия также затронет сертификаты удостоверяющих центров GeoTrust, Thawte и RapidSSL, которые были связаны цепочкой доверия с корневым сертификатом Symantec.

В дальнейшем Symantec сможет параллельно провести полную реструктуризацию своей инфраструктуры, устранив слабые места в текущей цепочке взаимодействия с подчинёнными организациями и партнёрами, которым делегированы права выдачи сертификатов. Symantec также не исключает возможность продажи подразделения, занимающегося выдачей сертификатов.

Вот так, компания, столько успешно умудрявшаяся продавать саму идею безопасности, уже не в первый раз оказывает в центре скандалов и проблем, связанных с предлагаемыми ею решениями.

Что делать, если вы купили сертификат у Symantec или у одной из связанных с ними компаний? Выполнить штатный перевыпуск сертификата у своего CA. При заказе напрямую это делается на сайте CA, при заказе через партнёра можно перевыпустить на сайте партнёра или на централизованном

Если Вы по какой-то причине озадачились бесплатным SSL-сертификатом для своего сайта, то я Вам советую сто раз подумать прежде чем связываться с бесплатными сертификатами, а точнее с центрами, которые выдают таковые сертификаты. Как и все бесплатное, бесплатные сертификаты своего рода сыр в мышеловке, в эту мышеловку попался и я. Наверняка Вы слыхали про китайские сертификаты, которые выдавались аж на три года, а тут ещё гугл с яндексом как сговорились, говорят мол будем делать а-я-яй сайтам без сертификатов, а тут уже и хостеры подхватили эту тему и давай сертификаты впаривать налево и направо не разбираясь надо это вообще сайту или нет.

Наличие сертификата это всегда здорово, особенно если это сертификат, например, типа EV стоимостью несколько тысяч рублей в год. Если на Вашем сайте установить такой сертификат, то в адресной строке рядом с адресом Вашего сайта поселится название Вашей организации:

Но такой сертификат могут получить только юридические лица после длительной проверки организации. Но мы то хотим халявы!

Одним из популярных центров, которые которые раздают халявные бесплатные сертификаты, является StartSSL. Долгое время люди переводили свои сайты на эти сертификаты, писали кучи статей о том, как получить бесплатный сертификат. Затем всем известные WoSogn со своими сертификатами на 3 года. Вот и я повелся на халяву прикрутив себе халявный сертификат от наших китайских друзей. Был ли от этого явный прирост посещаемости? Вряд ли. Во всяком случае прирост был не больше чем погрешность ибо динамика роста практически осталась той же какой была и до установки сертификата.

Все шло замечательно пока Opera, которой я пользуюсь в качестве основного браузера, не показала мне интересное сообщение при очередном посещении моего сайта:

«Твою же ж мать….» — прозвучало в моей голове, а потом я пошел проверять как сайт открывается в других браузерах, как оказалось на тот момент только Opera послала нафик сертификат от WoSogn. К слову сказать на тот момент основным зеркалом сайта был домен с www, мне бы дураку свалить по тихой с этого SSL, но дурная голова, как понимаете, не дает покоя. В итоге был взят халявный сертификат от хостера на 1 год и вот тут меня ждала западня, поскольку данный сертификат был типа «1d», то есть сертификат выдается только на домен site.ru, а на www.site.ru сертификата нет. Вот и получилось что я своими руками обвалил трафик своего сайта.

Вероятные проблемы с сайтом

Обратите внимание на то, что даже платные сертификаты могут не поддерживаться некоторыми браузерами, по этой причине перед тем, как выбрать центр сертификации обратите внимание на то, какие браузеры поддерживают корневые сертификаты этого центра.

В случае с бесплатными сертификатами, центр, который выдал Вам сертификат, не несет перед Вами ответственности и ничего не гарантирует и в случае если сертификаты будут отозваны или их перестанут поддерживать основные браузеры, то у Вас, точнее у Вашего сайта возникнут проблемы в виде такоо сообщения:

Как видите я не могу зайти на такой сайт даже при большом желании, браузер мне этого в принципе не дает. В конечном итоге от бесплатного сертификата пользы Вы не получите, а вот проблем от непредвиденных обстоятельств Вы наверняка огребете.

А вот собственно дополнение спустя несколько месяцев. Привожу статистику посещаемости. Проблемы с бесплатным сертификатом, а точнее проблемы вызванные с отказом поддержки сертификатов браузерами, привели к падению трафика, которое сайт отыграл только в августе (см. фото).

Как видите вместо роста в апреле был спад, учитывая что рост должен был составить примерно 13%, то из-за, простите, сраного сертификата, я не досчитался нескольких тысяч посетителей.

Какие типы сертификатов бывают

Новичкам, которые решили приобрести себе сертификат для своего сайта на первых порах достаточно трудно разобраться в их обозначении и предназначении, а их, этих типов, достаточно много и у каждого не только свое предназначение, но и стоимость существенно отличается.

По типу верификации сертификаты делятся на три типа:

1. EV SSL — это сертификаты не только повышенной надежности, но и стоимости и выдается только организациям. Перед выпуском сертификата проверяется право владения доменом, а организация, которая запросила сертификат, подвергается тщательной проверке.
2. OV SSL — аналогичен сертификату EV, но с той лишь разницей что доступен как юридическим лицам, так и физическим лицам. Организация или физическое лицо, которые запросили сертификат, подвергается не такой серьезной проверке.
3. DV SSL — этот тип сертификата подразумевает только проверку владения доменом и выпускается автоматически. Это самый дешевый сертификат.

Сертификаты делятся по поддержке доменов на три типа:

1. 1d — данный тип сертификат выдается только для одного домена и если Вы хотите сертификаты для домена с www и без него, то придется купить два сертификата.
2. 1d+www — этот тип сертификата позволяет использовать домен как с www, так и без него. Если хотите использовать адрес www.site.ru, то Вам необходимо приобрести сертификат именно этого типа. Заказывать необходимо на домен с www.
3. w.card — самый дорогой тип сертификата поскольку выдается на домен и все поддомены включая www. Такой тип сертификатов нужен разве что крупным проектам.

Конечно же бесплатные сертификаты не имеют подобной типизации поскольку Вам дают возможность выпустить кучу сертификатов на каждый домен, то есть один сертификат на site.ru, второй на www.site.ru, третий на blog.site.ru и т.д.

Но если углубиться в тему сильнее, то типов сертификатов несколько больше:

1. Esential SSL — самый простой и дешевый тип сертификатов, которые выдается на 1 домен. Выдается как правило очень быстро и проверяется только владение доменом. Бесплатные сертификаты все без исключения именно этого типа.
2. Instant SSL — данный тип сертификатов выдается на 1 домен и доступен как физическим так и юридическим лицам. Проверяется владение доменом и регистрационные данные компании или личности физического лица.
3. SGC — тип сертификатов аналогичный Instant SSL, но с поддержкой повышения уровня шифрования. Актуально для тех, кому необходима поддержка старых браузеров с 40 и 56 битовым шифрованием. На вскидку, на ум приходят только банки или большие корпорации с кучей старого железа.
4. Wildcard — как и писалось выше, данный тип сертификатов выдается для домена и все его поддомены. Если вдруг решите купить такой сертификат, то есть смысл посчитать количество поддоменов и прикинуть что дешевле, один сертификат на каждый поддомен или w.card-сертификат.
5. SAN — полезен тем, кто хочет использовать один сертификат на нескольких разных доменов, которые размещены на одном сервере. Насколько мне известно данный сертификат обычно выдается на 5 доменов и увеличение происходит на 5. То есть если Вам нужен сертификат на 7 разных доменов, то скорее всего придется прикупить сертификат на 10 доменов.
6. EV (Extended Validation) — этот тип сертификатов выдается только юридическим лицам, коммерческим, некоммерческим или государственным организациям и подразумевает глубокую проверку организации. На выпуск сертификата уходит от 10 до 14 дней.
7. EV Wildcard — аналогично Wildcard но с расширенной проверкой и доступен только юридическим лицам, коммерческим, некоммерческим или государственным организациям.
8. EV SGC — аналогично SGC но с расширенной проверкой и доступен только юридическим лицам, коммерческим, некоммерческим или государственным организациям.

Сертификаты c поддержкой IDN

IDN (англ. Internationalized Domain Names) — доменные имена, которые содержат символы национального алфавита, например сайт.рф.

Не все центры сертификации указывают наличия поддержки IDN-доменов, но и далеко не все имеют эту поддержку и вот список некоторых из центров, которые поддерживают такие домены:

• Thawte SSL123 Certificate
• Thawte SSL Web Server
• Symantec Secure Site
• Thawte SGC SuperCerts
• Thawte SSL Web Server Wildcard
• Thawte SSL Web Server with EV
• Symantec Secure Site Pro
• Symantec Secure Site with EV
• Symantec Secure Site Pro with EV

Где и как получить сертификат

Поскольку я категорически не советую Вам использовать бесплатный сертификат, то вариантов у нас в принципе не так уж и много. Что бы не заморачиваться нюансами процесса выпуска сертификата с последующей установкой, то есть смысл рассмотреть переезд к хостеру, который сделает все за Вас, Вам останется всего лишь это оплатить.

Поэтому вместо того, что бы заморачиваться изучением темы SSL-сертификатов, лучше заморочиться хостером, который сделает все за Вас. Из всего великого множества хостинов могу посоветовать следующие:

Хостинг от СпейсВеб

Услугами этого хостера я пользуюсь достаточно давно и претензий к его работ нет в принципе. Перед нами достаточно богатый выбор, начиная от бесплатного, заканчивая EV:

Как мы видим нам дают возможность получить бесплатный сертификат (на 1 год, после завершения срока действия сертификата необходимо будет приобрести платный), а так же приобрести более расширенный. На данный момент представлено всего три центра сертификации:

• Thawte
• GeoTrust
• Symantec

Если вдруг решитесь заказать там хостинг, то укажите промокод: UMMIAZED

Хостинг от REG.RU

Тут к нашему вниманию сертификаты только от GlobalSign, во всяком случае на странице приведены сертификаты только от этого центра.

Самый дешевый сертификат AlphaSSL за 1499 рублей:

Но кроме всего прочего REG.RU обещает бесплатный сертификат на год, того же GlobalSign при заказе услуги хостинга. Стоит отметить тот факт, что в отличии от СпейсВеб, который предлагает бесплатный SSL-сертификат на год только 1d без www, то REG.RU предлагает сертификат 1d+www. Собственно ссылка на новость: https://www.reg.ru/company/promotions/5063

Хостинг от Majordomo

Ничего не могу сказать по поводу данного хостинга, привожу его в пример лишь по причине его популярности. Данный хостинг предлагает нам сертификаты от Comodo и за самый простой просит 990 рублей.

Акций с бесплатными сертификатами у этого хостера нет, во всяком случае я таковых там не обнаружил.

UPD. ЛидерТелеком

На просторах сети попался мне данный сервис. Чем он привлек мое внимание, так это принципом подбора сертификата. Производится он простеньким опросом, где Вы выбираете нужные пункты, которые характеризуют Вашу ситуацию и в конечном итоге Вам предлагается подходящий вариант за умеренную цену.

Для подбора сертификата достаточно пройти на страницу сервиса и потыкать варианты.

Выводы

Для себя я окончательно решил, бесплатные SSL-сертификаты — категорическое «нет». Пользы практически никакой, а проблемы, в случае отказа в поддержке таких сертификатов, будут серьезные. На данный момент (Апрель 2017) у меня установлен бесплатный сертификат Symantec Site Starter на один год, по истечении этого года мне придется купить другой сертификат, но у меня есть время подумать перейти ли мне на http или отдать три тысячи за нормальный сертификат.

Не то, что бы я стремаюсь http, скорее мне лень перелопачивать свои статьи в поисках ресурсов подгружаемых через https. Если бы такая статья была написана ранее и попалась бы мне на глаза до того как я решил приобрести себе бесплатный сертификат от WoSign, то я бы отказался в принципе от перехода на https. Решился бы на него только тогда, когда в этом появилась бы жизненная необходимость.

1 декабря сертификаты группы Symantec начал выпускать удостоверяющий центр Digicert. Все купленные до этого дня SSL-сертификаты брендов Symantec, GeoTrust, Thawte и RapidSSL надо перевыпустить. Чем раньше, тем лучше. Весной 2018 года выйдет бета-версия, а осенью - стабильная версия браузера Chrome, где сайты с выпущенными до 1 декабря 2017 года сертификатами будут помечаться как небезопасные.

Google заботится о безопасности

SSL/TLS-сертификаты обеспечивают шифрованное соединение (HTTPS). Отдельные виды SSL могут также подтверждать деятельность владельца сайта. Защищенное соединение обязательно для ресурсов, собирающих какие-либо данные о пользователях. Без него Google Chrome оповещает пользователей о небезопасном соединении.

SSL-сертификаты выдают удостоверяющие центры. Правила выдачи определяются совместно с сообществом веб-браузера с открытым исходным кодом Chromium (куда входит Google, Яндекс и другие компании). Это же сообщество следит, чтобы правила соблюдались.

Google не доверяет Symantec

В марте 2017 года в Google сообщили о нарушении правил SSL-подразделением компании Symantec. Там сгенерировали ошибочные сертификаты, которые могли попасть к мошенникам. Но так как Symantec принадлежит около трети действующих сертификатов в интернете, в Google не стали разом считать их небезопасными, а придумали план постепенной утраты доверия. Его поддерживают и в Mozilla.

На фоне скандала бизнес Symantec по продаже SSL выкупила компания Digicert. Они изменили процесс выпуска, и с 1 декабря начали выдавать соответствующие требованиям сертификаты. Все SSL-сертификаты, полученные в Symantec до 1 декабря 2017 года, надо перевыпустить.

Что делать и когда

Группа Symantec включает бренды Symantec, GeoTrust, Thawte, RapidSSL. Если у вас один из этих сертификатов - его надо перевыпустить.

Время перевыпуска зависит от момента выхода версии Google Chrome, которая не будет поддерживать выданные Symantec сертификаты. Сначала блокирующее обновление выйдет для бета-версии, после - для стабильной. Бета-версией пользуется ограниченная аудитория, поэтому можно ориентироваться на стабильную.

Получили

Надо перевыпустить

Если срок действия вашего SSL-сертификата заканчивается раньше выхода версии Chrome - его не надо перевыпускать. Просто новый сертификат.

Как быстро проверить, надо что-то делать или нет

Для проверки используйте Chrome.

1. Откройте свой сайт.
2. Перейдите в меню Chrome - Дополнительные инструменты - Инструменты разработчика. В открывшемся окне выберите вкладку Безопасность (Security).
3. Если увидите зеленую надпись “This page is secure (valid HTTPS)” - все хорошо. Если “This page is not secure” - перевыпустите сертификат.

Как перевыпустить сертификат

Перевыпуск сертификата бесплатный. Обратитесь за помощью к нам в чате на сайте или Личном кабинете , если приобретали сертификат в ISPsystem, или к своему удостоверяющему центру/реселлеру. Процедура повторяет процесс выпуска: надо подтвердить право на домен и пройти проверку центра сертификации.

Важно! После перевыпуска срок действия сертификата не меняется.