SSL-сертификаты Symantec теперь бесплатны. Как быстро проверить, надо что-то делать или нет

Защита поддоменов

Доступен частным лицам

Доступен для компаний

Шифрование

Подтверждение бизнес-уровня компании владельца

Поддержка IDN

Поднятие уровня шифрования для устаревших браузеров и браузеров не поддерживающих высокий уровень шифрования

Печать доверия

Простой способ попасть в топ Google!

Популярный поисковик изменил правила ранжирования: теперь сайты, использующие HTTPS-соединение, поднимаются выше в результатах поиска. Став обладателем SSL-сертификата Symantec , вы сможете не только надежно защитить свой сайт, но и привлечь намного больше пользователей.

SSL-сертификат — уникальная цифровая подпись вашего сайта. Прежде всего, она обладает тремя наиболее важными и необходимыми функциями:

• Шифрует передаваемую информацию (логины, пароли, данные дебетовых карт и многое другое.
• Подтверждает подлинность ресурса. Таким образом он является гарантией того, что сайт принадлежит именно вам или вашей организации, а не мошенникам.
• Обеспечивает целостность передаваемых данных. То есть, тот факт, что при обмене информацией между сервером и браузером пользователя данные защищены от подмены.

Компания Symantec (VeriSign) является крупнейшим поставщиком SSL-сертификатов в мире, а также одним из популярнейших сертификационных центров среди ТОП-100 банков и ТОП-500 веб-сайтов. Сертификаты от Symantec (VeriSign) позволяют повысить эффективность бизнеса Вашего сайта. SSL сертификаты Symantec (VeriSign) — это элитный уровень сертификатов безопасности со стандартной и расширенной проверкой, который отлично подходит для крупных компаний, заботящихся о своей репутации. Сертификаты SSL «Симантек» столь востребованы ввиду наиболее высокого уровня доверия среди пользователей. Наличие SSL-сертификата не только обеспечит защиту информации, передаваемой между сайтом и клиентами, но и помогают подтвердить безопасность всего сайта в целом. Сайты, имеющие SSL-сертификаты от Symantec (VeriSign) пользуются максимальной степенью доверия: безопасность ссылки, безопасность сайта, безопасность сделки.

Почему вам стоит выбрать SSL-сертификат Symantec (VeriSign):

• Шифрование 40-256 бит, длина ключа подписи мин. 2048 бит;
• тип шифрования: RSA, DSA или ECC;
• хеширование SHA-2
• возможна расширенная проверка EV на русском языке
• динамическая печать защиты

В компании сайт у вас есть возможность подобрать себе наиболее подходящий SSL-сертификат от компании Symantec (VeriSign).

Если Вы по какой-то причине озадачились бесплатным SSL-сертификатом для своего сайта, то я Вам советую сто раз подумать прежде чем связываться с бесплатными сертификатами, а точнее с центрами, которые выдают таковые сертификаты. Как и все бесплатное, бесплатные сертификаты своего рода сыр в мышеловке, в эту мышеловку попался и я. Наверняка Вы слыхали про китайские сертификаты, которые выдавались аж на три года, а тут ещё гугл с яндексом как сговорились, говорят мол будем делать а-я-яй сайтам без сертификатов, а тут уже и хостеры подхватили эту тему и давай сертификаты впаривать налево и направо не разбираясь надо это вообще сайту или нет.

Наличие сертификата это всегда здорово, особенно если это сертификат, например, типа EV стоимостью несколько тысяч рублей в год. Если на Вашем сайте установить такой сертификат, то в адресной строке рядом с адресом Вашего сайта поселится название Вашей организации:

Но такой сертификат могут получить только юридические лица после длительной проверки организации. Но мы то хотим халявы!

Одним из популярных центров, которые которые раздают халявные бесплатные сертификаты, является StartSSL. Долгое время люди переводили свои сайты на эти сертификаты, писали кучи статей о том, как получить бесплатный сертификат. Затем всем известные WoSogn со своими сертификатами на 3 года. Вот и я повелся на халяву прикрутив себе халявный сертификат от наших китайских друзей. Был ли от этого явный прирост посещаемости? Вряд ли. Во всяком случае прирост был не больше чем погрешность ибо динамика роста практически осталась той же какой была и до установки сертификата.

Все шло замечательно пока Opera, которой я пользуюсь в качестве основного браузера, не показала мне интересное сообщение при очередном посещении моего сайта:

«Твою же ж мать….» — прозвучало в моей голове, а потом я пошел проверять как сайт открывается в других браузерах, как оказалось на тот момент только Opera послала нафик сертификат от WoSogn. К слову сказать на тот момент основным зеркалом сайта был домен с www, мне бы дураку свалить по тихой с этого SSL, но дурная голова, как понимаете, не дает покоя. В итоге был взят халявный сертификат от хостера на 1 год и вот тут меня ждала западня, поскольку данный сертификат был типа «1d», то есть сертификат выдается только на домен site.ru, а на www.site.ru сертификата нет. Вот и получилось что я своими руками обвалил трафик своего сайта.

Вероятные проблемы с сайтом

Обратите внимание на то, что даже платные сертификаты могут не поддерживаться некоторыми браузерами, по этой причине перед тем, как выбрать центр сертификации обратите внимание на то, какие браузеры поддерживают корневые сертификаты этого центра.

В случае с бесплатными сертификатами, центр, который выдал Вам сертификат, не несет перед Вами ответственности и ничего не гарантирует и в случае если сертификаты будут отозваны или их перестанут поддерживать основные браузеры, то у Вас, точнее у Вашего сайта возникнут проблемы в виде такоо сообщения:

Как видите я не могу зайти на такой сайт даже при большом желании, браузер мне этого в принципе не дает. В конечном итоге от бесплатного сертификата пользы Вы не получите, а вот проблем от непредвиденных обстоятельств Вы наверняка огребете.

А вот собственно дополнение спустя несколько месяцев. Привожу статистику посещаемости. Проблемы с бесплатным сертификатом, а точнее проблемы вызванные с отказом поддержки сертификатов браузерами, привели к падению трафика, которое сайт отыграл только в августе (см. фото).

Как видите вместо роста в апреле был спад, учитывая что рост должен был составить примерно 13%, то из-за, простите, сраного сертификата, я не досчитался нескольких тысяч посетителей.

Какие типы сертификатов бывают

Новичкам, которые решили приобрести себе сертификат для своего сайта на первых порах достаточно трудно разобраться в их обозначении и предназначении, а их, этих типов, достаточно много и у каждого не только свое предназначение, но и стоимость существенно отличается.

По типу верификации сертификаты делятся на три типа:

1. EV SSL — это сертификаты не только повышенной надежности, но и стоимости и выдается только организациям. Перед выпуском сертификата проверяется право владения доменом, а организация, которая запросила сертификат, подвергается тщательной проверке.
2. OV SSL — аналогичен сертификату EV, но с той лишь разницей что доступен как юридическим лицам, так и физическим лицам. Организация или физическое лицо, которые запросили сертификат, подвергается не такой серьезной проверке.
3. DV SSL — этот тип сертификата подразумевает только проверку владения доменом и выпускается автоматически. Это самый дешевый сертификат.

Сертификаты делятся по поддержке доменов на три типа:

1. 1d — данный тип сертификат выдается только для одного домена и если Вы хотите сертификаты для домена с www и без него, то придется купить два сертификата.
2. 1d+www — этот тип сертификата позволяет использовать домен как с www, так и без него. Если хотите использовать адрес www.site.ru, то Вам необходимо приобрести сертификат именно этого типа. Заказывать необходимо на домен с www.
3. w.card — самый дорогой тип сертификата поскольку выдается на домен и все поддомены включая www. Такой тип сертификатов нужен разве что крупным проектам.

Конечно же бесплатные сертификаты не имеют подобной типизации поскольку Вам дают возможность выпустить кучу сертификатов на каждый домен, то есть один сертификат на site.ru, второй на www.site.ru, третий на blog.site.ru и т.д.

Но если углубиться в тему сильнее, то типов сертификатов несколько больше:

1. Esential SSL — самый простой и дешевый тип сертификатов, которые выдается на 1 домен. Выдается как правило очень быстро и проверяется только владение доменом. Бесплатные сертификаты все без исключения именно этого типа.
2. Instant SSL — данный тип сертификатов выдается на 1 домен и доступен как физическим так и юридическим лицам. Проверяется владение доменом и регистрационные данные компании или личности физического лица.
3. SGC — тип сертификатов аналогичный Instant SSL, но с поддержкой повышения уровня шифрования. Актуально для тех, кому необходима поддержка старых браузеров с 40 и 56 битовым шифрованием. На вскидку, на ум приходят только банки или большие корпорации с кучей старого железа.
4. Wildcard — как и писалось выше, данный тип сертификатов выдается для домена и все его поддомены. Если вдруг решите купить такой сертификат, то есть смысл посчитать количество поддоменов и прикинуть что дешевле, один сертификат на каждый поддомен или w.card-сертификат.
5. SAN — полезен тем, кто хочет использовать один сертификат на нескольких разных доменов, которые размещены на одном сервере. Насколько мне известно данный сертификат обычно выдается на 5 доменов и увеличение происходит на 5. То есть если Вам нужен сертификат на 7 разных доменов, то скорее всего придется прикупить сертификат на 10 доменов.
6. EV (Extended Validation) — этот тип сертификатов выдается только юридическим лицам, коммерческим, некоммерческим или государственным организациям и подразумевает глубокую проверку организации. На выпуск сертификата уходит от 10 до 14 дней.
7. EV Wildcard — аналогично Wildcard но с расширенной проверкой и доступен только юридическим лицам, коммерческим, некоммерческим или государственным организациям.
8. EV SGC — аналогично SGC но с расширенной проверкой и доступен только юридическим лицам, коммерческим, некоммерческим или государственным организациям.

Сертификаты c поддержкой IDN

IDN (англ. Internationalized Domain Names) — доменные имена, которые содержат символы национального алфавита, например сайт.рф.

Не все центры сертификации указывают наличия поддержки IDN-доменов, но и далеко не все имеют эту поддержку и вот список некоторых из центров, которые поддерживают такие домены:

• Thawte SSL123 Certificate
• Thawte SSL Web Server
• Symantec Secure Site
• Thawte SGC SuperCerts
• Thawte SSL Web Server Wildcard
• Thawte SSL Web Server with EV
• Symantec Secure Site Pro
• Symantec Secure Site with EV
• Symantec Secure Site Pro with EV

Где и как получить сертификат

Поскольку я категорически не советую Вам использовать бесплатный сертификат, то вариантов у нас в принципе не так уж и много. Что бы не заморачиваться нюансами процесса выпуска сертификата с последующей установкой, то есть смысл рассмотреть переезд к хостеру, который сделает все за Вас, Вам останется всего лишь это оплатить.

Поэтому вместо того, что бы заморачиваться изучением темы SSL-сертификатов, лучше заморочиться хостером, который сделает все за Вас. Из всего великого множества хостинов могу посоветовать следующие:

Хостинг от СпейсВеб

Услугами этого хостера я пользуюсь достаточно давно и претензий к его работ нет в принципе. Перед нами достаточно богатый выбор, начиная от бесплатного, заканчивая EV:

Как мы видим нам дают возможность получить бесплатный сертификат (на 1 год, после завершения срока действия сертификата необходимо будет приобрести платный), а так же приобрести более расширенный. На данный момент представлено всего три центра сертификации:

• Thawte
• GeoTrust
• Symantec

Если вдруг решитесь заказать там хостинг, то укажите промокод: UMMIAZED

Хостинг от REG.RU

Тут к нашему вниманию сертификаты только от GlobalSign, во всяком случае на странице приведены сертификаты только от этого центра.

Самый дешевый сертификат AlphaSSL за 1499 рублей:

Но кроме всего прочего REG.RU обещает бесплатный сертификат на год, того же GlobalSign при заказе услуги хостинга. Стоит отметить тот факт, что в отличии от СпейсВеб, который предлагает бесплатный SSL-сертификат на год только 1d без www, то REG.RU предлагает сертификат 1d+www. Собственно ссылка на новость: https://www.reg.ru/company/promotions/5063

Хостинг от Majordomo

Ничего не могу сказать по поводу данного хостинга, привожу его в пример лишь по причине его популярности. Данный хостинг предлагает нам сертификаты от Comodo и за самый простой просит 990 рублей.

Акций с бесплатными сертификатами у этого хостера нет, во всяком случае я таковых там не обнаружил.

UPD. ЛидерТелеком

На просторах сети попался мне данный сервис. Чем он привлек мое внимание, так это принципом подбора сертификата. Производится он простеньким опросом, где Вы выбираете нужные пункты, которые характеризуют Вашу ситуацию и в конечном итоге Вам предлагается подходящий вариант за умеренную цену.

Для подбора сертификата достаточно пройти на страницу сервиса и потыкать варианты.

Выводы

Для себя я окончательно решил, бесплатные SSL-сертификаты — категорическое «нет». Пользы практически никакой, а проблемы, в случае отказа в поддержке таких сертификатов, будут серьезные. На данный момент (Апрель 2017) у меня установлен бесплатный сертификат Symantec Site Starter на один год, по истечении этого года мне придется купить другой сертификат, но у меня есть время подумать перейти ли мне на http или отдать три тысячи за нормальный сертификат.

Не то, что бы я стремаюсь http, скорее мне лень перелопачивать свои статьи в поисках ресурсов подгружаемых через https. Если бы такая статья была написана ранее и попалась бы мне на глаза до того как я решил приобрести себе бесплатный сертификат от WoSign, то я бы отказался в принципе от перехода на https. Решился бы на него только тогда, когда в этом появилась бы жизненная необходимость.

Постепенного отказа в доверии и перевыдачи старых сертификатов Symantec SSL, отмены статуса EV, а также уменьшении срока действия будущих сертификатов до ≤9 месяцев. Это результат расследования инцидентов с сертификатами, которые были выданы без разрешения владельцев, и действующих практик в компании.

Расследование Google продолжалось два месяца с января по март 2017 года. Чем дольше оно продолжалось, тем больше вопросов возникало к Symantec и вскрывалось нарушений в выдаче сертификатов. Ещё не стёрлась из памяти история 2015 года , когда Symantec самовольно выпустил сертификат на домены Google, Opera и ещё нескольких организаций.

Тогда Symantec объяснила свои действия следующим образом: «Небольшое количество тестовых сертификатов было некорректно выпущено для внутреннего пользования во время тестирования. Все из этих тестовых сертификатов и ключей были все время под нашим контролем и были незамедлительно отозваны, когда мы узнали о проблеме. Не было никакого воздействия на какие-либо домены и никакой опасности для сети Интернет». Сотрудники, нарушившие политики и допустившие данный инцидент, были уволены.

Однако проведённый аудит выявил 187 сертификатов на существующие домены, выданные без ведома владельцев, и 2458 сертификатов на несуществующие домены.

После того инцидента стало ясно, что у Symantec с безопасностью совсем плохо. Компания Google потребовала от неё выполнения ряда мер, в том числе поддержки всеми новыми сертификатами фреймворка Certificate Transparency , проведения дополнительного аудита, публикации отчёта по инциденту, привлечения независимых аудиторов.

Прошло чуть больше года с момента прошлого инцидента - и сейчас Google снова вернулась к провинившемуся центру сертификации Symantec на предмет проверки его соответствия правилам Root Certificate Policy в браузере Chrome.

С самого начала стало понятно, что дела в компании не сильно улучшились. В начале расследования рассматривался первоначальный набор из 127 сертификатов, но в свете вскрывшихся нарушений его расширили до 30 000 штук, выданных за несколько лет.

Результаты расследования Google сформулировала следующим образом: «У нас больше нет уверенности в правилах и практике выдачи сертификатов Symantec за последние несколько лет. Чтобы восстановить уверенность и безопасность наших пользователей, мы предлагаем следующие шаги:

• Сокращение признанного срока действия вновь выданных сертификатов Symantec до девяти месяцев или меньше, чтобы минимизировать какое-либо влияние на пользователей Google Chrome от любых дальнейших некорректных выдач, которые могут возникнуть.
• Постепенный отказ в доверии, охватывающий несколько выпусков Google Chrome, всем ранее выданным сертификатам Symantec, с требованием повторного подтверждения и замены.
• Отказ в признании статуса EV (Extended Validation) для сертификатов, выданных Symantec, до тех пор, пока сообщество не будет уверено в правилах и практике Symantec, но не ранее чем через 1 год».

• Chrome 59 (Dev, Beta, Stable): 33 месяца (1023 дня)
• Chrome 60 (Dev, Beta, Stable): 27 месяцев (837 дней)
• Chrome 61 (Dev, Beta, Stable): 21 месяц (651 день)
• Chrome 62 (Dev, Beta, Stable): 15 месяцев (465 дней)
• Chrome 63 (Dev, Beta): 9 месяцев (279 дней)
• Chrome 63 (Stable): 15 месяцев (465 дней) - эта версия выходит на рождественских каникулах, когда во многих компаниях выходные
• Chrome 64 (Dev, Beta, Stable): 9 месяцев (279 дней)

Нужно понимать, что Symantec - один из крупнейших центров сертификации в интернете. Так, в январе 2015 года более 30% всех сертификатов в Сети были выданы именно этим центров. Правда, с тех пор произошли значительные изменения. Сейчас лидером является Comodo с 42,7%, а доля Symantec

Что компания Symantec предоставила возможность выдавать сертификаты минимум четырем организациями, однако не смогла обеспечить необходимый уровень наблюдения за их деятельностью и соблюдением стандартов обслуживания. В результате компания Google инициировала «процедуру прекращения доверия» к Symantec-сертификатам.

Чтобы исправить возникшую проблему, в Symantec решили продать технологию и PKI компании DigiCert. В конце октября 2017 года сделка была закрыта . Под катом рассказываем о подробностях «прекращения доверия» к сертификатам Symantec и последствиях для пользователей.

Почему продали

Как быть владельцам Symantec-сертификатов

1. Если ваш SSL-сертификат куплен до 1 июня 2016 года, а срок его действия заканчивается после 14 марта 2018 года, то перевыпустить сертификат нужно до середины марта. В этот период выходит Chrome 66, и его пользователи будут получать уведомления от Google о небезопасности вашего ресурса.
2. Если сертификат выдан в период с 1 июня 2016 года по 1 декабря 2017 года, то его нужно перевыпустить до 13 сентября 2018 года, то есть до выхода беты Chrome 70. Отметим, что если вы перевыпускали сертификат до 1 декабря прошлого года, вам придется заменить его повторно.
3. Сертификаты, приобретенные уже после 1 декабря 2017 года, менять не требуется. Однако мы все же советуем следить за новостями в этой области, на случай возникновения непредвиденных обстоятельств.

Главная » Пдд » SSL-сертификаты Symantec теперь бесплатны. Как быстро проверить, надо что-то делать или нет