Поговоримо про безкоштовні SSL/TLS сертифікати. Саме тих, що додають в рядок браузера зелений замочок і https перед назвою сайту. Навіщо вони потрібні, та як впливають на пошукову видачу, вже відомо багатьом. Питання в іншому — в яких випадках варто за них платити, а коли вибрати безкоштовний варіант? Ось це й давайте обговорімо.
Що найголовніше в сертифікаті? Правильно — щоб без проблем працював у всіх браузерах. Інші опції мають скоріше маркетинговий характер. Розміркуйте самі, який буде сенс від стійкого шифрування й супердовгого ключа, якщо хоча б один з десяти браузерів не буде цей сертифікат підтримувати. Будете втрачати відвідувачів ще до того, як вони зайдуть на сайт.
Не хочете втрачати користувачів і майбутніх клієнтів — готуйте гаманець. Чим відоміший бренд центру сертифікації, тим вища ціна й більше можливостей. Різниця у грошах велика: ситуація як з вибором доменного імені — багато посередників, багато націнок і переплат. Великі компанії кращі тим, що давно на ринку та встигли напхати кореневі сертифікати в застарілі браузери. Адже купа людей користується старим софтом, страшно навіть уявити.
Користувачу взагалі то нема різниці, який там у вас сертифікат та якого бренду. Грає роль лише його наявність або відсутність. Зелений замочок і https - це символ довіри, він сигналізує клієнту, що власники сайту серйозно підходять до безпеки особистих даних і на сайті немає вірусів. Тому скільки платити за сертифікат суто статусна справа, яка залежить від вашого ставлення до бізнесу, тенденцій та моди.
Тепер про безкоштовні. З технічної точки зору вони анічим не відрізняються, функціонал точно такий: перевіряють підписи та встановлюють зашифроване з'єднання з сайтом. Єдине, що не всі браузери їм довіряють і не все добре з застарілими версіями. В іншому — нормально.
Безкоштовні сертифікати ідеально підійдуть малому бізнесу й приватним особам. Особисті дані користувачів і номери платіжних карт будуть у безпеці, чи потрібно ще щось? Не доведеться платити за статус, який ніхто належно не поцінує.
Залишилося, напевно, одне пристойне місце, де видають безкоштовні сертифікати - це сервіс Let's Encrypt. Чому не кажу про StartCom/StartSSL? Рік тому StartSSL змінив дизайн і навіть став нормально виглядати. Напевно, це пов'язано з тим, що вони відійшли до китайської компанії WoSign, яка теж займається сертифікатами. Восени минулого року Google повідомив, що через низку технічних обмежень і проблем не довірятиме WoSign і StartCom. Починаючи з 56 версії браузер Chrome не буде їх підтримувати. Тому, якщо на сайтах встановлені сертифікати StartSSL, вони не працюють у свіжому Chrome вже з січня 2017 року.
Продовжимо про Let's Encrypt. Сервіс швидко набирає популярність і активно розвивається, нехай навіть термін дії сертифіката лише 3 місяці. Однак, автоматичне оновлення проходить без проблем. Сервіс має багато відомих спонсорів: moz://a, Cisco, OVH, Chrome, facebook, Фонд електронних рубежів та інші. Йому можна довіряти.
Let's Encrypt інтегрується з іншими сервісами та проєктами. Наприклад, з Trellis - треба тільки підправити дві змінні в конфігу. Trellis - це набір "рецептів" для автоматичної настройки сервера для Wordpress сайтів. Річ у тому, що локальне оточення розробника максимально наближене до конфігурації продакшн сервера, точніше, це одне й те ж. Працюючи над сайтом у себе вдома, будете впевненим у його поведінці на віддаленому сервері.
Шифруйте свої сайти безкоштовно. Це безпечно, просто і вигідно. Сплачуйте за сертифікат тоді, коли це дійсно необхідно. Не залишайте номери карт і особисті дані на сайтах без https з'єднання. За безпеку в інтернеті відповідаєте тільки ви самі.
Коментарі неавторизованих користувачів перед публікацією проходять премодерацію