Поговорим о бесплатных SSL/TLS сертификатах. Тех самых, что добавляют в строку браузера зеленый замочек и https перед названием сайта. Зачем они нужны и как влияют на поисковую выдачу уже многим известно. Вопрос в другом - в каких случаях стоит за них платить, а когда выбрать бесплатный вариант? Вот это и давайте обсудим.
Что самое главное в сертификате? Правильно - чтобы без проблем работал во всех браузерах. Остальные опции носят скорее маркетинговый характер. Сами посудите, какой будет толк от стойкого шифрования и супер-длинного ключа, если хотя бы один из десяти браузеров не будет этот сертификат поддерживать. Будете терять посетителей еще до того, как они зайдут на сайт.
Не хотите терять пользователей и будущих клиентов, готовьте кошелек. Чем известнее бренд центра сертификации, тем выше цена и больше возможностей. Разброс по деньгам большой, тут ситуация как с выбором доменного имени - много посредников, много наценок и переплат. Крупные компании еще тем хороши, что давно на рынке и успели напихать корневые сертификаты в устаревшие браузеры. Куча людей пользуется старым софтом, страшно даже представить.
Пользователю, по большому счету, без разницы, какой там у вас сертификат, от какого бренда. Играет роль лишь наличие или отсутствие. Зеленый замочек и https это символ доверия, он сигнализирует клиенту, что владельцы сайта серьезно подходят к безопасности личных данных и на сайте нет вирусов. Поэтому сколько платить за сертификат дело сугубо статусное и зависит от вашего отношения к бизнесу, тенденциям и моде.
Теперь о бесплатных. С технической точки зрения они ничем не отличаются, функционал точно такой же. Проверяют подписи и устанавливают зашифрованное соединение с сайтом. Единственное, не все браузеры доверяют и не все хорошо с устаревшими версиями. В остальном нормально.
Бесплатные сертификаты идеально подойдут малому бизнесу и частным лицам. Личные данные пользователей и номера платежных карт будут в безопасности, а что еще требуется. Не придется платить за статус, который никто по достоинству не оценит.
Осталось, наверное, одно приличное место, где выдают бесплатные сертификаты и это сервис Let’s Encrypt. Почему не говорю о StartCom/StartSSL? Год назад StartSSL сменил дизайн и даже стал нормально выглядеть. Наверное, это связано с тем, что они отошли к китайской компании WoSign, которая тоже занимается сертификатами. Осенью прошлого года Google сообщил, что из-за ряда технических ограничений и проблем не будет доверять WoSign и StartCom. Начиная с 56 версии браузер Chrome не будет их поддерживать. Поэтому, если на сайтах установлены сертификаты StartSSL, они не работают в свежем Chrome уже с января 2017 года.
Продолжим о Let’s Encrypt. Сервис быстро набирает популярность и активно развивается, пусть даже срок действия сертификата только 3 месяца. Однако, автоматическое обновление проходит без проблем. У сервиса много известных спонсоров: moz://a, Cisco, OVH, Chrome, facebook, Фонд электронных рубежей и другие. Ему можно доверять.
Let’s Encrypt интегрируется с другими сервисами и проектами. Например с Trellis - достаточно подправить две переменные в конфиге. Trellis это набор "рецептов" для автоматической настройки сервера для Wordpress сайтов. Соль в том, что локальное окружение разработчика максимально приближено к конфигурации продакшн сервера, вернее, одно и то же. Работая над сайтом у себя дома, будете уверенным в его поведении на удаленном сервере.
Шифруйте свои сайты бесплатно. Это безопасно, просто и выгодно. Платите за сертификат тогда, когда это насущно необходимо. Не оставляйте номера карт и личные данные на сайтах без https соединения. За безопасность в интернете отвечаете только вы сами.
Комментарии неавторизованных пользователей перед публикацией проходят премодерацию