Из-за роста использования шифрования в Интернете люди начали ассоциировать его с доверием. Это, конечно, создало эффект снежного кома, когда все больше веб-сайтов почувствовали стимул использовать шифрование SSL/TLS, чтобы не отставать. В частности, сайты электронной коммерции были одними из первых, кто почувствовал это давление, поскольку клиенты опасались совершать онлайн-транзакции без шифрования.
Когда дело касается веб-сайтов, принадлежащих юридическим лицам, шифрование становится чем-то большим, чем просто некий алгоритм, используемый для защиты онлайн-процессов. Это более сложный вопрос, с центрами сертификации (CA) и разными уровнями авторизации. Теперь, с появлением бесплатных центров сертификации, таких как Давайте зашифруем , люди задаются вопросом, почему вообще существуют коммерческие альтернативы. Они «лучше»? Или это еще не все?
Понимание центров сертификации и их важности
Чтобы использовать HTTPS и признать ваш веб-сайт «безопасным» (то есть строка URL становится зеленой, когда пользователь посещает ваш сайт), требуется определенная форма авторизации. Вам нужен сертификат SSL, выданный центром сертификации. Сертификат «подтвердит» ваше присутствие в Интернете как нечто «реальное». Существуют различные виды проверки:
- Проверка домена (DV), которая неопровержимо доказывает, что вы — это вы и являетесь владельцем домена, который хотите защитить.
- Организационная проверка (OV), которая доказывает, что вы являетесь владельцем домена, и проверяет некоторые сведения об организации, стоящей за вашим сайтом.
- Расширенная проверка (EV), которая выполняет тщательный и тщательный анализ вашего домена, вашей организации и ее юридического статуса.
Процесс сертификации для DV, очевидно, получить намного проще, поскольку все, что вам нужно сделать, это предоставить подтверждение того, что вы владеете своим доменом. На самом деле это можно автоматизировать.
Теперь перейдем к бесплатным центрам сертификации
Центры сертификации, такие как Let’s Encrypt, бесплатно выдают сертификаты DV. Им удается автоматизировать процесс проверки владения доменом до такой степени, что проверка вас практически ничего не стоит. Это прекрасно, если у вас есть обычный веб-сайт, который не требует от пользователей передавать конфиденциальные данные (например, номера кредитных карт, данные банковского счета, номера паспортов и т. д.).
Если у вас есть сайт электронной коммерции, возможно, вам стоит поискать коммерческий центр сертификации. Уровень доверия, обеспечиваемый расширенной проверкой, узаконит вашу организацию в большей степени, чем любая другая форма сертификации. По крайней мере, получите сертификат OV, если не хотите возиться с бюрократической волокитой, связанной с получением EV.
Если вы являетесь владельцем крупной веб-компании, которая размещает веб-сайты на нескольких поддоменах, вы можете быть разочарованы, узнав, что вы также не можете получить подстановочный сертификат бесплатно (даже от Let’s Encrypt). Этот сертификат позволит вам проверить каждый субдомен, который вы создаете под своим основным доменным именем.
Вывод здесь прост: если у вас простой веб-сайт, который не требует обмена конфиденциальными данными, сертификат проверки домена, такой как те, что предлагает Let’s Encrypt, подойдет. Вам не нужно ничего более изысканного!
В противном случае вам следует обратиться к коммерческим властям. В некоторых странах у вас даже могут возникнуть проблемы с законом, поскольку вы не использовали сертификат расширенной проверки для юридически обязательных соглашений.
Как вы думаете, сможем ли мы в конечном итоге автоматизировать всю проверку сертификатов? Или это всего лишь один гигантский скачок, слишком далекий для человечества? Расскажите нам в комментариях!
