Примечание переводчика. После моего поста о Хостинг Кафе появились два комментария (1, 2) о том, что на HTTPS.menu нет бесплатных сертификатов, и как раз в тот день вышла статья основателя Namecheap о бесплатных SSL. Изначально статья называлась «Факты о бесплатных SSL» («The Facts About Free SSL»), однако через пару дней после публикации статью переименовали и немного отредактировали.
(Замечание: После получения ценной обратной связи сообщества по сетевой безопасности, мы отредактировали эту статью, чтобы разъяснить нашу точку зрения, а также удалили второстепенные вопросы, которые отвлекали от основных, а именно: значительности проверки при SSL-сертификации и необходимости разъяснять пользователям, что из-за разработок в сфере автоматизации SSL-сертификации, наличие букв ?https? и изображения замка в адресной строке уже может не свидетельствовать о безопасности, как ранее. Благодарим Вас за ценную обратную связь. Мы всегда прислушиваемся к ней и всегда открыты к обсуждению вопросов.)
Namecheap ориентирован на обеспечение безопасности и защиты данных всех пользователей. Мы считаем, что тенденция к шифрованию практически всего веб-трафика посредством автоматизированной выдачи SSL-сертификатов – положительное изменение в Интернете. Предотвращение MITM атак, а также других попыток перехвата данных, в интересах всех сторон. Это неоспоримый факт. Однако существует значительная разница между шифрованием и обеспечением безопасности. Это может показаться тривиальным продвинутым пользователям или специалистам, но для потребителей – это актуальная информация.
Мы думаем, что проверка владельца сертификата – важный вопрос, который требует особого внимания и обсуждения. Разработки последнего времени в сфере автоматизации выпуска SSL-сертификатов с технической точки зрения потрясающие. Тем не менее, следует разъяснить пользователям специфику новой модели обеспечения безопасности и то, на какие сигналы обращать внимание при принятии решений об обеспечении безопасности. Искать буквы «https» и изображение замка в адресной строке — т. е. показатели, которые традиционно считались достоверными, уже может быть и не так надежны, когда речь заходит о безопасности пользователя.
Cпомощью платных сертификатов Namecheap пользователи получают как подтверждение проверки, так и шифрование. Базовое подтверждение происходит во время оплаты кредитной картой. Затем, центр сертификации проводит дополнительную проверку безопасности домена через различные API с привлечением третьих сторон перед выдачей (это происходит даже при выдаче самого недорого из предлагаемых нами сертификата проверки домена — DV).
Кроме того, каждый раз, когда мы получаем сведения о неправомерной деятельности и/или мошенничестве, связанным с сертификатом, Namecheap сотрудничает с центром сертификации в расследовании подозрительных сайтов. Часто центры сертификации быстро принимают меры по отзыву сертификата. Эта возможность отзыва третьей стороной очень важна. Она предоставляет дополнительный уровень защиты после выдачи сертификата.
Сертификаты автоматизированных центров сертификации однозначно полезны для личных и других некоммерческих сайтов, которым необходимо предоставить пользователям возможность шифрования обычных данных. Однако, когда речь идет о ситуациях, когда информация требует более высокого уровня защиты, например, в коммерции, при ведении бизнеса через интернет, при передаче персональных данных, мы считаем, что дополнительные уровни проверки критичны для обеспечения безопасности на уровне, необходимом потребителю. Платные сертификаты проверки организации (OV) и расширенной проверки (EV) предполагают множество дополнительных уровней проверки, в то время как автоматизированные сертификаты предоставляют только подтверждение владения.
Это и есть основное различие. Истинная ценность платной SSL-сертификации в подтверждении, что владелец сертификата тот, за кого себя выдает, а не просто то, что он контролирует домен, с которого подавалась заявка. При выдаче сертификата OV на втором этапе проверки запрашиваются документы у соответствующих государственных органов (например, лицензии, сертификаты, уставы, налоговые разрешения), что добавляет дополнительный уровень уверенности в том, что заявитель не просто контролирует домен, а располагает документами, подтверждающей, что он тот, за кого себя выдает. Сертификаты EV выдаются после еще более строгой проверки у третьих сторон, предоставляя дополнительную уверенность в сертифицируемом лице.
Когда речь заходит о завоевании доверия, проверка – решающий фактор. У пользователя появляется дополнительный показатель надёжности, когда он видит печать защиты авторитетного бренда в сфере обеспечения безопасности на нашем сайте. Она свидетельствует о том, что ваша компания не только предоставляет шифрование данных, но и была проверена в различных источниках авторитетным поставщиком услуг. Кроме того, принимая во внимание последние изменения, мы считаем, что требуется проведение дополнительной разъяснительной работы с пользователями по определению достоверных показателей защиты при принятии решений об обеспечении безопасности. Часть ответственности за это непременно должны нести браузеры. Тем не менее, все должны взять на себя часть бремени, в том числе и автоматизированные сервисы выдачи SSL-сертификатов.
SSL-сертификаты, выданные фирменным сервисом, предоставляют тот уровень защиты, гибкости и поддержки, который нужен коммерческим сайтам. Обычные центры сертификации предлагают сертификаты сроком действия до трех лет. Они поддерживают сертификаты Wildcard, предлагают гарантии, а также поддержку при внедрении. При сотрудничестве с неавтоматизированным центром сертификации можно выбирать из различных уровней проверки: проверки организации (OV) и расширенной проверки (EV), помимо проверки домена (DV). На уровнях защиты OV и EV перед выдачей сертификата центр сертификации проводит обширную проверку предприятия, связанного с сайтом, а также быстро предпринимает меры при обнаружении мошеннической или злонамеренной деятельности. Поддержка также является важным аспектом. Только платные сервисы предлагают обслуживание и поддержку клиентов на постоянной основе.
Бесплатные сертификаты – отличный вариант для личных блогов и других простых сайтов, на которых не проводятся финансовые сделки и не собираются конфиденциальные данные. Однако компании, которые занимаются электронной коммерцией или собирают данные клиентов, требующие определенного уровня защиты и надежности, должны, естественно, пользоваться OV или EV SSL-сертификатами, выданными известными и надежными центрами сертификации. Эти продукты предоставляют не только шифрование, но именно тот уровень шифрования, проверки и надежности, который необходим деловым и коммерческим сайтам для обеспечения безопасности пользователей.
(Замечание: После получения ценной обратной связи сообщества по сетевой безопасности, мы отредактировали эту статью, чтобы разъяснить нашу точку зрения, а также удалили второстепенные вопросы, которые отвлекали от основных, а именно: значительности проверки при SSL-сертификации и необходимости разъяснять пользователям, что из-за разработок в сфере автоматизации SSL-сертификации, наличие букв ?https? и изображения замка в адресной строке уже может не свидетельствовать о безопасности, как ранее. Благодарим Вас за ценную обратную связь. Мы всегда прислушиваемся к ней и всегда открыты к обсуждению вопросов.)
Namecheap ориентирован на обеспечение безопасности и защиты данных всех пользователей. Мы считаем, что тенденция к шифрованию практически всего веб-трафика посредством автоматизированной выдачи SSL-сертификатов – положительное изменение в Интернете. Предотвращение MITM атак, а также других попыток перехвата данных, в интересах всех сторон. Это неоспоримый факт. Однако существует значительная разница между шифрованием и обеспечением безопасности. Это может показаться тривиальным продвинутым пользователям или специалистам, но для потребителей – это актуальная информация.
Мы думаем, что проверка владельца сертификата – важный вопрос, который требует особого внимания и обсуждения. Разработки последнего времени в сфере автоматизации выпуска SSL-сертификатов с технической точки зрения потрясающие. Тем не менее, следует разъяснить пользователям специфику новой модели обеспечения безопасности и то, на какие сигналы обращать внимание при принятии решений об обеспечении безопасности. Искать буквы «https» и изображение замка в адресной строке — т. е. показатели, которые традиционно считались достоверными, уже может быть и не так надежны, когда речь заходит о безопасности пользователя.
Значительность проверки и отзыв сертификатов третьими сторонами
Cпомощью платных сертификатов Namecheap пользователи получают как подтверждение проверки, так и шифрование. Базовое подтверждение происходит во время оплаты кредитной картой. Затем, центр сертификации проводит дополнительную проверку безопасности домена через различные API с привлечением третьих сторон перед выдачей (это происходит даже при выдаче самого недорого из предлагаемых нами сертификата проверки домена — DV).
Кроме того, каждый раз, когда мы получаем сведения о неправомерной деятельности и/или мошенничестве, связанным с сертификатом, Namecheap сотрудничает с центром сертификации в расследовании подозрительных сайтов. Часто центры сертификации быстро принимают меры по отзыву сертификата. Эта возможность отзыва третьей стороной очень важна. Она предоставляет дополнительный уровень защиты после выдачи сертификата.
Сертификаты автоматизированных центров сертификации однозначно полезны для личных и других некоммерческих сайтов, которым необходимо предоставить пользователям возможность шифрования обычных данных. Однако, когда речь идет о ситуациях, когда информация требует более высокого уровня защиты, например, в коммерции, при ведении бизнеса через интернет, при передаче персональных данных, мы считаем, что дополнительные уровни проверки критичны для обеспечения безопасности на уровне, необходимом потребителю. Платные сертификаты проверки организации (OV) и расширенной проверки (EV) предполагают множество дополнительных уровней проверки, в то время как автоматизированные сертификаты предоставляют только подтверждение владения.
Это и есть основное различие. Истинная ценность платной SSL-сертификации в подтверждении, что владелец сертификата тот, за кого себя выдает, а не просто то, что он контролирует домен, с которого подавалась заявка. При выдаче сертификата OV на втором этапе проверки запрашиваются документы у соответствующих государственных органов (например, лицензии, сертификаты, уставы, налоговые разрешения), что добавляет дополнительный уровень уверенности в том, что заявитель не просто контролирует домен, а располагает документами, подтверждающей, что он тот, за кого себя выдает. Сертификаты EV выдаются после еще более строгой проверки у третьих сторон, предоставляя дополнительную уверенность в сертифицируемом лице.
Когда речь заходит о завоевании доверия, проверка – решающий фактор. У пользователя появляется дополнительный показатель надёжности, когда он видит печать защиты авторитетного бренда в сфере обеспечения безопасности на нашем сайте. Она свидетельствует о том, что ваша компания не только предоставляет шифрование данных, но и была проверена в различных источниках авторитетным поставщиком услуг. Кроме того, принимая во внимание последние изменения, мы считаем, что требуется проведение дополнительной разъяснительной работы с пользователями по определению достоверных показателей защиты при принятии решений об обеспечении безопасности. Часть ответственности за это непременно должны нести браузеры. Тем не менее, все должны взять на себя часть бремени, в том числе и автоматизированные сервисы выдачи SSL-сертификатов.
Объявите клиентам о надежности с помощью платных SSL-сертификатов
SSL-сертификаты, выданные фирменным сервисом, предоставляют тот уровень защиты, гибкости и поддержки, который нужен коммерческим сайтам. Обычные центры сертификации предлагают сертификаты сроком действия до трех лет. Они поддерживают сертификаты Wildcard, предлагают гарантии, а также поддержку при внедрении. При сотрудничестве с неавтоматизированным центром сертификации можно выбирать из различных уровней проверки: проверки организации (OV) и расширенной проверки (EV), помимо проверки домена (DV). На уровнях защиты OV и EV перед выдачей сертификата центр сертификации проводит обширную проверку предприятия, связанного с сайтом, а также быстро предпринимает меры при обнаружении мошеннической или злонамеренной деятельности. Поддержка также является важным аспектом. Только платные сервисы предлагают обслуживание и поддержку клиентов на постоянной основе.
Бесплатные сертификаты – отличный вариант для личных блогов и других простых сайтов, на которых не проводятся финансовые сделки и не собираются конфиденциальные данные. Однако компании, которые занимаются электронной коммерцией или собирают данные клиентов, требующие определенного уровня защиты и надежности, должны, естественно, пользоваться OV или EV SSL-сертификатами, выданными известными и надежными центрами сертификации. Эти продукты предоставляют не только шифрование, но именно тот уровень шифрования, проверки и надежности, который необходим деловым и коммерческим сайтам для обеспечения безопасности пользователей.