Бесплатный ssl для сайта, хорошо или плохо

Обновлено 28.03.2017

Бесплатный ssl для сайта, хорошо или плохо

Добрый день уважаемые читатели блога, сегодня опять с вами поговорим про сертификаты безопасности, и немного порассуждаем, а действительно ли хорошо, что есть бесплатный ssl для сайта, и нет ли тут обратной стороны, пагубно сказывающейся на этом деле. Я много раз вам рассказывал, что корпорация добра (Google, кто не в курсе), пытается пока настойчиво перевести все сайты на безопасный протокол https, вроде бы цель благородная, борьба за безопасность, но все сводится к тому, чтобы на мой взгляд забить денег с продажи сертификатов, и я объясню свою позицию.

Где получить бесплатный сертификат ssl

В 2017 году Google стал помечать в своем браузере Google Chrome сайты, у которых нет сертификата безопасности, как небезопасные. Так, например если ваш сайт передает пароли или данные кредитных карт и у него нет https, то уже в 56 версии хрома, вы увидите зловещий значок с красным предупреждением, что сайт не защищен, в обычных блогах вы увидите информационное сообщение сайт не защищен.

Бесплатный ssl для сайта-2

Если обратиться к статистике браузеров за февраль 2017, то вы поймете, что более половины пользователей планеты используют Google Chrome как основной браузер для выхода в интернет, и большинство из них и знать не знают, что такое ssl сертификаты и зачем они вообще нужны. Так, что если они увидят на каком-то интернет магазине устрашающую запись, то его сразу закроют, и сами понимаете, что конверсия будет нулевой.

Доброе сообщество за безопасность в интернете говорит, ребята вот вам Бесплатный ssl для сайта, выпускайте его и будет вам счастье, прямо как недостроенный коммунизм в СССР, но как только дело доходит до практики, то сразу все становится веселее, и вы наталкиваетесь на подводные камни, ведущие вас к покупке нормального сертификата безопасности.

Для того, чтобы получить бесплатный сертификат вы можете обратиться вот к таким центрам сертификации:

  • WoSign > китайский CA, но Google на него обиделся, так как у этих товарищей было очень много косяков при выпуске
  • StartCom > так же как и WoSign попал под гнет Google, все его сертификаты выпущенные после 21 октября 2016 будут помечаться как плохие, в Mozilla аналогично. Хотя мне для потового сервера хватило и его, почта шифруется, сертификат на 3 года, а клиенты в основном используют аутлук или другую программу для сбора почты. Как получить сертификат на 3 года от StartCom, то читайте статью.
  • Let's Encrypt > на текущий момент самый распиаренный центр сертификации, который позволяет получить бесплатный сертификат ssl, но минус в том, что только на 3 месяца, сделано это с целью безопасности и если нужно, то можно было бы сразу за небольшой срок избавиться от всех сертификатов.
  • Thawte > это детище Symantec, так же стал выпускать бесплатные сертификаты, но простой смертный пока не может его получить, нужно быть клиентом или партнером компании.

Чем же плохи бесплатные сертификаю ситты

То что бесплатные ssl для сайта стали доступнее это конечно хорошо, но это дало повод не очень хорошим сайтам сделать свой ресурс более доверенным как для поисковой системы, так и для пользователя, который видит зелены замок на против сайта, говорящий ему, чувак можешь спокойно вводить тут все свои персональные данные, они же защищены SSL сертификатом безопасности, большинство людей и не подозревают, что с ним что-то не так, а тем более им и в голову не придет посмотреть состав сертификата в google chrome и это нормально.

Плюс сами центры сертификации, которые выпускают бесплатный сыр, не без греха. Вот вам недавний пример срачки между компанией добра и Symantec. Все началось аж в далеком 2015 году, если кто не в курсе то у компании Symantec, по мимо антивирусных решений есть еще бизнес приносящей ей кучу денег, а именно выпуск сертификатов через свою CA Thawte. Google рассказал всем в своем блоге, что Thawte выпускает фальшивые сертификаты, был случай с SSL сертификатами по расширенной проверке для домена gmail.com, www.google.com, google.com. Symantec это подтвердил, но сослался на человеческий фактор, что мол ошиблись с кем не бывает, и уволили всех виновных, по-русски нашли козлов отпущения и сказала, что сертификаты нужны были исключительно для внутреннего пользования.

Бесплатный ssl для сайта-3

Прошло два года и в январе 2017 года работник SSLMate по имени Эндрю Айр (Andrew Ayer) вновь обратил внимание общественности в нелегитимной выдаче сертификатов со стороны Symantec, для доменов example.com и test.com (test1.com, test2.com и так далее). Thawte опять заявили, что ребята, мы опять ошиблись, все делали для тестов у партнеров, не паникуйте все уже отозвали. Но не прошло и пары недель как представитель Google, по имени Райан Сливи (Ryan Sleevi) рассказал, что очень скоро с обновлением Google Chrome, свыше 30 000 сертификатов от компании Symantec будут не валидными в глазах браузера. Райан Сливи уточнил, что, начиная с 19 января 2017 года он со своими коллегами расследовал данную ситуацию. На начальном этапе было рассмотрено 127 случаев с не честной игрой, но чем дальше они погружались в эту проблему, тем больше случаев выявлялось. Через какое-то время специалисты насчитали свыше 30 000 сертификатов, которые Thawte выдала за последние годы. Так же Райан Сливи очень сильно наехал на компанию Symantec, высказав мнение, что у нее огромные проблемы с валидацией доменов, и нет отлаженного механизма проверки ошибок, кто и кому и когда выдавал сертификаты, даже на уровне исследования программных логов у компании Symantec есть проблемы. Представители компании не сумели сами обнаружить и выявить случаи выдачи сертификатов для неуполномоченных сторон, и самое смешное им на это по барабану.

Со слов инженера Google, компания Symantec дала доступ к своей инфраструктуре PKI, для четырех партнеров, и у них есть возможность выдавать SSL сертификаты и в компании нет должного аудита и надзора за ними, как следствие, сотрудники Symantec не смогли предоставить нужные данные для Google. Корпорация добра намерена отозвать Extended Validation статус для всех сертификатов Symantec. Данная мера будет как минимум на 1 год и будут уменьшаться сроки действия выданных сертификатов, Chrome 64 и вовсе сократится до 9 месяцев. Symantec в своем блоге отписалась, что Google слишком раздуло конфликт и все очень преувеличила, 127 случаев компания подтвердила, но 30 000 это, по ее словам нонсенс.

Теперь давайте пройдемся по бесплатным ssl сертификатам letsencrypt. Когда в 2015 году появился проект Let’s Encrypt многие представители безопасности сразу высказали свое мнение, что бесплатные SSL для сайта очень понравятся недобросовестным сайтам злоумышленников, и их опасения были обоснованы. Очень многие не хорошие ресурсы заимели сертификат от Let’s Encrypt. Представители компании заявили, что в их обязанности не входит отслеживать хороший сайт или нет, у них другая основная задача, перевести все сайты на HTTPS.

IT специалисты по безопасности провели аудит. По словам сотрудника SSL Store Винсента Линча (Vincent Lynch) за последний год центр сертификации Let’s Encrypt выдал огромное количество ssl сертификатов для фишинговых сайтов. Специалист обнаружил, что Let’s Encryp выдал много сертификатов в которых содержится слово PayPal, кто не в курсе, это очень популярная платежная система на западе. По статистике Линча он смог обнаружить 988 сертификатов в которых было слово PayPal и 99,5 % из них принадлежало фишинговым сайтам.

Бесплатный ssl для сайта-4

Дальнейшее исследование показало, что слово PayPal содержится в 15 270 SSL-сертификатах, все эти данные получены от Comodo Certificate Search. Вы сами можете зайти на сайт https://crt.sh/ и ввести любой домен. 14 776 используются фишинговыми сайтами. Если обратиться к графику, то вы сможете увидеть, что злоумышленники стали массово использовать Let’s Encrypt с октября 2016 года и уже в апреле 2016, только за месяц было выдано свыше 5000 бесплатных SSL сертификатов для сайтов.

Бесплатный ssl для сайта-5

Если копать дальше, то такие же сертификаты используют и для фишинговых сайтов Gmail или AppleID, чего стоит недавнее заявление от турецких хакеров, что у них есть данные от миллионов устройств Apple.

Еще больше путаницы вносят создатели браузеров, про Internet Explorer я вообще промолчу, так как Microsoft на него уже давно забила и если предположить, что Let’s Encrypt и другие удостоверяющие центры отзовут сертификаты у фишеров, то MS об этом и не узнает. Если же брать Firefox и Google Chrome, то с их постоянно меняющейся политике, многие пользователи запутались и не понимают, когда сайт плохой и небезопасный, а когда наоборот все отлично.

Если подытожить, то я вам все таки советую если и переходить на защищенный SSL сертификат, то только платный и от нормальных удостоверяющих центров, например Comodo, либо вообще без сертификата. Помните, что бесплатный ssl сертификат для сайта в любой момент может стать не валидным и в лучшем случае вы потеряете пару клиентов или посетителей, а в худшем убьете свою репутацию.

Автор - Сёмин Иван

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *