Как выбрать SSL-сертификат для сайта в 2024 году: какие есть варианты зарубежных и отечественных сертификатов
За последние пару лет на рынке сертификатов произошли глобальные изменения — многие зарубежные сертификационные центры ушли из России, появились отечественные SSL/TLS-сертификаты, которые пока работают с некоторыми ограничениями. Рассказываем, что происходит на рынке и как выбрать сертификат под задачи сайта.
Каким сайтам необходим SSL-сертификат
Сайты без SSL-сертификата браузеры отмечают как небезопасные, и предупреждают об этом пользователей: перед загрузкой страницы пользователь видит сообщение «Ваше подключение не защищено». На одностраничных сайтах-визитках и личных блогах можно обойтись без сертификата, а вот коммерческим сайтам и интернет-магазинам его установка обязательна.
Если сайт собирает хотя бы минимальную информацию о пользователях, например ФИО или email, он становится оператором персональных данных. Согласно закону «О персональных данных» такие сайты должны соблюдать множество правил по защите данных своих клиентов. Установка SSL-сертификата — одно из них.
Какие сертификационные центры ушли из России
В 2022 году сертификационные центры Trustwave, Sectigo (Comodo), Thawte, Symantec и GeoTrust приостановили выпуск сертификатов для российских доменов .ru, .su и .рф. DigiCert также не выпускает сертификаты для российских зон, но продолжает выпуск DV-сертификатов (начального уровня) для международных доменов, таких как .com и .net, вне зависимости от того, является ли владелец домена резидентом России.
Какие сертификаты доступны на российском рынке
GlobalSign остается единственным иностранным центром, который пока продолжает выпускать платные SSL-сертификаты для российского рынка. Это один из крупнейших удостоверяющих центров, сертификаты которого признаны надежными на международном уровне. Они совместимы с современными браузерами, операционными системами и устройствами, поэтому у пользователей не будет проблем с загрузкой сайта. У GlobalSign доступны сертификаты всех уровней от начального до профессионального. Подробная статья про уровни проверки сертификатов есть в Базе знаний Рег.ру.
Кроме того, россиянам доступны бесплатные сертификаты центра Let's Encrypt, который работает на некоммерческой основе. Но у них есть несколько ограничений — например, срок действия сертификата Let's Encrypt всего 90 дней. При этом компания не несет обязательств перед пользователями и не предусматривает компенсаций в случае взлома сертификата.
Обо всех недостатках бесплатных сертификатов читайте в статье «Бесплатный vs платный SSL-сертификат: какой выбрать?».
Также россиянам доступны альтернативы зарубежных сертификатов — сертификаты Минцифры и сертификаты ТЦИ.
Сертификаты Минцифры
Организации могут бесплатно получить сертификаты Минцифры на Госуслугах. Они обязательны только для государственных органов, но и некоторые компании, например, «Сбер» перешли на отечественные сертификаты, чтобы не зависеть от иностранных сертификационных центров и обеспечить безопасность сайтов и данных. Об установке отечественных сертификатов сообщили также на своих сайтах ВТБ, Газпромбанк, РСХБ и другие. К концу 2023 года количество доменов с сертификатом Минцифры достигло 16 тысяч.
Но у сертификатов Минцифры есть некоторые ограничения — их поддерживают только отечественные браузеры, «Яндекс Браузер» и Atom. Не установлены они и на зарубежных операционных системах: Windows, Android, iOS и macOS.
Поэтому в зарубежных браузерах при загрузке сайтов с сертификатами Минцифры может возникать ошибка — зарубежные браузеры и ОС считают их небезопасными.
Для корректной работы пользователям Chrome, Safari, Firefox, Opera и других браузеров нужно самостоятельно установить корневые сертификаты через Госуслуги. Тогда можно будет посещать сайты государственных структур и оплачивать покупки онлайн. Об этом пользователей на своих сайтах предупреждают многие российские компании. Например, при оплате в Tinkoff Pay пользователи видят предупреждение о необходимости установить сертификаты Минцифры.
Сертификаты ТЦИ
В апреле россиянам стали доступны сертификаты ТЦИ. Технический центр Интернет — первый отечественный удостоверяющий центр, который выпускает SSL-сертификаты на коммерческой основе.
Сертификаты ТЦИ выпускают на базе распространенного криптоалгоритма ECDSA и криптоалгоритма ГОСТ 34.10.
Пока ТЦИ предоставляет только сертификаты уровня DV, подтверждающего владение доменом. Также у ТЦИ есть сертификаты с опцией Wildcard, которая позволяет защитить не только основной домен, но и все поддомены компании.
Как выбрать SSL-сертификат
Всё зависит от ваших потребностей, количества доменов и типа сайта. Бесплатный сертификат Let's Encrypt и сертификаты начального уровня от GlobalSign подойдут для небольших порталов с одним доменным именем, информационных ресурсов, блогов с возможностью регистрации пользователей. Если доменов несколько, выбирайте сертификат с опцией Wildcard.
Для крупных порталов, которые работают с персональными данными пользователей и где требуется высокий уровень безопасности, можно установить одновременно два сертификата: международный от GlobalSign и отечественный от Минцифры или ТЦИ. Тогда страницы будут корректно работать у российских и зарубежных пользователей. Но для этого потребуется дополнительная настройка выбора сертификата.