Год назад участники CA/Browser Forum проголосовали за сокращение сроков действия SSL-сертификатов. И вот уже совсем скоро всему миру придется адаптироваться к новым правилам: с 15 марта выпустить новый сертификат можно будет уже не на 397, а на 200 дней. И это только первый этап. А в перспективе (причем относительно недалекой – в 2029 году) этот срок составит всего 47 дней. Почему так происходит? А главное, что делать – если еще можно – чтобы смягчить последствия принятых решений для себя и своего бизнеса? Пробуем разобраться в этой теме. Экспертную поддержку в этом нам окажет Ярослав Толкачев – менеджер по продуктам SaaS компании ActiveCloud.
Что такое CA/Browser Forum и какова его роль в этой истории?
Это добровольное объединение ведущих удостоверяющих центров и разработчиков интернет-браузеров (Google, Microsoft, Apple, Mozilla и др.). Именно оно разрабатывает обязательные стандарты и правила выдачи SSL-сертификатов, определяет, какие сертификаты следует считать доверенными, – и тем самым регулирует безопасность в интернете.
Зачем вообще сокращать срок действия SSL-сертификатов?
Это объясняют необходимостью обеспечивать безопасность пользователей и защиту их данных. Собственно, SSL-сертификат – это не что иное, как “цифровой паспорт” сайта. Он, во-первых, подтверждает подлинность ресурса, а во-вторых, обеспечивает шифрование данных между браузером пользователя и сервером.
SSL-сертификат – это ключ, который помогает зашифровывать и расшифровывать данные пользователей. Если происходит какая-то утечка и ключ оказывается скомпрометированным, есть риск, что эти данные могут быть перехвачены. Логика понятна: чем чаще вы меняете ключи, тем меньше времени у злоумышленников будет на то, чтобы воспользоваться брешью в вашей защите.
Какие данные пользователей могут оказаться под угрозой?
Любые, которые мы доверяем интернету. Например, при регистрации в личных кабинетах – для этого порой требуется указывать самую чувствительную информацию, включая номер телефона и данные паспорта. Или при использовании систем онлайн-платежей – им мы передаем данные своих карт. Защищенного соединения могут требовать различные приложения, API-подключения. А еще есть соцсети, электронная почта, программы лояльности (они тоже требуют привязки персональных данных). Очевидно, что сегодня риски, связанные с использованием персональных данных в интернете, растут. Поэтому и решение о сокращении сроков действия SSL-сертификатов выглядит обоснованным.
Ярослав Толкачев:
– По сути, для бизнеса сегодня уже не идет речи о том, пользоваться или не пользоваться SSL-сертификатами. Это залог стабильного функционирования. Без защищенного подключения пользователи просто не смогут зайти на сайт или воспользоваться тем или иным сервисом или приложением. То же самое касается несвоевременного продления уже имеющихся сертификатов: если срок их действия истек, доступ к привычным возможностям для пользователей блокируется. А для бизнеса все это уже означает прямые потери в деньгах.
Получается, для бизнеса остается единственная безальтернативная опция: чаще продлять сертификаты и, соответственно, больше платить?
Не совсем. Существуют и бесплатные SSL-сертификаты – более того, они могут продлеваться автоматически. И в ряде случаев даже такой опции может оказаться достаточно. Другой вопрос, что платные сертификаты предлагают более широкий – и порой не просто оправданный, а совершенно необходимый для бизнеса набор возможностей.
Ярослав Толкачев:
– В случае использования бесплатного решения, когда происходит утечка или неправильно конфигурируется сертификат, предъявлять претензии, по сути, некому. С коммерческими сертификатами история несколько другая: они подразумевают определенную страховку, предусматривающую компенсационные выплаты. Поэтому банковским организациям, страховым, финансовым компаниям, да в целом большим холдингам лучше подходят коммерческие SSL-сертификаты.
Если базовые DV-сертификаты (Domain Validation) подтверждают защищенное соединение и передачу данных в зашифрованном виде, то более высокие уровни (сертификаты с подтверждением существования организации – OV и сертификаты с расширенной проверкой организации – EV) дают больше гарантий. Посетители сайта могут видеть не только факт защищенного соединения, но и убедиться, что сертификат принадлежит действительно существующей компании.
Из чего складывается стоимость SSL-сертификата?
Во-первых, это количество защищаемых доменов: сертификат может быть выпущен для одного домена, для целого уровня поддоменов, одновременно нескольких доменов и уровней.
Имеет значение и уровень проверки (DV, OV или EV) – и, соответственно, гарантии, которые обеспечивает удостоверяющий центр.
Как компании определиться с уровнем SSL-сертификата?
Большинству пользователей хватает самого простого сертификата уровня DV для защиты одного домена – в эту категорию попадают сайты-визитки, личные сайты, где не идет речи об обработке данных клиентов. Но в ситуации с более разветвленными проектами, которым требуется более сложная инфраструктура, имеет смысл рассматривать как минимум сертификат с поддержкой нескольких доменов либо поддоменов.
Если же компания обрабатывает данные пользователя, проводит оплаты и т. д., тогда уже стоит выбирать сертификаты уровня OV и EV. Они предлагают более широкий функционал. Да и с практической точки зрения может быть удобнее и выгоднее связать один сертификат со всеми доменами, чем использовать отдельные сертификаты – каждый из которых придется отдельно контролировать, продлевать и обновлять.
Как компании могут облегчить себе жизнь в свете сокращения сроков действия SSL-сертификатов?
Первое и главное – это воспользоваться оставшимся окном возможностей: до 14 марта включительно еще можно успеть выпустить сертификат, который будет действовать не 200, а 397 дней.
Кроме того, важно не забывать, что продление сертификата по сути своей та же процедура, что и выпуск нового. Компании нужно заново пройти валидацию со стороны удостоверяющего центра – и в зависимости от уровня проверки это может занять от нескольких часов до нескольких дней. Поэтому важно не дожидаться последнего момента, а позаботиться об обновлении сертификата заблаговременно.
Еще один важный момент: после выпуска сертификата его необходимо обновить на самом сервере.
Ярослав Толкачев:
– Готовый сертификат можно установить самостоятельно – или доверить эту задачу специалистам. И этой возможностью не стоит пренебрегать: грамотная консультация поможет подобрать оптимальный по стоимости и уровню защиты вариант, а техподдержка – избежать проблем при установке.
В качестве дополнительной меры поддержки ActiveCloud предлагает специальные тарифы для всех, кто успеет обратиться за оформлением SSl-сертификата, пока еще это можно сделать с сохранением максимального срока действия – на 397 дней.
Какова же перспектива? По словам Ярослава Толкачева, одним из наиболее вероятных ответов на сокращение сроков действия SSL-сертификатов может стать автоматизация их выпуска – по аналогии с тем, как это сегодня происходит с бесплатными сертификатами. Но здесь мяч на стороне удостоверяющих центров – и как только они предложат решение, белорусские компании смогут им воспользоваться.
*На правах рекламы
