Продажа воздуха или как зарабатывать на продажах SSL-сертификатов
В 2017 году Google решил, что интернет нужно сделать безопаснее и предупредил, что сайты без SSL-сертификатов будут помечаться как небезопасные, со всеми вытекающими. Сами сертификаты существовали и ранее, так как сама технология известна и принялась банками для создания защищенных соединений ещё задолго до 2017 года. Но с этого периода продажа SSL-сертификатов приобрела массовый характер.
Что из себя представляет SSL-сертификат и в целом принцип защищенного HTTPS соединения
Когда вы открываете любой сайт, технически это означает что вы через протокол, который так и называется - протокол передачи гипертекста, получаете данные с сервера. И аналогично это работает в обратную сторону, с помощью браузера вы отправляете свои данные на сервер. HTTPS это фактически надстройка над протоколом HTTP, которая означает что данные, что вы отправляете на сервер и забираете с него - зашифрованы.
Зачем это нужно? Есть такое понятие как MITM, означает как “Человек посередине”. Это означает, что весь трафик с вашего компьютера будет сначала проходить через посредника, а уже после отправляться по назначению. А учитывая, что протокол HTTP предоставляет данные в открытом виде, то злоумышленник может без проблем получить важные данные, например, данные ваших банковских карт, логины и пароли к вашим учетным данным, например, к почте, или к банковскому аккаунту.
SSL-сертификат это два разных ключа, один называется публичным и по сути, он доступен всем, второй называется приватным и он доступен только серверу для которого он выпускается. Метод шифрования который используется называется асинхронным, так как он позволяет зашифровать данные приватным ключом, а расшифровать публичным. Удобство данного метода в том, что если сообщение можно расшифровать публичным ключом, то вы можете быть уверены в отправителе, то есть это как криптографический паспорт источника.
Сам обмен ключами работает не быстро, поэтому браузер для обмена получает от сервера сессионный ключ, который является симметричным (шифруется и расшифровывается тем же ключом), и все данные уже шифруются в рамках этой сессии. При каждой новой сессии ключ обновляется.
Для чего нужны центры сертификации
Ключ SSL можно сгенерировать самостоятельно, для этого достаточно использовать специальную программу, или даже сделать это онлайн, например, здесь https://www.selfsignedcertificate.com/. Такие сертификаты называются самоподписанными, и сложность с ними в том, что хоть данные шифруются, но не понятно, можно ли доверять источнику.
Для этого нужны центры сертификации, по сути их задача, хранить у себя в базе созданные SSL-ключи и сопоставлять их с доменами, которым они были выданы. Это решает две проблемы, во-первых если кто-то украл ваш сертификат и поставил его на сайт, через центр можно проверить (браузер делает это автоматически), не ворованный ли у вас сертификат. Во-вторых сами центры предоставляют дополнительные услуги по валидации владельца сертификата.
Виды валидации бывают трёх типов:
-
DV - проверен только домен которому принадлежит сертификат
-
OV - проверена организация и домен сертификата
-
EV - организация проверена с пристрастием и проверен домен
Для простоты можно считать, что сертификаты выдаются с проверкой только домена, или домен + организация.
Так в чем суть продажи воздуха?
С вводной информацией разобрались, теперь к сути темы. Технически сертификат DV не отличается от сертификатов OV и EV. А это значит, что на сертификатах выданных с проверкой организации шифрование работает так же как при проверке домена.
Смысл приобретать сертификат к проверкой организации есть только в случае, когда вам важно показать вашим пользователям, что организация проверена. Но по правде, когда вы в последний раз заглядывали сюда?
Более того, Google отказывается от практики показывания информации о компании для EV-сертификат, что в целом сводит практику их использования на нет. Кому интересно, про это есть статья на Хабр: https://habr.com/ru/company/globalsign/news/t/464159/
Итого мы получаем, что для организации шифрования сайта достаточно использовать DV-сертификат. К тому же он ещё как правило самый дешевый. Но на минуточку, что значит дешевый? За что вообще платят пользователи, когда покупают DV-сертификат? Они платят за хранение информации о выпущенном сертификате в центре.
И сколько стоит хранение строк на сервере? К примеру, смотрим цены на GeoTrust RapidSSL:
Один из крупных хостинг-провайдеров предлагает получить данный сертификат за 38,4 рублей или 19$
Второй за 36 рублей, 18$.
А что за пределами синеокой?
Гуглим - https://www.gogetssl.com/rapidssl/ 7$
https://firstssl.ru/ssl/rapidssl/rapidssl 13$
Можно предположить, что цена на сертификат формируется на основе жадности продавца, так например наши хостинг-провайдеры, продают сертификаты в два раза дороже. При этом технически разницы между сертификатом за 7$ и за 18$ не будет.
А можно вообще не платить?
Да, есть несколько инициатив, которые выпускают DV-сертификаты бесплатно. Я расскажу про Let’s encrypt, так как сам работаю с этими сертификатами.
Let’s Encrypt — центр сертификации который выдаёт бесплатные сертификаты с конца 2015 года.
Процесс получения сертификата очень простой, но требует минимальных знаний консольных команд Linux. Посмотрите сами, чтобы получить сертификат нужно ввести по очереди следующие команды:
-
sudo apt-get update
-
sudo apt-get install software-properties-common
-
sudo add-apt-repository universe
-
sudo add-apt-repository ppa:certbot/certbot
-
sudo apt-get update
-
sudo apt-get install certbot python-certbot-nginx
-
sudo certbot --nginx
Потом выбрать сайт, к которому нужно выпустить сертификат, и нажать пару раз “Да”.
Суммарно это занимает несколько минут и экономит 10-20$ в год. Сертификат выдаётся сроком на три месяца (это сделано специально чтобы постоянно проверять ваш домен) и при установке можно настроить автоматическое продление.
Для популярных панелей управления хостингом, CPanel и ISPpanel предусмотрены модули, которые в пару кликов позволяют получить сертификат на домен. Например, в ISP это так:
Вместо выводов
За некоторые сертификаты наши хостинги просят по 180$, 360$ в год, при этом обычно они не афишируют информацию, описанную в этой статьей, кроме фактов вроде “Защити свой сайт” и т.д. Теперь вы можете принять взвешенное решение, на что тратить деньги.