Certyfikaty SSL. Rodzaje certyfikatów, gdzie kupić certyfikat - poradnik
-
- 17.10.2018, godz. 09:22
Certyfikaty SSL wildcard i multidomain
Certyfikat SSL wystawiany jest dla nazwy internetowej (domeny), a nie serwera lub usługi internetowej. Problem w tym, że np. witryna1.pl oraz www.witryna1.pl to dwie różne nazwy domen, pod którymi mogą działać dwa różne serwisy, i które zasadniczo powinny zostać zabezpieczone dwoma różnymi certyfikatami. Nie zawsze wydatki na zakup dwóch lub większej liczby certyfikatów są uzasadnione.
Rozwiązaniem okazuje się mechanizm wildcard. Pojedynczy certyfikat typu wildcard chroni główną nazwę domeny oraz wszystkie jej subdomeny. W naszym przykładzie mogłyby to być dodatkowo serwisy blog.witryna1.pl, sklep.witryna1.pl itd. Na rynku dostępne są certyfikaty wildcard DV i OV, a ich cena jest kilkukrotnie wyższa od analogicznych certyfikatów wystawianych dla pojedynczej domeny. Mechanizmu tego nie stosuje się dla certyfikatów typu EV.
Niektórzy wydawcy w cenie zwykłego certyfikatu dołączają do podstawowej nazwy domeny nazwę z przyrostkiem www. Nie jest to certyfikat wildcard, choć pozwala zabezpieczyć stronę uruchomioną pod dwoma różnymi nazwami.
Z kolei certyfikat multidomain pozwala w jednym certyfikacie zapisać informacje o wielu chronionych nazwach domen, w tym domenach wyższego poziomu. Takich nazw zabezpieczonych jednym certyfikatem może być nawet 200 (w zależności od wydawcy), ale jego cena jest odpowiednio wyższa w zależności od liczby chronionych domen. Dodatkowe nazwy zapisywane są w polu Subject Alternative Name (SAN), stąd też o certyfikatach tego typu mówi się jako certyfikatach SSL z opcją SAN. Certyfikaty multidomain nie są tak popularne jak wildcard i nie wszyscy wydawcy mają je w ofercie.

W ofercie Certum znajdziemy komercyjne certyfikaty SSL typu DV, OV oraz EV. Certum jest również wydawcą certyfikatów marek własnych oferowanych przez nazwa.pl, Kei.pl i home.pl
Gdzie kupić certyfikat SSL
Wydawcami certyfikatów są renomowane urzędy certyfikacji (Certificate Authority, CA), których certyfikaty główne dostarczane są wraz z przeglądarkami internetowymi, programami pocztowymi i innymi aplikacjami używającymi SSL do zabezpieczania transmisji danych np. VPN. W Polsce liderem rynku komercyjnych certyfikatów SSL jest Certum, marka kontrolowana przez Assecco, na świecie lista rozpoznawalnych urzędów jest dłuższa i obejmuje m.in. GeoTrust, RapidSSL, Symantec (dawniej VeriSign), Thawte, Entrust, Comodo, DigiCert i SwissSign.
Dostawcy hostingu stawiają na marki własne certyfikatów. Nazwa.pl proponuje użytkownikom certyfikaty nazwaSSL z walidacją domeny (również w opcji wildcard) oraz certyfikat Premium EV (koszt to 500 zł rocznie). W ofercie Kei.pl znajdziemy certyfikaty Commerial SSL typu DV w promocyjnej cenie 19 zł na pierwszy rok (później 99 zł), Trusted SSL OV za 499 zł rocznie oraz Premium-EV SSL za 1199 zł. Dwa pierwsze dostępne są w opcji wildcard, wszystkie zaś w opcji multidomain z możliwością zapisania do dziesięciu nazw domenowych w jednym certyfikacie. Jeszcze do niedawna home.pl oferował w sprzedaży certyfikaty GeoTrust i RapidSSL, dzisiaj jednak całą uwagę skupia na własnej marce homeSSL, oferując certyfikaty typu DV, OV i EV, przy czym dwa pierwsze również w opcji wildcard.
Nazwa.pl do każdej utrzymywanej u siebie domeny dodaje gratis komercyjny certyfikat nazwaSSL, ten sam, który w regularnej ofercie kosztuje 100 zł rocznie. Promocyjnych ofert warto szukać również u innych dostawców. Dla przykładu home.pl dołącza darmowy certyfikat homeSSL DV do wybranych pakietów Hosting WordPress SSD.
Wydawcą certyfikatów dla nazwa.pl, Kei.pl i home.pl jest Certum. Certyfikaty CertumSSL możemy kupić również bezpośrednio w tej firmie, choć wówczas rezygnujemy z wygody, jaką daje nam zamówienie certyfikatu u dostawcy hostingu.
Ofertę certyfikatów innych wydawców znajdziemy u pozostałych dostawców hostingu. Cal.pl sprzedaje certyfikaty Comodo, GeoTrust i Thawte, OVH stawia na współpracę z Comodo, Domena.pl zaś oferuje budżetowe certyfikaty RapidSSL z walidacją domeny.
Najbogatszą ofertę certyfikatów w Polsce ma serwis CertyfikatySSL.pl, należący do grupy hostingowej H88. Lista wydawców, z którymi współpracuje firma, liczy dziesięć pozycji i obejmuje Certum, Comodo, DigiCert, DomenySSL, Entrust, GeoTrust, RapidSSL, SwissSign, Symantec i Thawte. Do wyboru jest pełna gama oferowanych przez nich certyfikatów: DV, OV, EV z opcjami wildcard, multidomain, SGC, IDN i inne.
Nie wszystkie certyfikaty pozwalają zabezpieczać domeny z polskimi znakami IDN (ą, ę, ó, ź itd.). Przed zakupem warto sprawdzić, czy w ofercie danego wydawcy dostępne są certyfikaty z obsługą domen IDN.
Czas na zakupy
Najtańszy komercyjny certyfikat SSL kosztuje około 100 zł rocznie. Osoby prywatne i małe firmy prowadzące blog, forum lub prostą stronę WWW nie muszą rezygnować z bezpieczeństwa, nawet jeśli koszt ten wydaje się zbyt wygórowany.
Let’s Encrypt działa jak centrum certyfikacji, które wydaje darmowe certyfikaty SSL typu DV. Certyfikaty główne Let’s Encrypt są zaufane dla oprogramowania Microsoft, Apple, Google, Mozilla i innych, dzięki czemu każda strona posługująca się poprawnym certyfikatem Let’s Encrypt zostanie zweryfikowana jak chroniona, obsługując wszystkie wymagane zabezpieczenia oferowane przez technologię SSL. Let’s Encrypt nie wydaje certyfikatów typu OV i EV.
Certyfikaty Let’s Encrypt są ważne przez 90 dni. To niewiele, choć idea projektu zakłada, że po upływie każdy 60 dni należy dokonać ich automatycznego odnowienia. Na szczęście zdecydowana większość dostawców hostingu dostosowała swoje systemy, aby zautomatyzować proces wdrażania i odnawiania certyfikatów Let’s Encrypt.
W przypadku dostawców hostingu proces wnioskowania i wydawania certyfikatu jest w pełni zautomatyzowany. Liczba formularzy, które należy wypełnić, jest z reguły ograniczona do minimum, a sam proces instalacji certyfikatu na serwerze wymaga zazwyczaj kilku kliknięć i postępowania według instrukcji.
Jeśli zamawiamy certyfikat bezpośrednio w urzędzie lub u zewnętrznego pośrednika, plik CSR generujemy na własnym serwerze WWW bądź korzystamy z udostępnionego generatora. Wydawcy dbają, aby proces wnioskowania i wydawania certyfikatu był możliwie najprostszy. Większość z nich udostępnia rzetelnie przygotowane instrukcje, jak postępować na kolejnych etapach wdrożenia certyfikatu SSL w witrynie WWW.
Zmiana dostawcy hostingu nie oznacza jeszcze konieczności zamówienia nowego certyfikatu dla serwera. Aby przenieść certyfikat do innego dostawcy, potrzebny będzie plik CSR, plik certyfikatu oraz klucz prywatny, które pobierzemy z panelu administratora u obecnego operatora certyfikatu.