Сертификат SSL для сайта — залог безопасности ресурса и личного спокойствия. Большинство уже понимает, что без SSL сегодня не обойтись. Но возникает другой вопрос: платить или брать бесплатно?
Чтобы помочь вам ответить на этот вопрос, рассказываем о плюсах и минусах самого популярного на сегодняшний день бесплатного сертификата Let’s Encrypt.
Преимущества бесплатного сертификата
Бесспорными плюсами Let’s Encrypt являются:
- Автоматическое продление срока пользования. Чтобы активировать функцию, установите на сервер соответствующий бот и откройте ему возможность менять конфигурацию. Он будет автоматически скачивать, устанавливать и продлевать SSL-сертификат. Будьте внимательны, иногда бот сбивает настройки сервера. В таком случае от бота придется отказаться и продлевать сертификат вручную каждые три месяца.
- Надежная защита. Let’s Encrypt обеспечивает такой же уровень защиты, что и платные сертификаты начального уровня. Он надежно сохраняет личные данные пользователей ресурсов: адреса электронной почты, пароли, телефонные номера.
- Нет скрытых расходов. Сертификат поддерживается за счет благотворительных взносов, поэтому счет после установки вам не выставят. При желании можете пожертвовать деньги на поддержание проекта.
Недостатки Let’s Encrypt
При всех преимуществах сертификат имеет недостатки, которые необходимо учитывать, доверяя ему безопасность сайта:
- Нет официальной технической поддержки. Придется самостоятельно разбираться с выпуском и установкой сертификата. Если на сервере нет панели управления, потребуются навыки или помощь сисадмина, чтобы установить сертификат через командную строку.
- Короткий срок действия. Строго через 90 дней сертификат необходимо перевыпустить. Если пропустить день продления, пользователи будут видеть предупреждение, что сайт не защищен, что может повлиять на репутацию вашего ресурса и его посещаемость.
- Ограниченная совместимость с операционными системами. Сертификат несовместим с Windows XP, некоторыми версиями Android и рядом почтовых сервисов. Их полный список приведен на официальном сайте Let’s Encrypt.
- Нет компенсации за взлом. Так как SSL-сертификат — это код, а любой код при желании можно расшифровать, так и любой сертификат может быть взломан. Но в случае с платными версиями сертификационные центры дают денежную гарантию, которая работает по принципу страховки: чем дороже сертификат, тем больше компенсация за возможную утечку данных с сайта.
- Низкий уровень доверия пользователей. При выпуске бесплатного сертификата, сертификационный центр проверяет только владельца домена (DV-сертификат) и не проверяет организацию. У пользователя нет подтверждения, что он находится на официальном сайте бренда или компании, а не на мошенническом клоне. По результатам devops.com, пользователи больше доверяют сертификатам с проверкой EV, чем DV. А, как известно, меньше доверия — меньше продаж.
- Проблемы с «Роскомнадзором». Федеральный орган не всегда разборчиво блокирует IP. В 2019 году в реестр запрещенных попали адреса Let's Encrypt. Проблему вскоре решили, но нет никаких гарантий, что ситуация не повторится.
Брать или не брать бесплатный SSL-сертификат
Если взвесить все «за» и «против», вывод напрашивается сам собой. С бесплатными сертификатами Let’s Encrypt могут совершенно безболезненно работать сайты-визитки, блоги, портфолио, промо-страницы и небольшие форумы. То есть ресурсы, не рассчитанные на активные продажи, где день без доступа не приведет к серьезным убыткам. И те, которые редко просматривают с мобильных устройств — не забываем про несовместимость с тем же Android.
А вот владельцам сайтов крупных брендов, которые ценят свое время и намерены заботиться о репутации сайта, работающего на продажи, стоит задуматься о том, чтобы приобрести платный сертификат. Вы получите полную техническую поддержку во время установки и обслуживания. Сохраните доверие пользователей, которые смогут отличить официальный сайт от мошеннических клонов. И сэкономите силы на то, чтобы самостоятельно решать все вопросы, связанные с безопасностью ресурса и стабильной работой сертификата — этим будут заниматься специалисты.
Тщательно взвесьте плюсы и минусы. Если недостатки неактуальны, смело устанавливайте Let's Encrypt. Но если вам нужна более продвинутая защита, лучше остановиться на коммерческих предложениях. Их стоимость варьируется в зависимости от уровня проверки.
