Эпоха “Пост-Let’s Encrypt”. Кому по-прежнему стоит платить за SSL сертификаты?



В июле пользователям ISPmanager стала доступна интеграция с Let’s Encrypt. Получить SSL теперь можно не только бесплатно, но и максимально удобно. Выпуск, установка на сервер, продление – все автоматически. И так и должно быть, ведь уже сегодня сертификаты LE справляются с большинством задач. Они обеспечивают надежное шифрование, «дружат» с популярными браузерами и не дают потерять SEO-поинты по правилам Google. С таким раскладом бесплатные SSL подойдут для 90% сайтов. Тогда кто те оставшиеся десять, кто должен продолжать платить? За кого в ближайшее время поборются Сomodo и Symantec?

Главным образом, это проекты e-commerce. И есть сразу несколько причин, почему им не стоит спешить с установкой нашего модуля. Остановимся на каждой подробнее.

1. Использование стартапами
Начнем с простого. Возьмем типичный e-commerce стартап. Никому не известное название. Полное отсутствие упоминаний в интернете. Домен зарегистрирован месяц назад. Всё так и намекает пользователю: соверши здесь оплату и не увидишь ни товара, ни денег. Следовательно, доверия ноль!

А теперь попробуем представить как при этом сертификат Let’s Encrypt, выдаваемый на 3 месяца, должен помочь его (доверие) повысить. Скорее он сделает все только хуже. Что нельзя сказать про сертификат EV с зеленой строкой. Он как минимум покажет, что вы настроены поработать еще год или два.


2. Гарантии для покупателей
Не стоит забывать, что Let’s Encrypt выпускает только сертификаты с проверкой домена. Гарантий они дают не так много. Если быть откровенным, вообще никаких. Наличие DV (Domain Validated) сертификата свидетельствует лишь о шифровании данных на сайте, что само по себе ничего не значит.

Попробую проиллюстрировать примером. Допустим, вы собрались получить DV сертификат для интернет-магазина. Будьте готовы к тому, что совершать покупки у вас рискнут далеко не все потенциальные клиенты. Опытные пользователи пройдут мимо, и вот почему.

Дело в том, что ни бесплатный Let’s Encrypt, ни платный RapidSSL не помешают мошенникам провернуть самую популярную схему фишинга. Они сделают копию вашего сайта, купят похожий домен, и даже установят DV сертификат. Проверок-то никаких! Им останется лишь перехватить трафик и дальше собирать платежи незадачливых клиентов.

Случись такое с вами, репутация будет безвозвратно утеряна. Поэтому стоит заранее побеспокоиться о данной проблеме. Для этого потребуется не только установить хотя бы самый простой сертификат с проверкой организации, но и приучить посетителей обращать на него внимание. Начать можно с малого. Например, с размещения на видном месте так называемой печати доверия (Site Seal).


3. WildCard…не очень
Поддержки WildCard в LE нет, а значит, для каждого домена 3 уровня устанавливать защиту понадобится отдельно. Проблема, конечно, так себе. В ISPmanager выпуск даже пары десятков сертификатов Let’s Encrypt – вопрос трех минут. Но бывают случаи, когда нужно не 10 и не 20, а безлимит. Здесь дела обстоят не так радужно.

Домены 3 уровня часто дарят своим клиентам хостинг-провайдеры. Обычно бонусом к основной услуге. Согласитесь, с бесплатным сертификатом предложение стало бы еще интереснее. Все так, вот только LE поддерживает лишь ограниченное количество подобных доменов. 128 штук, если быть точным. Поэтому в данном вопросе интеграция с Let’s Encrypt не помощник.

4. Использование блогами
Задача каждого блога состоит в том, чтобы получить максимальное количество подписчиков. Для этого формы ввода email адресов специально размещают на самом видном месте. За подписку нередко дают какой-нибудь небольшой бонус. И я полагаю, что каждый владелец авторского СМИ заинтересован в том, чтобы посетители оставляли реальные адреса, а не ящики для спама. Для этого нужно доверие. Поэтому стоит установить сертификат посерьезнее, чем Let’s Encrypt. В противном случае, вы не убедите посетителей, что их адреса не попадут третьим лицам и на почту не начнет валиться спам. О том, почему это произойдет, я уже рассказал в п.2.

Еще один пример – это различные блоги со специфической аудиторией. Как те, что пишут про Luxury Lifestyle. Использование бесплатного SSL сертификата подобными проектами как минимум выглядит странно. Как если бы редактор из глянца, рассуждающий о высокой моде, ходил бы в бесплатной футболке “Пивко у Михалыча”, выданной промоутером. Далеко не факт, что аудитория таких блогов оценит экономию.

Вывод
Безопасность и доверие можно и нужно использовать как маркетинговые инструменты. Они прямым образом влияют на уровень дохода, который вы можете получить от посетителей вашего сайта. Поэтому, на мой взгляд, SSL сертификаты с проверкой организации по-прежнему являются минимально допустимыми для всех интернет-магазинов и различных сайтов коммерческих проектов.
www.ispsystem.ru/ssl

0 комментариев

Оставить комментарий