为网站选择 SSL 证书

2022年春季,多家国外认证机构暂停为俄罗斯联邦颁发新的SSL证书。国内SSL证书有一定的局限性。但也许它们的安装很快就会被推荐给俄罗斯政府组织和公司。在本文中,我们将讨论市场现状,并就 2024 年在网站上安装哪些证书以确保访问者的安全提出建议。

哪些认证中心离开了俄罗斯

2022 年,国际认证中心 Trustwave、Sectigo (Comodo)、DigiCert、Thawte、Symantec 和 GeoTrust 暂停在俄罗斯域名区域(.ru、.su、.рф)颁发 SSL 证书。

同时,DigiCert 继续为国际区域(.com、.net、.org、.info 等)中的域名颁发 DV 证书,无论域名所有者来自哪个国家/地区。此列表中的其余中心不会为俄罗斯居民颁发任何证书。

 

俄罗斯还有哪些认证中心?

唯一继续为俄罗斯市场颁发付费 SSL 证书 图书馆商店 的认证机构是 GlobalSign。在 RU-CENTER 注册的域名所有者可以获得此证书,该证书已被证明是可靠的。有关 GlobalSign 证书类型和颁发条件的更多信息,请参见此处

此外,俄罗斯用户仍有机会获得Let’s Encrypt(一家非营利性国际认证机构)的免费证书。此类证书的有效期仅为 90 天。它们的主要缺点是 Let’s Encrypt 对用户没有义务。如果证书被盗,网站所有者将不会获得任何赔偿。

 

 

 

免费证书还有其他功能,我们在“当免费比付费更贵时”一文中详细讨论了这些功能。为什么付费购买 SSL 证书更好?

外国 SSL 证书的俄罗斯替代品有哪些?

到目前为止,俄罗斯只有两个与外国证书类似的证书:数字发展部和互联网技术中心(TCI)的证书。尽管它们不断发展,但这些证书仍然存在一些局限性。  

数字发展部证书

很快,要在互联网上购物或访问政府网站,您将需要数字发展部的证书。国家服务网站表示,如果外国 SSL 证书被撤销或过期,它将予以替换。 

目前仅政府机构强制安装数字发展 商业创新——它是什么以及它为何重要 部证书。但一些大公司,例如Sber,也决定提前改用此类证书。他们需要这样做,以便不依赖外国认证机构,并使用俄罗斯技术确保客户数据的安全。组织可以通过 Gosuslugi 获得数字发展部的证书。

默认情况下,仅在俄罗斯浏览器(Yandex 浏览器和 Atom)中安装数字发展部证书。由于制裁,在不久的将来不太可能就在 Google Chrome、Safari、Firefox 或 Opera 等国际浏览器中安装它们达成一致。使用流行操作系统的设备将不会有俄罗斯证书:Windows、Android、iOS 和 macOS。

因此,如果网站上安装了数字发展部证书,并且用户通过开发者已经安装了俄罗斯证书颁发机构根证书的浏览器访问该网站,则无需执行任何其他操作。

但另一种选择也是可能的:用户 亚洲电话号码 将使用外国软件,例如基于Android和Google Chrome的设备。然后他会看到一条警告,指出数据是通过不安全的 HTTP 协议传输的,访问该网站是不安全的。如果用户将数字发展部的证书添加到他的设备,则可以删除此类警告。

TCI证书

2024年信息安全领域进口替代很可能快速发展。该州计划在TCI平台上创建一个认证中心,颁发SSL证书。

与其他认证中心一样,TCI 将能够颁发 90 天和 365 天的证书;对于一个域或一个域及其所有子域(通配符证书);基于通用ECDSA密码算法。但除此之外,证书还将基于 GOST 34.10 系列的俄罗斯密码算法颁发。

随着时间的推移,政府网络资源很可能会建议或强制安装 TCI 的证书,企业也可能会这样做。

现在,TCI 正在努力确保其颁发的证书安装在 Yandex Browser 和 Atom 中。

 

在这种情况下应该在网站上安装什么证书?

您可以在一个网站上同时安装两个证书。

 

  • GlobalSign 的国际版,可在国际浏览器中运行,可以充分保证网站的安全。
  • 俄罗斯人之一。 

然而,这里有一个细微差别:如果没有根据客户端浏览器对证书选择进行额外配置,则可能会出现随机打开一个或另一个证书的情况,通常会向客户端发出有关资源不安全的警报。证书必须能够确定客户端连接参数,并且仅在适当时才包含在这些选项中。

另请阅读:

 

  • 当免费的比付费的更贵时。为什么付费购买 SSL 证书更好? 

发表评论

您的电子邮箱地址不会被公开。 必填项已用 * 标注