Nieoczywiste kryteria wyboru certyfikatu SSL

Certyfikaty SSL wybiera się, przede wszystkim zwracając uwagę na ich klasę. I choć jest to najważniejsze kryterium, to nie jest ono jedyne. Wiele osób kieruje się przy wyborze marką wystawcy certyfikatu czy nawet zaufaniem do dystrybutora, ale są również inne – często nieoczywiste – kryteria, o których warto pamiętać.

  • Zakres ochrony. Większość certyfikatów chroni tylko jedną domenę. Na rynku dostępne są jednak także dwa inne typy certyfikatów: wildcard, które chronią wszystkie subdomeny oraz multi-domain, które mogą chronić do 100 różnych nazw domenowych.

  • Wsparcie dla domen IDN. Domeny IDN (Internationalized Domain Name), a więc zawierające w nazwach znaki diakrytyczne charakterystyczne dla danego języka, np. dla polskiego ą, ę, ł, itd., nie są obsługiwane przez niektóre certyfikaty. Chcąc zabezpieczyć witrynę w takiej właśnie domenie, trzeba wybrać certyfikat oferujący wsparcie dla domen IDN.

  • Ochrona domeny głównej i bez przedrostka www. O ile certyfikaty typu Wildcard z zasady chronią obie wersje adresu, o tyle w przypadku pozostałych typów certyfikatów nie jest to oczywiste. Niektórzy wydawcy certyfikatów oferują ochronę obu adresów jednym certyfikatem, a inni nie – do tej pierwszej grupy należą między innymi Comodo, GeoTrust, RapidSSL i DomenySSL.

  • Opcja SAN. Jest to przydatna w pewnych okolicznościach właściwość certyfikatu, który pozwala na ochronę kilku nazw domenowych zlokalizowanych pod tym samym adresem IP. Nazwy chronione określa się przy zakupie certyfikatu w pliku CSR.

  • Możliwość wymiany certyfikatu. Opcja reissue obowiązuje w przypadku większości certyfikatów, ale są i takie, których wymiana nie jest możliwa. Zwykle okres, w którym możliwe jest ponowne wydanie certyfikatu, wynosi 30 dni, a jest to przydatne między innymi w przypadku zmiany algorytmu z SHA-1 (dziś niezalecanego) na SHA-2, zgubienia klucza prywatnego lub samego certyfikatu, niedopasowania klucza do certyfikatu itd.

Słowo o cenach

Ceny certyfikatów SSL, nawet o tym samym zakresie działania i podobnych opcjach dodatkowych, mogą się znacząco różnić. Dla wielu osób stają się one również dodatkowym kryterium wyboru, ale jest to sprawa dość kontrowersyjna. Sam mechanizm zabezpieczający jest we wszystkich przypadkach identyczny – nie ma znaczenia, jaki podmiot wydaje certyfikat, bo dane zawsze będą zabezpieczone dokładnie tak samo. Wzrost ceny wraz z kolejnymi funkcjami dodatkowymi też nie budzi żadnych zastrzeżeń, natomiast należy pamiętać, że certyfikaty są wydawane przez podmioty komercyjne, więc konkurencja cenowa będzie tu miała miejsce. Dla samej ważności certyfikatu nie ma to znaczenia, natomiast w niektórych przypadkach warto rozważyć także prestiż – nie jest on na pewno czynnikiem decydującym, ale w przypadku niektórych firm czy typów serwisów internetowych będzie odgrywał także poślednią rolę. Podstawowym kryterium wyboru musi być jednak dopasowanie certyfikatu do rzeczywistych potrzeb klienta i możliwości serwera.