Когда нужно и когда не нужно регистрировать открытые сертификаты SSL/TLS

Прежде чем вы примете решение от том, будете ли вы регистрировать сертификат в журналах CT, важно понять, что в подавляющем большинстве ситуаций регистрация ваших сертификатов в открытых журналах CT является правильным выбором.

При этом мы знаем, что у вас могут быть внутренние домены, которые вы не хотите делать открытыми в журналах CT. Эти домены можно исключить из журналов CT. Ниже приведена некоторая информация, на основе которой вы сможете принять правильное решение по регистрации в журналах CT.

Когда мне необходимо регистрировать мой открытый сертификат SSL/TLS?

Если сертификат защищен открытым веб-сайтом, вы должны обязательно зарегистрировать его в открытых журналах CT.

  • Информация о вашем сертификате уже является открытой. Посетитель вашего веб-сайта может нажать пиктограмму замка в вашем браузере, чтобы просмотреть подробные данные о сертификате; эти данные также будут доступны в открытых журналах CT.
  • Отказ от регистрации сертификата не дает каких-либо преимуществ, создавая только неудобства – браузеры не требуют регистрации CT (Chrome, Safari и прочие браузеры), при этом публично открытые сертификаты, которые не зарегистрированы, будут вызывать появление недоверенного предупреждения. При этом разрывается подключение пользователя к вашему сайту и делает ваш сайт практически нерабочим.

В каких случаях я должен сохранять информацию о моем сертификате SSL/TLS конфиденциальной?

Если сертификат защищается внутренним или частным сайтом, и у вас имеются имена организации и домена, которые необходимо сохранять конфиденциальными по причинам, связанным с брендингом, конфиденциальностью или проблемами сетевой безопасности, вам не следует выбирать опцию отказа от регистрации сертификата.

Недостаток состоит в том, что большинство браузеров содержат требования по регистрации в CT (например, Chrome, Safari и т. д.), и всякий, подключающийся к вашему сайту, будет видеть недоверенное предупреждение. Итак, проверьте следующее:

  • Вам действительно необходимо сохранять конфиденциальности имен организации и домена.
  • Приготовьтесь руководить пользователями, которые посетили сайт и получили недоверенное предупреждение.

О проекте

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.