GlobalSign — один из крупнейших в мире удостоверяющих центров (Certificate Authority, CA). Основан в 1996 году в Бельгии, с 2012 года принадлежит японской компании GMO Internet. Выдаёт TLS/SSL-сертификаты всех типов (DV, OV, EV), сертификаты для подписи кода, документов и email (S/MIME). Аккредитован во всех основных браузерах и операционных системах.
Как работает GlobalSign
GlobalSign входит в PKI (Public Key Infrastructure) интернета: его корневые сертификаты встроены в Root Store браузеров. Chrome/Chromium доверяет через Chrome Root Store (обновляется с 2022 года независимо от ОС), Firefox — через Mozilla Root Program, Microsoft — через Windows Root Certificate Program, Apple — через macOS Keychain. Цепочка доверия GlobalSign: Root CA (корневой, срок 20–30 лет) → Intermediate CA (промежуточный, срок 5–10 лет) → SSL/TLS-сертификат конечного сайта (1–2 года).
GlobalSign обеспечивает OCSP (Online Certificate Status Protocol) для проверки статуса сертификата в реальном времени и CRL (Certificate Revocation List) для отзыва скомпрометированных сертификатов. OCSP Stapling позволяет серверу кэшировать ответ OCSP и передавать его клиенту в TLS Handshake, ускоряя соединение и снимая нагрузку с OCSP-серверов GlobalSign.
Для корпоративных клиентов GlobalSign предлагает Atlas — платформу автоматизации жизненного цикла сертификатов с интеграцией ACME-протокола: автоматическое получение, обновление и отзыв OV/EV-сертификатов без участия человека. К 2020 году через Atlas обслуживалось более 20 миллионов активных сертификатов.
История
GlobalSign основан в 1996 году в Брюсселе как первый европейский CA — в то время рынок доминировали американские VeriSign и Thawte. В 2000 году компания получила аккредитацию WebTrust и была включена в Root Store Microsoft. В 2012 году куплена GMO Internet Inc. (Япония). В 2011 году GlobalSign временно приостановил выдачу сертификатов для проверки после взлома нидерландского CA DigiNotар — сам GlobalSign взломан не был, но провёл аудит из соображений безопасности.
GlobalSign входит в число примерно 130 CA, аккредитованных CA/Browser Forum. Их публичный список — на ccadb.org. В 2015 году GlobalSign подписал более 2,5 миллиона сертификатов; к 2022 году платформа Atlas обслуживает крупных enterprise-клиентов: ING Bank, Nokia, Toyota.
GlobalSign vs Let's Encrypt
| Параметр | GlobalSign | Let's Encrypt |
|---|---|---|
| Типы сертификатов | DV, OV, EV, Code Signing, S/MIME | DV только |
| Стоимость | От $50/год (OV), от $200/год (EV) | Бесплатно |
| Срок действия | До 1 года (398 дней) | 90 дней |
| Финансовая гарантия | До $1,5 млн | Нет |
| ACME-автоматизация | Да (Atlas) | Да (Certbot, acme.sh) |
| Скорость выдачи OV | 1–5 рабочих дней | Только DV — секунды |
На что обращать внимание
Для большинства веб-сайтов Let's Encrypt достаточен. GlobalSign и другие платные CA нужны для OV/EV или подписи кода. При выборе CA проверяйте их репутацию: в 2011 году CA Diginotar был взломан и отозван из всех браузеров — сотни тысяч сайтов перестали работать. Финансовая гарантия GlobalSign (до $1,5 млн) — страховка на случай ошибки при валидации, а не компенсация пользователям. При использовании автоматизированного продления через Atlas убедитесь, что приватный ключ генерируется локально и не передаётся на серверы CA.