Obalamy mity o SSL – cz. I darmowy certyfikat

Słyszycie magiczne hasło SSL i nic Wam to nie mówi? Nie wiecie, jakie są różnice między certyfikatami i co powinniście wybrać? Zapraszamy na ciut więcej wiedzy o SSL. Dziś pierwsza część, w której opowiemy Wam, dlaczego Lets Encrypt wcale nie jest złym certyfikatem.

Lets Encrypt jest darmowym certyfikatem, którego nie odróżnia w sensie stricte technicznym nic od certyfikatów komercyjnych. Wynika to z użytej kryptografii, która w obu przypadkach jest taka sama. Przekonanie o wyższości certyfikatów komercyjnych nad darmowym wynika z przeświadczenia klientów o konieczności zapłaty za produkt, który spełniałby standardy bezpieczeństwa. Tymczasem firmy odpowiedzialne za wystawianie certyfikatów muszą przedstawić audyt Webtrust, bez względu czy produkt jest darmowy czy komercyjny. Jest to kompletny audyt – zarówno od strony oprogramowania, jak i fizyczny – w serwerowni. Audyt ten jest nadawany na czas określony, trzeba przeprowadzać go co roku, a za jego wykonaniem stoją np. oddziały firmy E&Y.

Zasadniczo rozróżniamy trzy rodzaje certyfikatów

• DV – Domain Validation – do tej grupy należą najtańsze certyfikaty, które nie potwierdzają kto stoi za stroną, ale zapewniają również bezpieczeństwo. Walidacja odbywa się automatycznie na podstawie danych przekazanych przy rejestracji domeny. Użyta kryptografia jest taka sama jak w przypadku OV i EV.
• OV – Organization Validation – w certyfikacie wpisano kto jest właścicielem strony. Zanim zostanie wystawiony, następuje weryfikacja danych na podstawie odpowiednich dokumentów. OV potwierdzają właściciela strony, jednak sprawdzenie tego przez klientów wymaga kilkukrotnego „przeklikania”, aby odczytać wszystkie dane.
• EV – Extended Validation – daje zielony pasek w przeglądarce. To najbardziej poszerzona weryfikacja właściciela certyfikatu. EV jest stosowany przez firmy i instytucje, które szczególnie kładą nacisk na dane klientów. Dane właściciela są od razu widoczne po jednokrotnym kliknięciu. Certyfikaty z tej grupy się najdroższe i przyznawane dopiero w ramach specjalnych, często czasochłonnych zabiegów. Pozwalają zapewnić prostą i rzetelną formę weryfikacji właściciela witryny. Przykładem takiego certyfikatu jest ten nadany nam – https://jdm.pl 

Dla zwykłego użytkownika najczęściej jest to już duża bariera, bo sam podział nic dla niego nie znaczy lub wybór na rynku wydaje się być zbyt szeroki. Poza tym firmy hostingowe często starają się przekonać do wyboru jedynego słusznego rozwiązania, nie tłumacząc tak naprawdę, jakie są podstawowe różnice. Pod względem bezpieczeństwa nie ma różnicy w użyciu danego certyfikatu. Spełniają one te same warunki audytu. Problemem jest uwiarygodnienie strony dla odwiedzającego. OV lub EV pozwalają na weryfikację właściciela certyfikatu. Przy czym OV ma mniejsze praktyczne znaczenie, bo chociaż procedura jego uzyskania jest mniej czasochłonna od EV i jest tańszy, jest mniej wygodny dla użytkownika (konieczność szukania bez zasady 1 kliknięcia w dotarciu do informacji). EV jest tutaj wyborem bardzo dobrym, ale jeżeli mamy niewielką, prywatną stronę, może się okazać, że jest dla nas zbyt drogi. Ponadto nie zawsze mamy potrzebę, aby uwiarygodniać się aż tak przed użytkownikami. Kryptografia, czyli sposób zakodowania informacji z formy na jawnej na niejawną, jest tutaj TAKI SAM BEZ WZGLĘDU NA GRUPĘ, do której należy certyfikat.

Jaki certyfikat wybrać?

Lets Encrypt jest uniwersalny dla wszystkich.  Jeśli po prostu potrzebujemy SSL (a jest to obecnie już standardem) to Lets Encrypt daje nam to za darmo. Jego jakość nie jest niższa niż innych certyfikatów, a różnice są formalne. Natomiast jeśli prowadzimy np. sklep internetowy i zależy nam na większym zaufaniu – wybierz certyfikat EV. Pamiętajcie, że jego roczny koszt waha się pomiędzy 500 a 1500 PLN. Dlatego zawsze należy rozważyć korzyści płynące z obu tych rozwiązań i wybrać to, które będzie dla nas optymalne.