Darmowy Let’s Encrypt czy płatny certyfikat SSL?

Darmowy certyfikat SSL budzi zainteresowanie coraz większej grupy internautów. Protokół Secure Sockets LayerSSL (Secure Sockets Layer) to protokół kryptograficzny, który zapewnia bezpieczne połączenie między użytkownikiem a serwerem, chroniąc dane przesyłane przez internet. SSL jest najczęściej używany do zabezpieczania połączeń na stronach internetowych, zwłaszcza tych, które wymagają podania danych osobowych, takich jak loginy, hasła czy informacje o płatnościach. SSL jest niezbędny na każdej stronie internetowej, na której użytkownicy przesyłają dane wrażliwe, na przykład w sklepie internetowym czy podczas rejestracji na stronie. Aby wdrożyć...Czym jest SSL? jeszcze kilka lat temu używany głównie przy zabezpieczaniu transakcji bankowości elektronicznej, dziś stał się światowym standardem. Certyfikat SSL jest podstawową metodą zabezpieczeń, dlatego w myśl idei Let’s EncryptObejrzyj przygotowany przez nas film i dowiedz się, jak wygenerować darmowy certyfikat SSL Let’s Encrypt https://www.youtube.com/watch?v=8FbPyjbtioQ Let’s Encrypt - zautomatyzowany ośrodek certyfikacji (CA), działający dla dobra społeczeństwa. Inicjatywa wprowadzona z ramienia organizacji pożytku publicznego Internet Security Research Group. Idea SSL za darmo funkcjonuje od grudnia 2015 roku, głównym projektem tejże organizacji jest urząd certyfikacji, wspierany finansowo przez międzynarodowe korporacje m.in. przez Mozillę, Cisco i Facebooka. W momencie narodzin inicjatywy większa...Czym jest Let’s Encrypt?, powinien być dostępny dla każdego.

Z tego artykułu dowiesz się:

• Co oferuje płatny certyfikat SSL?
• Kto może korzystać z darmowego certyfikatu SSL? 
• Jaka jest różnica pomiędzy darmowym certyfikatem Let’s Encrypt, w płatnym SSL?

Let’s Encrypt – co to jest?

Pod nazwą Let’s Encrypt kryje się inicjatywa darmowych certyfikatów SSL, wprowadzona z ramienia organizacji pożytku publicznego Internet Security Research Group. Od grudnia 2015 roku głównym projektem tejże organizacji jest Urząd Certyfikacji, wspierany finansowo przez międzynarodowe korporacje jak Mozilla, CiscoCisco to globalna firma technologiczna specjalizująca się w produkcji sprzętu sieciowego, oprogramowania oraz usług związanych z infrastrukturą IT. Cisco jest najbardziej znana z rozwiązań sieciowych, takich jak routery, przełączniki, zapory sieciowe oraz narzędzia do zarządzania sieciami. Produkty i technologie firmy są kluczowe dla funkcjonowania wielu korporacyjnych infrastruktur informatycznych, jak również dla hostingu www. Co oferuje Cisco? Cisco dostarcza szeroki wachlarz produktów i usług, które obejmują: Routery i przełączniki sieciowe, które...Czym jest Cisco? czy Facebook.

W momencie narodzin inicjatywy większa część internetowego ruchu odbywała się przy użyciu nieszyfrowanego protokołu HTTPHTTP (Hypertext Transfer Protocol) jest protokołem komunikacyjnym, podstawowym systemem wykorzystywanym w Internecie, który umożliwia przeglądarkom internetowym łączenie się z serwerami i pobieranie z nich stron internetowych. Jak działa HTTP? HTTP działa na zasadzie żądania i odpowiedzi pomiędzy klientem (przeglądarką) a serwerem. Kiedy użytkownik wpisuje adres strony w przeglądarce, przeglądarka wysyła żądanie HTTP do serwera, który następnie przetwarza to żądanie i wysyła odpowiedź, zwykle w formie strony internetowej, którą użytkownik może...Czym jest Http?. Dziś sytuacja się zmieniła, duża część internautów ma świadomość istoty szyfrowania i chętnie wykorzystuje protokół HTTPSHTTPS (Hypertext Transfer Protocol Secure) – to rozszerzona wersja protokołu HTTP, która zapewnia bezpieczne połączenie pomiędzy przeglądarką użytkownika a serwerem. HTTPS wykorzystuje szyfrowanie za pomocą protokołu SSL (Secure Sockets Layer) lub jego nowszej wersji, TLS (Transport Layer Security), co gwarantuje poufność przesyłanych danych, ich integralność oraz autentyczność strony internetowej. Dzięki temu jest to standard stosowany przede wszystkim na stronach wymagających ochrony danych, takich jak banki, sklepy internetowe czy formularze logowania...Czym jest HTTPS?, dba o swoje dane i zabezpiecza się przed atakami hakerów. Małe tego strony, które nie posiadają SSL oznaczane są przez Google jako niebezpieczne.

Darmowy certyfikat SSL – dla kogo?

Let’s Encrypt – darmowy certyfikat SSL – rozwiązał problem dodatkowych kosztów wdrożenia certyfikatu, oferując podstawowy, lecz w pełni darmowy poziom zabezpieczenia. Certyfikat Let’s Encrypt to rozwiązanie, z którego chętnie korzystają osoby prywatne, start-upy, blogerzy i małe firmy. 

Sprawdza się w przypadku internetowych projektów działających na mniejszą skalę. Co ważne, certyfikatom wydawanym przez Let’s Encrypt ufają wszystkie znane nam przeglądarki.

Ograniczenia Let’s Encrypt

Certyfikaty Let’s Encrypt są bezpłatne, ale posiadają pewne ograniczenia. Przede wszystkim konieczne jest ich ręczne odnawianie co 90 dni, co stanowi dużą niedogodność dla właścicieli witryn.

Kolejne ograniczenie istotne jest dla posiadaczy wielu domen i sub-domen – w ramach darmowego certyfikatu można wystawić do 50 certyfikatów na tydzień w ramach nazwy domeny, tj. domena + 19 sub-domen. Jak widać nie jest on wystarczającym rozwiązaniem dla każdego.

Automatycznie instalowany Let’s Encrypt

Wychodząc naprzeciw potrzebom naszych Klientów, wdrożyliśmy możliwość bezpłatnego szyfrowania certyfikatami Let’s Encrypt. Wybierając hosting, poufność dzięki szyfrowanej transmisji załatwiona bezpłatnie w 30 sek. Otrzymasz od nas atomatycznie instalowany i odnawiany Let’s Encrypt.

Czemu istnieją komercyjne certyfikaty?

Nasuwa się pytanie, czemu istnieją płatne certyfikaty SSL, skoro na rynku są dostępne rozwiązania darmowe? Na pierwszy rzut oka, obydwa rozwiązania oferują użytkownikowi rozwiązanie o takich samych możliwościach. Podstawowy rodzaj komercyjnych certyfikatów (DV, domain validation), podobnie jak darmowy certyfikat SSL LE, opiera się na weryfikacji praw do domeny.

Aby uruchomić Let’s Encrypt w panelu WebAs wystarczy zalogować się do niego i wybrać opcję zabezpieczenia domeny. Z kolei aby zainstalować płatny certyfikat SSL, nawet o najniższym stopniu walidacji DV, należy potwierdzić dostęp do adresu e-mailowego utworzonego w domenie, dla jakiej jest wystawiony certyfikat np. admin@adres-strony.pl, webmaster@adres-strony.pl etc.

Kliknięcie w link aktywacyjny wysłany podczas aktywacji certyfikatu potwierdza dostęp do adresu e-mail. To zabezpieczenie jest stosowane w przypadku aktywacji każdego certyfikatu SSL. Na tej podstawie prawo do posługiwania się domeną zostaje automatycznie sprawdzone.

Po potwierdzeniu klient otrzymuje komunikat o weryfikacji i tym samym następuje wydanie certyfikatu. Jeśli automatyczna weryfikacja domeny nie jest możliwa, subskrybent może wnioskować o weryfikację na podstawie: dokumentu tożsamości, świadectwa zatrudnienia/upoważnienia (jeśli wnioskujący nie jest właścicielem domeny), opłaconego rachunku za domenę lub oświadczenia właściciela.

Pokazuje to, że wystawienie certyfikatu Let’s Encrypt jest maksymalnie proste. Budzi to wiele wątpliwości.

Powszechne Centrum Certyfikacji ma prawo skierować do właściciela domeny prośbę o przesłanie dodatkowych dokumentów niezbędnych do poprawnej weryfikacji.

Czy Let’s Encrypt jest bezpieczny?

O niezwykłej popularności Let’s Encrypt decyduje przede wszystkim łatwość jego użycia. Aby skonfigurować certyfikat nie potrzebujesz dodatkowych dokumentów.

W czym komercyjny certyfikat SSL jest  lepszy od darmowego?

Płatne certyfikaty SSL wyższych walidacji jak OV (organization validation) czy EV (extended validation), to nie tylko bezpieczniejsze dane, ale także potwierdzenie autentyczności organizacji, dla których zostały one wydane. Dzięki weryfikacji wszystkich dokumentów odbiorca korzystający z witryny zabezpieczonej certyfikatem SSL OV lub EV ma pewność, że firma działa legalnie i że ma ona prawo do posługiwania się domeną. Dodatkowo w przypadku płatnych rozwiązań odbiorca może skorzystać z certyfikatów typu Wildcard czy Multi-Domain.

Zabezpieczenie sub-domen

Jak zabezpieczyć domenę z nielimitowaną ilością sub-domen oraz wiele adresów WWW? Wybierając połączenie wspomnianych wyżej wariantów Multiwildcard można jednym narzędziem zabezpieczyć dane na wielu domenach oraz nieskończonej ilości ich subdomen do drugiego prefiksu. Zabezpieczenie jednym certyfikatem pozwala na wygodne i łatwe zarządzanie.

Darmowy certyfikat SSL a weryfikacja prawa do domeny

Jednym z ważniejszych atutów płatnych rozwiązań jest gwarancja finansowa w przypadku złamania szyfru. Poniżej przedstawiamy gwarantowane wartości. Let’s Encrypt zabezpiecza strony na podstawowym poziomie. Na oficjalnej stronie czytamy także, że organizacja nie ma planów na poszerzenie oferty. Zainteresowanym zwiększeniem bezpieczeństwa serwisu pozostają płatne certyfikaty z poziomu OV i EV.

• DV (Domain Validation)
  Certyfikat wydawany na podstawie weryfikacji prawa do domeny. Proces weryfikacji polega na porównaniu danych abonenta domeny, zapisanych w bazie WHOIS z danymi znajdującymi się w pliku CSR przesyłanym podczas zamówienia certyfikatu. Wystawca certyfikatu weryfikuje także, czy pod zgłoszoną domeną działa strona WWW.
• OV (Organization Validation)
  Poza wiarygodnością domeny, certyfikat z linii OV to gwarancja autentyczności danych jej właściciela. Składając zamówienie na certyfikat  należy dostarczyć odpowiednie dokumenty np. w przypadku firm wpis do KRS bądź umowę spółki.
• EV (Extended Validation)
  Poświadcza prawo do domeny oraz dane właściciela. Wyświetla tzw. zielony pasek adresu, najczęściej spotykana na stronie banków, firm ubezpieczeniowych czy medycznych. W celu zamówienia takiego certyfikatu firma bądź organizacja powinna dostarczyć precyzyjne dane i komplet dokumentów w języku angielskim.

Z korzyścią dla małej działalności

Internet pamięta czasy, gdy z szyfrowanego protokołu korzystały wyłącznie największe serwisy i banki.  Jeśli na stronie znajdują się elementy zawierające poufne informacje (m.in. loginy i hasła) szyfrowanie połączenia jest po prostu standardem, tak aby dane nie mogły zostać odczytane przez osoby postronne. Dziś szyfrowanie danych staje się normą, nawet w przypadku małych e-commerce. Decyzja o poziomie walidacji powinna być uzależniona od indywidualnych potrzeb. Darmowy certyfikat SSL nie sprawdzi się w każdym przypadku.

Wszystkie strony niezabezpieczone certyfikatem SSL wywołują w przeglądarkach (w tym w Firefox) wyświetlenie ostrzeżenia.
Począwszy 2018 roku, najnowsze aktualizacje przeglądarki Chrome wymuszają dla zasobów audio i video i grafik zmianę protokołu z HTTP na HTTPS.