Darmowy certyfikat SSL budzi zainteresowanie coraz większej grupy internautów. Protokół Secure Sockets Layer jeszcze kilka lat temu używany głównie przy zabezpieczaniu transakcji bankowości elektronicznej, dziś stał się światowym standardem. Certyfikat SSL jest podstawową metodą zabezpieczeń, dlatego w myśl idei Let’s Encrypt, powinien być dostępny dla każdego.

Z tego artykułu dowiesz się:

  • Co oferuje płatny certyfikat SSL?
  • Kto może korzystać z darmowego certyfikatu SSL? 
  • Jaka jest różnica pomiędzy darmowym certyfikatem Let’s Encrypt, w płatnym SSL?

Let’s Encrypt – co to jest?

Pod nazwą Let’s Encrypt kryje się inicjatywa darmowych certyfikatów SSL, wprowadzona z ramienia organizacji pożytku publicznego Internet Security Research Group. Od grudnia 2015 roku głównym projektem tejże organizacji jest Urząd Certyfikacji, wspierany finansowo przez międzynarodowe korporacje jak Mozilla, Cisco czy Facebook.

W momencie narodzin inicjatywy większa część internetowego ruchu odbywała się przy użyciu nieszyfrowanego protokołu HTTP. Dziś sytuacja się zmieniła, duża część internautów ma świadomość istoty szyfrowania i chętnie wykorzystuje protokół HTTPS, dba o swoje dane i zabezpiecza się przed atakami hakerów. Małe tego strony, które nie posiadają SSL oznaczane są przez Google jako niebezpieczne.

Darmowy certyfikat SSL – dla kogo?

Let’s Encrypt – darmowy certyfikat SSL – rozwiązał problem dodatkowych kosztów wdrożenia certyfikatu, oferując podstawowy, lecz w pełni darmowy poziom zabezpieczenia. Certyfikat Let’s Encrypt to rozwiązanie, z którego chętnie korzystają osoby prywatne, start-upy, blogerzy i małe firmy. 

Sprawdza się w przypadku internetowych projektów działających na mniejszą skalę. Co ważne, certyfikatom wydawanym przez Let’s Encrypt ufają wszystkie znane nam przeglądarki.

Ograniczenia Let’s Encrypt

Certyfikaty Let’s Encrypt są bezpłatne, ale posiadają pewne ograniczenia. Przede wszystkim konieczne jest ich ręczne odnawianie co 90 dni, co stanowi dużą niedogodność dla właścicieli witryn.

Kolejne ograniczenie istotne jest dla posiadaczy wielu domen i sub-domen – w ramach darmowego certyfikatu można wystawić do 50 certyfikatów na tydzień w ramach nazwy domeny, tj. domena + 19 sub-domen. Jak widać nie jest on wystarczającym rozwiązaniem dla każdego.

Automatycznie instalowany Let’s Encrypt

Wychodząc naprzeciw potrzebom naszych Klientów, wdrożyliśmy możliwość bezpłatnego szyfrowania certyfikatami Let’s Encrypt. Wybierając hosting, poufność dzięki szyfrowanej transmisji załatwiona bezpłatnie w 30 sek. Otrzymasz od nas atomatycznie instalowany i odnawiany Let’s Encrypt.

Czemu istnieją komercyjne certyfikaty?

Nasuwa się pytanie, czemu istnieją płatne certyfikaty SSL, skoro na rynku są dostępne rozwiązania darmowe? Na pierwszy rzut oka, obydwa rozwiązania oferują użytkownikowi rozwiązanie o takich samych możliwościach. Podstawowy rodzaj komercyjnych certyfikatów (DV, domain validation), podobnie jak darmowy certyfikat SSL LE, opiera się na weryfikacji praw do domeny.

Aby uruchomić Let’s Encrypt w panelu WebAs wystarczy zalogować się do niego i wybrać opcję zabezpieczenia domeny. Z kolei aby zainstalować płatny certyfikat SSL, nawet o najniższym stopniu walidacji DV, należy potwierdzić dostęp do adresu e-mailowego utworzonego w domenie, dla jakiej jest wystawiony certyfikat np. admin@adres-strony.pl, webmaster@adres-strony.pl etc.

Kliknięcie w link aktywacyjny wysłany podczas aktywacji certyfikatu potwierdza dostęp do adresu e-mail. To zabezpieczenie jest stosowane w przypadku aktywacji każdego certyfikatu SSL. Na tej podstawie prawo do posługiwania się domeną zostaje automatycznie sprawdzone.

Po potwierdzeniu klient otrzymuje komunikat o weryfikacji i tym samym następuje wydanie certyfikatu. Jeśli automatyczna weryfikacja domeny nie jest możliwa, subskrybent może wnioskować o weryfikację na podstawie: dokumentu tożsamości, świadectwa zatrudnienia/upoważnienia (jeśli wnioskujący nie jest właścicielem domeny), opłaconego rachunku za domenę lub oświadczenia właściciela.

Pokazuje to, że wystawienie certyfikatu Let’s Encrypt jest maksymalnie proste. Budzi to wiele wątpliwości.

Powszechne Centrum Certyfikacji ma prawo skierować do właściciela domeny prośbę o przesłanie dodatkowych dokumentów niezbędnych do poprawnej weryfikacji.

Czy Let’s Encrypt jest bezpieczny?

O niezwykłej popularności Let’s Encrypt decyduje przede wszystkim łatwość jego użycia. Aby skonfigurować certyfikat nie potrzebujesz dodatkowych dokumentów.

W czym komercyjny certyfikat SSL jest  lepszy od darmowego?

Płatne certyfikaty SSL wyższych walidacji jak OV (organization validation) czy EV (extended validation), to nie tylko bezpieczniejsze dane, ale także potwierdzenie autentyczności organizacji, dla których zostały one wydane. Dzięki weryfikacji wszystkich dokumentów odbiorca korzystający z witryny zabezpieczonej certyfikatem SSL OV lub EV ma pewność, że firma działa legalnie i że ma ona prawo do posługiwania się domeną. Dodatkowo w przypadku płatnych rozwiązań odbiorca może skorzystać z certyfikatów typu Wildcard czy Multi-Domain.

Zabezpieczenie sub-domen

Jak zabezpieczyć domenę z nielimitowaną ilością sub-domen oraz wiele adresów WWW? Wybierając połączenie wspomnianych wyżej wariantów Multiwildcard można jednym narzędziem zabezpieczyć dane na wielu domenach oraz nieskończonej ilości ich subdomen do drugiego prefiksu. Zabezpieczenie jednym certyfikatem pozwala na wygodne i łatwe zarządzanie.

Darmowy certyfikat SSL a weryfikacja prawa do domeny

Jednym z ważniejszych atutów płatnych rozwiązań jest gwarancja finansowa w przypadku złamania szyfru. Poniżej przedstawiamy gwarantowane wartości. Let’s Encrypt zabezpiecza strony na podstawowym poziomie. Na oficjalnej stronie czytamy także, że organizacja nie ma planów na poszerzenie oferty. Zainteresowanym zwiększeniem bezpieczeństwa serwisu pozostają płatne certyfikaty z poziomu OV i EV.

Certyfikat DV

Certyfikat OV

Certyfikat EV

  • DV (Domain Validation)
    Certyfikat wydawany na podstawie weryfikacji prawa do domeny. Proces weryfikacji polega na porównaniu danych abonenta domeny, zapisanych w bazie WHOIS z danymi znajdującymi się w pliku CSR przesyłanym podczas zamówienia certyfikatu. Wystawca certyfikatu weryfikuje także, czy pod zgłoszoną domeną działa strona WWW.

  • OV (Organization Validation)
    Poza wiarygodnością domeny, certyfikat z linii OV to gwarancja autentyczności danych jej właściciela. Składając zamówienie na certyfikat  należy dostarczyć odpowiednie dokumenty np. w przypadku firm wpis do KRS bądź umowę spółki.

  • EV (Extended Validation)
    Poświadcza prawo do domeny oraz dane właściciela. Wyświetla tzw. zielony pasek adresu, najczęściej spotykana na stronie banków, firm ubezpieczeniowych czy medycznych. W celu zamówienia takiego certyfikatu firma bądź organizacja powinna dostarczyć precyzyjne dane i komplet dokumentów w języku angielskim.

Z korzyścią dla małej działalności

Internet pamięta czasy, gdy z szyfrowanego protokołu korzystały wyłącznie największe serwisy i banki.  Jeśli na stronie znajdują się elementy zawierające poufne informacje (m.in. loginy i hasła) szyfrowanie połączenia jest po prostu standardem, tak aby dane nie mogły zostać odczytane przez osoby postronne. Dziś szyfrowanie danych staje się normą, nawet w przypadku małych e-commerce. Decyzja o poziomie walidacji powinna być uzależniona od indywidualnych potrzeb. Darmowy certyfikat SSL nie sprawdzi się w każdym przypadku.

Wszystkie strony niezabezpieczone certyfikatem SSL wywołują w przeglądarkach (w tym w Firefox) wyświetlenie ostrzeżenia.
Począwszy 2018 roku, najnowsze aktualizacje przeglądarki Chrome wymuszają dla zasobów audio i video i grafik zmianę protokołu z HTTP na HTTPS.

Let’s Encrypt – FAQ

Certyfikatem SSL zabezpieczyć możemy każdą stronę – zarówno serwis bankowy, sklep internetowy, jak i bloga czy aplikację webową.

Największe ograniczenia związane z użytkowaniem darmowych certyfikatów Let’s Encrypt, to: konieczność ręcznego ich odnawiania co 90 dni oraz limit 50 certyfikatów na tydzień w obrębie jednej domeny.

Komercyjne certyfikaty SSL powstały z myślą o zastosowaniach biznesowych. W przeciwieństwie do darmowego Let’s Encrypt zapewniają lepszy poziom walidacji (potwierdzenia tożsamości właściciela), co przekłada się na większą wiarygodność domeny. Certyfikaty komercyjne objęte są również gwarancją finansową na wypadek złamania szyfru przez cyberprzestępców.

Komercyjny certyfikat objęty jest gwarancją finansową na wypadek złamania zabezpieczeń czy kradzieży tożsamości, jakiej nie dają darmowe rozwiązania. Co więcej, komercyjne certyfikaty mogą być wystawiane na wiele lat (w przypadku Let’s Encrypt – na 3 miesiące).

Certyfikat SSL jest potrzebny. Poświadcza on wiarygodność domeny internetowej, a także stanowi gwarancję bezpieczeństwa dla użytkowników korzystających z Twojej strony www.

>
Daniel Drożdż
Marketer z wykształcenia i pasji. Certyfikowany specjalista Google Ads. Fan Automatyzacji Marketingu. Związany z rynkiem hostingowym od 2016 r. Prywatnie zrobił ponad 1200 km górskimi szlakami.

Dodaj komentarz

Twój adres e-mail nie będzie opublikowany.

Polecane dla Ciebie

Szukasz dalej?