Bezpieczeństwo
Darmowy Let’s Encrypt czy płatny certyfikat SSL?
Co znajdziesz w tym artykule:
Darmowy certyfikat SSL budzi zainteresowanie coraz większej grupy internautów. Protokół Secure Sockets Layer do niedawna używany głównie przy zabezpieczaniu transakcji bankowości elektronicznej, dziś stał się światowym standardem. Certyfikat SSL jest podstawową metodą zabezpieczeń, dlatego w myśl idei Let’s Encrypt, powinien być dostępny dla każdego. Co zatem oferuje płatny certyfikat SSL? Kto może korzystać z darmowego certyfikatu SSL? Jaka jest różnica pomiędzy darmowym certyfikatem Let’s Encrypt, w płatnym SSL?
Pod nazwą Let’s Encrypt kryje się inicjatywa darmowych certyfikatów SSL, wprowadzona z ramienia organizacji pożytku publicznego Internet Security Research Group. Od grudnia 2015 roku głównym projektem tejże organizacji jest Urząd Certyfikacji, wspierany finansowo przez międzynarodowe korporacje jak Mozilla, Cisco czy Facebook. W momencie narodzin inicjatywy większa część internetowego ruchu odbywała się przy użyciu nieszyfrowanego protokołu HTTP. Dziś sytuacja się zmieniła, duża część internautów ma świadomość istoty szyfrowania i chętnie wykorzystuje protokół HTTPS, dba o swoje dane i zabezpiecza się przed atakami hakerów.
Darmowy certyfikat SSL – dla kogo?
Let’s Encrypt – darmowy certyfikat SSL – rozwiązał problem dodatkowych kosztów wdrożenia certyfikatu, oferując podstawowy, lecz w pełni darmowy poziom zabezpieczenia. Certyfikat Let’s Encrypt to rozwiązanie, z którego chętnie korzystają osoby prywatne, start-upy, blogerzy i małe firmy. Sprawdza się w przypadku internetowych projektów działających na mniejszą skalę. Co ważne, certyfikatom wydawanym przez Let’s Encrypt ufają wszystkie znane nam przeglądarki.
Ograniczenia Let’s Encrypt
Certyfikaty Let’s Encrypt są bezpłatne, ale posiadają pewne ograniczenia. Przede wszystkim konieczne jest ich ręczne odnawianie co 90 dni, co stanowi dużą niedogodność dla właścicieli witryn.
Co więcej, na ten moment ten typ certyfikatu nie występuje w wariantach typu Let’s Encrypt Wildcard czy Multi-Domain. (Let’s Encrypt zapowiedział wdrożenie certyfikatów na domeny typu Let’s Encrypt Wildcard w styczniu 2018 roku.) Jak czytamy na stronie Urzędu Certyfikacji, darmowe certyfikaty Let’s Encrypt są możliwe dla walidacji typu Domain Validation (DV). Nie ma możliwości rejestracji darmowych certyfikatów o poziomie walidacji OV ani EV. Powodem jest brak możliwości automatyzacji dla wystawiania darmowych certyfikatów. [1]
Kolejne ograniczenie istotne jest dla posiadaczy wielu domen i sub-domen – w ramach darmowego certyfikatu można wystawić do 20 certyfikatów na tydzień w ramach nazwy domeny, tj. domena + 19 sub-domen. Jak widać nie jest on wystarczającym rozwiązaniem dla każdego.
Aktualizacja 20.03.2018
Obsługa certyfikatów Wildcard Let’s Encrypt jest już dostępna. Więcej znajdziesz na stronie.
Kolejną wątpliwością, co do posiadania darmowego certyfikatu SSL jest kwestia bezpieczeństwa. Pamiętamy sytuację z początku 2020 roku, kiedy to wydawca Let’s Encrypt poinformował o cofnięciu części wydanych certyfikatów z powodu błędu CAA. Więcej o tej sytuacji pisaliśmy w jednym z naszych artykułów.
Let’s Encrypt w Kei.pl
Wychodząc naprzeciw potrzebom naszych Klientów, wdrożyliśmy możliwość bezpłatnego szyfrowania certyfikatami Let’s Encrypt. Moduł pozwala naszym klientom aktywować certyfikat dla wybranej domeny z poziomu panelu WebAs. Aby usprawnić korzystanie z certyfikatu wprowadziliśmy mechanizmy automatycznego odnawiania (co 60 dni – wedle zaleceń dostawcy). Ciągłość działania certyfikatów nie wymaga żadnych dodatkowych opłat. Darmowy certyfikat SSL jest wygodny w konfiguracji, a większość czynności jest zautomatyzowana.
Twój dostawca hostingu nie oferuje Let’s Encrypt? Przenieś stronę do Kei.pl
Instalacja Let’s Encrypt w panelu WebAs
Instalując Let’s Encrypt z poziomu panelu Webas należy pamiętać, że:
- instalacja dotyczy WWW (na domenie), nie ma możliwości instalacji dla IP lub adresu panelu (webas);
- każdy certyfikat obejmuje 2 nazwy: domenę oraz jej wariant z WWW – dla każdej sub-domeny wystawiany jest osobny certyfikat;
- nie ma możliwości pobrania z panelu WebAs certyfikatu/klucza, aby zainstalować go na produktach u innych dostawców.
Dowiedz się jak zainstalować certyfikat LE w WebAs.
Czemu istnieją komercyjne certyfikaty?
Nasuwa się pytanie, czemu istnieją płatne certyfikaty SSL, skoro na rynku są dostępne rozwiązania darmowe? Na pierwszy rzut oka, obydwa rozwiązania oferują użytkownikowi rozwiązanie o takich samych możliwościach. Podstawowy rodzaj komercyjnych certyfikatów (DV, domain validation), podobnie jak darmowy certyfikat SSL LE, opiera się na weryfikacji praw do domeny.
Aby uruchomić Let’s Encrypt w panelu WebAs wystarczy zalogować się do niego i wybrać opcję zabezpieczenia domeny. Z kolei aby zainstalować płatny certyfikat SSL, nawet o najniższym stopniu walidacji DV, należy potwierdzić dostęp do adresu e-mailowego utworzonego w domenie, dla której jest wystawiony certyfikat np. admin@adres-strony.pl, webmaster@adres-strony.pl etc. Kliknięcie w link aktywacyjny wysłany podczas aktywacji certyfikatu potwierdza dostęp do adresu e-mail. To zabezpieczenie jest stosowane w przypadku aktywacji każdego certyfikatu SSL. Na tej podstawie prawo do posługiwania się domeną zostaje automatycznie sprawdzone. Po potwierdzeniu klient otrzymuje komunikat o weryfikacji i tym samym następuje wydanie certyfikatu. Jeśli automatyczna weryfikacja domeny nie jest możliwa, subskrybent może wnioskować o weryfikację na podstawie: dokumentu tożsamości, świadectwa zatrudnienia/upoważnienia (jeśli wnioskujący nie jest właścicielem domeny), opłaconego rachunku za domenę lub oświadczenia właściciela.
Pokazuje to, że wystawienie certyfikatu Let’s Encrypt jest maksymalnie proste. Budzi to wiele wątpliwości.
Powszechne Centrum Certyfikacji ma prawo skierować do właściciela domeny prośbę o przesłanie dodatkowych dokumentów niezbędnych do poprawnej weryfikacji.
Czy Let’s Encrypt jest bezpieczny?
O niezwykłej popularności Let’s Encrypt decyduje przede wszystkim łatwość jego użycia. Aby skonfigurować certyfikat nie potrzebujesz dodatkowych dokumentów.
W czym komercyjny certyfikat SSL jest lepszy od darmowego?
Płatne certyfikaty SSL wyższych walidacji jak OV (organization validation) czy EV (extended validation), to nie tylko bezpieczniejsze dane, ale także potwierdzenie autentyczności organizacji, dla których zostały one wydane. Dzięki weryfikacji wszystkich dokumentów odbiorca korzystający z witryny zabezpieczonej certyfikatem SSL OV lub EV ma pewność, że firma działa legalnie i że ma ona prawo do posługiwania się domeną. Dodatkowo w przypadku płatnych rozwiązań odbiorca może skorzystać z certyfikatów typu Wildcard czy Multi-Domain.
Zabezpieczenie sub-domen
Jak zabezpieczyć domenę z nielimitowaną ilością sub-domen oraz wiele adresów WWW? Wybierając połączenie wspomnianych wyżej wariantów Multiwildcard można jednym narzędziem zabezpieczyć dane na wielu domenach oraz nieskończonej ilości ich subdomen do drugiego prefiksu. Zabezpieczenie jednym certyfikatem pozwala na wygodne i łatwe zarządzanie.
Więcej na temat Wildcard.
Darmowy certyfikat SSL a weryfikacja prawa do domeny
Jednym z ważniejszych atutów płatnych rozwiązań jest gwarancja finansowa w przypadku złamania szyfru. Poniżej przedstawiamy gwarantowane wartości. Let’s Encrypt zabezpiecza strony na podstawowym poziomie. Na oficjalnej stronie czytamy także, że organizacja nie ma planów na poszerzenie oferty. Zainteresowanym zwiększeniem bezpieczeństwa serwisu pozostają płatne certyfikaty z poziomu OV i EV.
- DV (Domain Validation)
Certyfikat wydawany na podstawie weryfikacji prawa do domeny. Proces weryfikacji polega na porównaniu danych abonenta domeny, zapisanych w bazie WHOIS z danymi znajdującymi się w pliku CSR przesyłanym podczas zamówienia certyfikatu. Wystawca certyfikatu weryfikuje także, czy pod zgłoszoną domeną działa strona WWW. - OV (Organization Validation)
Poza wiarygodnością domeny, certyfikat z linii OV to gwarancja autentyczności danych jej właściciela. Składając zamówienie na certyfikat należy dostarczyć odpowiednie dokumenty np. w przypadku firm wpis do KRS bądź umowę spółki. - EV (Extended Validation)
Poświadcza prawo do domeny oraz dane właściciela. Wyświetla tzw. zielony pasek adresu, najczęściej spotykana na stronie banków, firm ubezpieczeniowych czy medycznych. W celu zamówienia takiego certyfikatu firma bądź organizacja powinna dostarczyć precyzyjne dane i komplet dokumentów w języku angielskim.
Aktualizacja 16.10.2019
Główne przeglądarki internetowe (od Chrome 77, Firefox 70) nie wyświetlają już tzw. zielonego paska adresu. Więcej na blogu Chrome
Z korzyścią dla małej działalności
Internet pamięta czasy, gdy z szyfrowanego protokołu korzystały wyłącznie największe serwisy i banki. Jeśli na stronie znajdują się elementy zawierające poufne informacje (m.in. loginy i hasła) szyfrowanie połączenia jest po prostu standardem, tak aby dane nie mogły zostać odczytane przez osoby postronne. Dziś szyfrowanie danych staje się normą, nawet w przypadku małych e-commerce. Decyzja o poziomie walidacji powinna być uzależniona od indywidualnych potrzeb. Darmowy certyfikat SSL nie sprawdzi się w każdym przypadku.
Aktualizacja 16.10.2019
Wszystkie strony niezabezpieczone certyfikatem SSL wywołują w przeglądarkach (w tym w Firefox) wyświetlenie ostrzeżenia – nie tylko strony, na których dochodzi do przekazania danych wrażliwych.
Począwszy od Chrome 80 przeglądarka wymusza dla zasobów audio i video zmianę protokołu z HTTP na HTTPS. Kolejno od wersji Chrome 81 HTTPS jest wymagany także dla zasobów obrazkowych.
Must-have
HTTPS to same zalety. Warto pamiętać, że od stycznia 2017 Chrome zmienił sposób informowania o stronach niezabezpieczonych. Jasno komunikuje użytkowników, że strona nie jest zaszyfrowana. Wyświetlony komunikat zniechęca użytkownika, to niemal pewne, że klient opuści stronę WWW i skorzysta z oferty konkurencji. Skąd takie nagłe działanie nastawione na promocję SSL? Do popularyzacji certyfikatów w dużej mierze przyczyniło się właśnie Google już kilka lat temu. Celem działań Google jest promowanie witryn zaufanych i zweryfikowanych.
Zabezpiecz swoją stronę certyfikatem SSL z Kei.pl
W przypadku problemów z instalacją certyfikatu SSL skorzystaj z pomocy naszych administratorów. Napisz lub zadzwoń: 12 349 22 00
W Kei.pl specjaliści IT są dostępni 24/7 i odpowiadają na zgłoszenia przez całą dobę.
Źródło:
[1] https://letsencrypt.org/docs/faq/
Certyfikatem SSL zabezpieczyć możemy każdą stronę – zarówno serwis bankowy, sklep internetowy, jak i bloga czy aplikację webową.
Największe ograniczenia związane z użytkowaniem darmowych certyfikatów Let’s Encrypt, to: konieczność ręcznego ich odnawiania co 90 dni oraz limit 20 certyfikatów na tydzień w obrębie jednej domeny.
Komercyjne certyfikaty SSL powstały z myślą o zastosowaniach biznesowych. W przeciwieństwie do darmowego Let’s Encrypt zapewniają lepszy poziom walidacji (potwierdzenia tożsamości właściciela), co przekłada się na większą wiarygodność domeny. Certyfikaty komercyjne objęte są również gwarancją finansową na wypadek złamania szyfru przez cyberprzestępców.
Komercyjny certyfikat objęty jest gwarancją finansową na wypadek złamania zabezpieczeń czy kradzieży tożsamości, jakiej nie dają darmowe rozwiązania. Co więcej, komercyjne certyfikaty mogą być wystawiane na wiele lat (w przypadku Let’s Encrypt – na 3 miesiące).
Darmowy certyfikat Let’s Encrypt zainstalujesz z poziomu panelu Webas. Dokładną instrukcję znajdziesz tutaj.
Certyfikat SSL jest potrzebny. Poświadcza on wiarygodność domeny internetowej, a także stanowi gwarancję bezpieczeństwa dla użytkowników korzystających z Twojej strony www.
Poczytaj więcej na naszym blogu
-
Co to jest traceroute?
Czasami dostęp do niektórych witryn internetowych może być utrudniony. Traceroute to przyjazne dla użytkownika narzędzie, które pomaga zdiagnozować przyczynę takiego problemu! -
Wyłudzanie danych. Uważaj na fałszywe wiadomości
Wyłudzanie danych, to zjawisko nasiliło się zwłaszcza teraz, gdy spora część naszych aktywności przeniosła się do sieci. Jak nie dać się „złowić”? Zobacz na co zwracać uwagę.