fbpx
Wiedza dedykowana Tobie

Darmowy Let’s Encrypt czy płatny certyfikat SSL?

06 grudnia 2017

Darmowy certyfikat SSL budzi zainteresowanie coraz większej grupy internautów. Protokół Secure Sockets Layer do niedawna używany głównie przy zabezpieczaniu transakcji bankowości elektronicznej, dziś stał się światowym standardem. Certyfikat SSL jest podstawową metodą zabezpieczeń, dlatego w myśl idei Let’s Encrypt, powinien być dostępny dla każdego. Co zatem oferuje płatny certyfikat SSL? Kto może korzystać z darmowego certyfikatu SSL? 


Pod nazwą Let’s Encrypt kryje się inicjatywa darmowych certyfikatów SSL, wprowadzona z ramienia organizacji pożytku publicznego Internet Security Research Group. Od grudnia 2015 roku głównym projektem tejże organizacji jest Urząd Certyfikacji, wspierany finansowo przez międzynarodowe korporacje jak Mozilla, Cisco czy Facebook. W momencie narodzin inicjatywy większa część internetowego ruchu odbywała się przy użyciu nieszyfrowanego protokołu HTTP. Dziś sytuacja się zmieniła, duża część internautów ma świadomość istoty szyfrowania i chętnie wykorzystuje protokół HTTPS, dba o swoje dane i zabezpiecza się przed atakami hakerów.


Darmowy certyfikat SSL – dla kogo?

Let’s Encrypt – darmowy certyfikat SSL – rozwiązał problem dodatkowych kosztów wdrożenia certyfikatu, oferując podstawowy, lecz w pełni darmowy poziom zabezpieczenia. Certyfikat Let’s Encrypt to rozwiązanie, z którego chętnie korzystają osoby prywatne, start-upy, blogerzy i małe firmy. Sprawdza się w przypadku internetowych projektów działających na mniejszą skalę. Co ważne, certyfikatom wydawanym przez Let’s Encrypt ufają wszystkie znane nam przeglądarki.


Ograniczenia Let’s Encrypt

Certyfikaty Let’s Encrypt są bezpłatne, ale posiadają pewne ograniczenia. Przede wszystkim konieczne jest ich ręczne odnawianie co 90 dni, co stanowi dużą niedogodność dla właścicieli witryn.

Co więcej, na ten moment ten typ certyfikatu nie występuje w wariantach typu Let’s Encrypt Wildcard czy Multi-Domain. (Let’s Encrypt zapowiedział wdrożenie certyfikatów na domeny typu Let’s Encrypt Wildcard w styczniu 2018 roku.)

Kolejne ograniczenie istotne jest dla posiadaczy wielu domen i sub-domen – w ramach darmowego certyfikatu można wystawić do 20 certyfikatów na tydzień w ramach nazwy domeny, tj. domena + 19 sub-domen. Jak widać nie jest on wystarczającym rozwiązaniem dla każdego.

Aktualizacja 20.03.2018
Obsługa certyfikatów Wildcard Let’s Encrypt jest już dostępna. Więcej na: community.letsencrypt.org


Let’s Encrypt w Kei.pl

Wychodząc naprzeciw potrzebom naszych Klientów, wdrożyliśmy możliwość bezpłatnego szyfrowania certyfikatami Let’s Encrypt. Moduł pozwala naszym klientom aktywować certyfikat dla wybranej domeny z poziomu panelu WebAs. Aby usprawnić korzystanie z certyfikatu wprowadziliśmy mechanizmy automatycznego odnawiania (co 60 dni – wedle zaleceń dostawcy). Ciągłość działania certyfikatów nie wymaga żadnych dodatkowych opłat. Darmowy certyfikat SSL jest wygodny w konfiguracji, a większość czynności jest zautomatyzowana.

Twój dostawca hostingu nie oferuje Let’s Encrypt? Przenieś stronę do Kei.pl


Instalacja Let’s Encrypt w panelu WebAs

Instalując Let’s Encrypt z poziomu panelu Webas należy pamiętać, że:

  • instalacja dotyczy WWW (na domenie), nie ma możliwości instalacji dla IP lub adresu panelu (webas);
  • każdy certyfikat obejmuje 2 nazwy: domenę oraz jej wariant z WWW – dla każdej sub-domeny wystawiany jest osobny certyfikat;
  • nie ma możliwości pobrania z panelu WebAs certyfikatu/klucza, aby zainstalować go na produktach u innych dostawców.

Dowiedz się jak zainstalować certyfikat LE w WebAs.


Darmowy Let's Encrypt


Czemu istnieją komercyjne certyfikaty?

Nasuwa się pytanie, czemu istnieją płatne certyfikaty SSL, skoro na rynku są dostępne rozwiązania darmowe? Na pierwszy rzut oka, obydwa rozwiązania oferują użytkownikowi rozwiązanie o takich samych możliwościach. Podstawowy rodzaj komercyjnych certyfikatów (DV, domain validation), podobnie jak darmowy certyfikat SSL LE, opiera się na weryfikacji praw do domeny.

Aby uruchomić Let’s Encrypt w panelu WebAs wystarczy zalogować się do niego i wybrać opcję zabezpieczenia domeny. Z kolei aby zainstalować płatny certyfikat SSL, nawet o najniższym stopniu walidacji DV, należy potwierdzić dostęp do adresu e-mailowego utworzonego w domenie, dla której jest wystawiony certyfikat np. admin@adres-strony.pl, webmaster@adres-strony.pl etc. Kliknięcie w link aktywacyjny wysłany podczas aktywacji certyfikatu potwierdza dostęp do adresu e-mail. To zabezpieczenie jest stosowane w przypadku aktywacji każdego certyfikatu SSL. Na tej podstawie prawo do posługiwania się domeną zostaje automatycznie sprawdzone. Po potwierdzeniu klient otrzymuje komunikat o weryfikacji i tym samym następuje wydanie certyfikatu. Jeśli automatyczna weryfikacja domeny nie jest możliwa, subskrybent może wnioskować o weryfikację na podstawie: dokumentu tożsamości, świadectwa zatrudnienia/upoważnienia (jeśli wnioskujący nie jest właścicielem domeny), opłaconego rachunku za domenę lub oświadczenia właściciela.

Pokazuje to, że wystawienie certyfikatu Let’s Encrypt jest maksymalnie proste. Budzi to wiele wątpliwości.

Powszechne Centrum Certyfikacji ma prawo skierować do właściciela domeny prośbę o przesłanie dodatkowych dokumentów niezbędnych do poprawnej weryfikacji.


W czym komercyjny certyfikat SSL jest lepszy od darmowego?

Płatne certyfikaty SSL wyższych walidacji jak OV (organization validation) czy EV (extended validation), to nie tylko bezpieczniejsze dane, ale także potwierdzenie autentyczności organizacji, dla których zostały one wydane. Dzięki weryfikacji wszystkich dokumentów odbiorca korzystający z witryny zabezpieczonej certyfikatem SSL OV lub EV ma pewność, że firma działa legalnie i że ma ona prawo do posługiwania się domeną. Dodatkowo w przypadku płatnych rozwiązań odbiorca może skorzystać z certyfikatów typu Wildcard czy Multi-Domain.


Zabezpieczenie sub-domen

Jak zabezpieczyć domenę z nielimitowaną ilością sub-domen oraz wiele adresów WWW? Wybierając połączenie wspomnianych wyżej wariantów Multiwildcard można jednym narzędziem zabezpieczyć dane na wielu domenach oraz nieskończonej ilości ich subdomen do drugiego prefiksu. Zabezpieczenie jednym certyfikatem pozwala na wygodne i łatwe zarządzanie.
Więcej na temat Wildcard


Darmowy certyfikat SSL a weryfikacja prawa do domeny

Jednym z ważniejszych atutów płatnych rozwiązań jest gwarancja finansowa w przypadku złamania szyfru. Poniżej przedstawiamy gwarantowane wartości. Let’s Encrypt zabezpiecza strony na podstawowym poziomie. Na oficjalnej stronie czytamy także, że organizacja nie ma planów na poszerzenie oferty. Zainteresowanym zwiększeniem bezpieczeństwa serwisu pozostają płatne certyfikaty z poziomu OV i EV.


DV (Domain Validation)

Certyfikat wydawany na podstawie weryfikacji prawa do domeny. Proces weryfikacji polega na porównaniu danych abonenta domeny, zapisanych w bazie WHOIS z danymi znajdującymi się w pliku CSR przesyłanym podczas zamówienia certyfikatu. Wystawca certyfikatu weryfikuje także, czy pod zgłoszoną domeną działa strona WWW.

OV (Organization Validation)

Poza wiarygodnością domeny, certyfikat z linii OV to gwarancja autentyczności danych jej właściciela. Składając zamówienie na certyfikat  należy dostarczyć odpowiednie dokumenty np. w przypadku firm wpis do KRS bądź umowę spółki.

EV (Extended Validation)

Poświadcza prawo do domeny oraz dane właściciela. Wyświetla tzw. zielony pasek adresu, najczęściej spotykana na stronie banków, firm ubezpieczeniowych czy medycznych. W celu zamówienia takiego certyfikatu firma bądź organizacja powinna dostarczyć precyzyjne dane i komplet dokumentów w języku angielskim.

Aktualizacja 16.10.2019
Główne przeglądarki internetowe (od Chrome 77, Firefox 70) nie wyświetlają już tzw. zielonego paska adresu. Więcej na blogu Chrome


Z korzyścią dla małej działalności

Internet pamięta czasy, gdy z szyfrowanego protokołu korzystały wyłącznie największe serwisy i banki.  Jeśli na stronie znajdują się elementy zawierające poufne informacje (m.in. loginy i hasła) szyfrowanie połączenia jest po prostu standardem, tak aby dane nie mogły zostać odczytane przez osoby postronne. Dziś szyfrowanie danych staje się normą, nawet w przypadku małych e-commerce. Decyzja o poziomie walidacji powinna być uzależniona od indywidualnych potrzeb. Darmowy certyfikat SSL nie sprawdzi się w każdym przypadku.

Aktualizacja 16.10.2019
Wszystkie strony niezabezpieczone certyfikatem SSL wywołują w przeglądarkach (w tym w Firefox) wyświetlenie ostrzeżenia – nie tylko strony, na których dochodzi do przekazania danych wrażliwych.


Must-have

HTTPS to same zalety. Warto pamiętać, że od stycznia 2017 Chrome zmienił sposób informowania o stronach niezabezpieczonych. Jasno komunikuje użytkowników, że strona nie jest zaszyfrowana. Wyświetlony komunikat zniechęca użytkownika, to niemal pewne, że klient opuści stronę WWW i skorzysta z oferty konkurencji. Skąd takie nagłe działanie nastawione na promocję SSL? Do popularyzacji certyfikatów w dużej mierze przyczyniło się właśnie Google już kilka lat temu. Celem działań Google jest promowanie witryn zaufanych i zweryfikowanych.


Zabezpiecz swoją stronę certyfikatem SSL z Kei.pl

let's encrypt kei.pl
W przypadku problemów z instalacją certyfikatu SSL skorzystaj z pomocy naszych administratorów. Napisz na bok@kei.pl lub zadzwoń: 12 349 22 00
W Kei.pl specjaliści IT są dostępni 24/7 i odpowiadają na zgłoszenia przez całą dobę.