Wiedza dedykowana Tobie

Darmowy Let’s Encrypt czy płatny certyfikat SSL?

06 grudnia 2017

Protokół Secure Sockets Layer do niedawna używany głównie przy zabezpieczaniu transakcji bankowości elektronicznej, dziś stał się światowym standardem. Certyfikat SSL jest podstawową metodą zabezpieczeń, dlatego w myśl idei Let’s Encrypt, powinien być dostępny dla każdego. Co zatem oferuje płatny certyfikat SSL?

Pod nazwą Let’s Encrypt kryje się inicjatywa darmowych certyfikatów SSL, wprowadzona z ramienia organizacji pożytku publicznego Internet Security Research Group. Od grudnia 2015 roku głównym projektem tejże organizacji jest urząd certyfikacji, wspierany finansowo przez międzynarodowe korporacje m.in. przez Mozillę, Cisco i Facebook’a. W momencie narodzin inicjatywy większa część internetowego ruchu odbywała się przy użyciu nieszyfrowanego protokołu HTTP. Dziś sytuacja nieco się zmieniła, duża część internautów ma świadomość istoty szyfrowania i chętnie wykorzystuje protokół HTTPS, dba o swoje dane i zabezpiecza się przed atakami hakerów.


Darmowe szyfrowanie nie dla każdego?

Let’s Encrypt rozwiązało problem dodatkowych kosztów wdrożenia certyfikatu, oferując podstawowy, lecz w pełni darmowy poziom zabezpieczenia. Certyfikat Let’s Encrypt to rozwiązanie z którego chętnie korzystają osoby prywatne, startupy, blogerzy i małe firmy. Sprawdza się w przypadku internetowych projektów działających na mniejszą skalę. Certyfikatom wydawanym przez Let’s Encrypt ufają wszystkie znane nam przeglądarki.

Pierwszy krok do bezpieczeństwa

Certyfikaty Let’s Encrypt posiadają pewne ograniczenia. Konieczne jest ich ręczne odnawianie co 90 dni. To duża niedogodność dla właścicieli witryn. Co więcej, na ten moment ten typ certyfikatu nie występuje w wariantach typu Wildcard i MultiDomain. Let’s Encrypt zapowiedział wdrożenie certyfikatów na domeny typu Wildcard w styczniu 2018 roku.  Obecnie istnieje ograniczenie, które może okazać się istotne dla posiadaczy wielu domen i subdomen – w ramach Let’s Encrypt można wystawić do 20 certyfikatów na tydzień w ramach nazwy domeny, tj. domena + 19 subdomen. Jak widać nie jest on wystarczającym rozwiązaniem dla każdego. Pomimo to o Let’s Encrypt warto wiedzieć, skorzystać z niego na początku tworzenia projektu, w ramach pierwszego kroku do bezpieczeństwa.


płatny certyfikat SSL

Wdrożenie bezpłatnych rozwiązań

Kei.pl również wdrożył możliwość bezpłatnego szyfrowania certyfikatami Let’s Encrypt. Moduł pozwala naszym klientom aktywować certyfikat dla danej domeny z poziomu panelu Webas. Aby usprawnić korzystanie z certyfikatu wprowadziliśmy mechanizmy automatycznego odnawiania (co 60 dni, wedle zaleceń dostawcy). Ciągłość działania certyfikatów nie wymaga żadnych dodatkowych opłat. Let’s Encrypt jest wygodny w konfiguracji, większość czynności jest zautomatyzowana.

Instalując Let’s Encrypt z poziomu panelu Webas należy pamiętać, że:

  • instalacja dotyczy WWW (na domenie), nie ma możliwości instalacji dla IP lub adresu panelu (webas),
  • każdy certyfikat obejmuje 2 nazwy: domenę oraz jej wariant z WWW – dla każdej subdomeny wystawiany jest osobny certyfikat,
  • nie ma możliwości pobrania z panelu Webas certyfikatu/klucza, aby zainstalować go na produktach u innych dostawców.

Więcej o procesie instalacji certyfikatu dla domeny: https://www.kei.pl/pomoc/certyfikat-lets-encrypt


Diabeł tkwi w szczegółach

Nasuwa się pytanie, czemu istnieją płatne certyfikaty SSL, skoro na rynku są dostępne rozwiązania darmowe? Na pierwszy rzut oka, oba rozwiązania oferują użytkownikowi rozwiązanie o takich samych możliwościach. Podstawowa linia komercyjnych certyfikatów (DV) podobnie jak Let’s Encrypt opiera się na weryfikacji praw do domeny. Jednak aby uruchomić ochronę Let’s Encrypt wystarczy zalogować się do panelu Webas i wybrać zabezpieczenie domeny. Aby zainstalować płatny certyfikat SSL o najniższym stopniu walidacji DV należy już potwierdzić dostęp do adresu mailowego w domenie, dla której jest wystawiony certyfikat np. admin@adres-strony.pl, webmaster@adres-strony.pl etc.

Kliknięcie w link aktywacyjny wysłany podczas aktywacji certyfikatu potwierdza dostęp do adresu e-mail. To zabezpieczenie jest stosowane w przypadku aktywacji każdego certyfikatu SSL. Na tej podstawie prawo do posługiwania się domeną zostaje automatycznie sprawdzone. Po potwierdzeniu klient otrzymuje komunikat o weryfikacji i tym samym następuje wydanie certyfikatu. Jeśli automatyczna weryfikacja domeny nie jest możliwa, subskrybent może wnioskować o weryfikację na podstawie: dokumentu tożsamości, świadectwa zatrudnienia/upoważnienia (jeśli wnioskujący nie jest właścicielem domeny), opłaconego rachunku za domenę lub oświadczenia właściciela. Powszechne Centrum Certyfikacji ma prawo skierować do właściciela domeny prośbę o przesłanie dodatkowych dokumentów niezbędnych do poprawnej weryfikacji.


Czym wygrywa płatny certyfikat SSL?

Jak widać płatne certyfikaty SSL to nie tylko bezpieczne dane, ale także potwierdzenie autentyczności marki. Dzięki weryfikacji wszystkich dokumentów odbiorca korzystający z witryny zabezpieczonej certyfikatem SSL ma pewność, że firma działa legalnie i że ma ona prawo do posługiwania się domeną. Dodatkowo w przypadku płatnych rozwiązań odbiorca może skorzystać z typów certyfikatów Wildcard i Multidomain.

płatny certyfikat SSL

Jak zabezpieczyć domenę z nielimitowaną ilością subdomen oraz wiele adresów WWW? Wybierając połączenie wspomnianych wyżej wariantów Multiwildcard można jednym narzędziem zabezpieczyć dane na wielu domenach oraz nieskończonej ilości ich subdomen do drugiego prefiksu. Zabezpieczenie jednym certyfikatem pozwala na wygodne i łatwe zarządzanie. Więcej informacji na https://www.kei.pl/blog/ssl-multiwildcard-ochrona-wielu/.

Weryfikacja prawa do domeny

Jednym z ważniejszych atutów płatnych rozwiązań jest gwarancja finansowa w przypadku złamania szyfru. Poniżej przedstawiamy gwarantowane wartości. Let’s Encrypt zabezpiecza strony na podstawowym poziomie. Na oficjalnej stronie czytamy także, że organizacja nie ma planów na poszerzenie oferty. Zainteresowanych zwiększeniem bezpieczeństwa serwisu pozostają płatne certyfikaty z poziomu OV i EV.Let's Encrypt Kei.pl


DV (Domain Validation)
Certyfikat wydawany na podstawie weryfikacji prawa do domeny. Proces weryfikacji polega na porównaniu danych abonenta domeny, zapisanych w bazie WHOIS z danymi znajdującymi się w pliku CSR przesyłanym podczas zamówienia certyfikatu. Wystawca certyfikatu weryfikuje także, czy pod zgłoszoną domeną działa strona WWW.

OV (Organization Validation)

Poza wiarygodnością domeny, certyfikat z linii OV to gwarancja autentyczności danych jej właściciela. Składając zamówienie na certyfikat  należy dostarczyć odpowiednie dokumenty np. w przypadku firm wpis do KRS bądź umowę spółki.

EV (Extended Validation)
Poświadcza prawo do domeny oraz dane właściciela. Wyświetla tzw. zielony pasek adresu, najczęściej spotykana na stronie banków, firm ubezpieczeniowych czy medycznych. W celu zamówienia takiego certyfikatu firma bądź organizacja powinna dostarczyć precyzyjne dane i komplet dokumentów w języku angielskim.



Z korzyścią dla małej działalności

Internet pamięta czasy, gdy z szyfrowanego protokołu korzystały wyłącznie największe serwisy i banki.  Jeśli na stronie znajdują się elementy zawierające poufne informacje (m.in. loginy i hasła) szyfrowanie połączenia jest po prostu standardem, tak aby dane nie mogły zostać odczytane przez osoby postronne. Dziś szyfrowanie danych staje się normą, nawet w przypadku małych e-commerce. Decyzja o poziomie walidacji powinna być uzależniona od indywidualnych potrzeb.

let's encrypt

Zielona kłódka must have obecnych czasów

Strona w wersji HTTPS to same zalety. Warto pamiętać, że od stycznia 2017 Chrome zmienił sposób informowania o stronach niezabezpieczonych. Jasno komunikuje odbiorcy, że strona nie jest zaszyfrowana. Wyświetlony komunikat zniechęca użytkownika, to niemal pewnie, że klient opuści stronę WWW i skorzysta z oferty konkurencji. Skąd takie nagłe działanie nastawione na promocję SSL? Do popularyzacji certyfikatów w dużej mierze przyczyniło się właśnie Google już kilka lat temu. W 2014 roku do algorytmu popularnej wyszukiwarki został dodany nowy wskaźnik dotyczący zabezpieczenia strony. Celem googlowskich działań jest promowanie witryn zaufanych i zweryfikowanych.

Płatny certyfikaty SSL to nie tylko zabezpieczenie danych. Zielona kłódka przy adresie WWW budzi zaufanie użytkowników, a to przekłada się na realne zyski właścicieli sklepów internetowych. Analizy pokazują, że zielony pasek bezpośrednio zmniejsza współczynnik odrzuceń. Szyfrowane strony są lepiej pozycjonowane w wynikach wyszukiwania, a to w naturalny sposób wpływa na wyniki sprzedażowe.

Zabezpiecz swoją stronę z Kei.pl. Sprawdź ofertę certyfikatów SSL.

Darmowy Let’s Encrypt czy płatny certyfikat SSL?
4.2 (83.75%) 16 głosów
  • Dobrze jest, że Państwa serwis działa z certyfikatami! SSL to ważna rzecz dla administratorów, którzy dbają o bezpieczeństwie swojego serwisu.