Är gratis SSL-certifikat bättre än kommersiella?
På grund av ökningen av användningen av kryptering över hela världen har människor börjat associera det med förtroende. Detta skapade naturligtvis en snöbollseffekt, där fler webbplatser kände incitamentet att anta SSL / TLS-kryptering för att de inte kommer att falla bakom sig. E-handelswebbplatser var i synnerhet bland de första som kände att trycket som kunder var försiktig för att göra transaktioner online utan kryptering.
När det gäller webbplatser som ägs av enheter blir kryptering något mer än bara en viss algoritm som används för att säkra onlineprocesser. Det är en mer komplicerad sak, med certifikatmyndigheter (CA) och olika nivåer av tillstånd. Nu, med utseendet på fria CA: er som Let's Encrypt, frågar folk sig själva varför kommersiella alternativ ens existerar. Är de "bättre?" Eller är det mer till historien?
Förstå CAs och deras betydelse
För att använda HTTPS och få din webbplats som "säker" (vilket betyder att webbadressen blir grön när en användare besöker din webbplats) kräver någon form av behörighet. Du behöver ett SSL-certifikat som utfärdats av en certifikatmyndighet. Ett certifikat kommer att "validera" din online-närvaro som något "riktigt". Det finns olika typer av validering:
- Domain validation (DV), som visar sig otänkbart att du är du och du äger domänen du vill ha säkrat
- Organisatorisk validering (OV), som visar att du äger domänen och verifierar några saker om organisationen bakom din webbplats
- Utvidgad validering (EV), som utför en grundlig och noggrann analys av din domän, din organisation och dess juridiska status
Certifieringsprocessen för DV är uppenbarligen mycket lättare att erhålla eftersom allt du behöver göra är att lämna in bevis på att du äger din domän. Faktum är att det här är något som kan automatiseras.
Nu får vi komma till gratis certifikat
Certifikatmyndigheter som Låt oss Kryptera utfärda DV-certifikat utan kostnad. De lyckas automatisera processen med domän ägarverifiering i en utsträckning att det kostar dem nästan ingenting att validera dig. Det här är bra och dammigt om du har en webbplats som inte kräver användaren att dela med sig av känsliga data (t.ex. kreditkortsnummer, bankkontouppgifter, passnummer etc.).
Om du kör en e-handelswebbplats, kanske du bör titta på att gå för en kommersiell certifikatmyndighet. Nivån på förtroende som en förlängd validering ger kommer att legitimera din organisation ytterligare än någon annan form av certifieringsburk. Få åtminstone ett OV-certifikat om du inte vill bry sig om byråkratin bakom att få EV.
Om du äger en stor webbenhet som värd webbplatser på flera underdomäner, kanske du är besviken över att du inte kan få ett jokerteckcertifikat gratis (inte ens från Låt oss kryptera). Detta certifikat låter dig validera alla underdomäner du skapar under ditt huvuddomännamn.
Slutsatsen här är enkel: om du kör en enkel webbplats som inte kräver utbyte av känslig data, kommer ett domänvalideringsbevis som de som erbjuds av Let's Encrypt att vara bra. Du behöver inte någonting snyggare!
Annars borde du hålla fast vid de kommersiella myndigheterna. I vissa länder kan du till och med komma in i juridiska problem eftersom du inte använde ett utökat valideringsintyg för juridiskt bindande avtal.
Tror du att vi så småningom kan automatisera alla certifikat validering? Eller är det bara ett enormt språng för långt för mänskligheten? Berätta för oss i en kommentar!