Свободните SSL сертификати са по-добри от търговските?
Поради възхода на използването на криптиране в мрежата, хората започнаха да я свързват с доверие. Това, разбира се, създаде ефект на снежна топка, при който повече уебсайтове се почувстваха стимули за приемането на SSL / TLS криптиране, за да не застанат зад тях. По-специално, сайтовете за електронна търговия бяха сред първите, които чувстваха натиск, тъй като клиентите внимаваха да извършват онлайн транзакции без криптиране.
Когато става дума за уебсайтове, притежавани от лица, криптирането става нещо повече от просто алгоритъм, използван за осигуряване на онлайн процеси. Това е по-сложен въпрос, като сертифициращите органи (CAs) и различните нива на разрешение. Сега, с появата на безплатни CAs като Let's Encrypt, хората се питат защо съществуват търговски алтернативи. Дали те са "по-добри?" Или има ли още история?
Разбиране на CA и тяхната важност
За да използвате HTTPS и да разпознаете уебсайта си като "сигурен" (което означава, че лентата на URL адреса става зелена, когато даден потребител посети сайта ви), се изисква някаква форма на разрешение. Нуждаете се от SSL сертификат, издаден от сертифициращ орган. Сертификатът ще "потвърди" вашето онлайн присъствие като нещо "реално". Има различни видове потвърждаване:
- Удостоверяване на домейн (DV), което доказва безспорно, че вие сте вие и притежавате домейна, който искате да защитите
- Организационно валидиране (OV), което доказва, че притежавате домейна и потвърждавате няколко неща за организацията зад вашия сайт
- Разширено валидиране (EV), което извършва задълбочен и строг анализ на домейна, организацията и правния статус
Процесът на сертифициране на DV очевидно е много по-лесен за получаване, тъй като всичко, което трябва да направите, е да представите доказателство, че притежавате домейна си. Всъщност това е нещо, което може да бъде автоматизирано.
Сега нека да стигнем до Свободните CAs
Сертифициращите органи искат да криптират издадените DV сертификати без разходи. Те успяват да автоматизират процеса на проверка на собствеността на домейна до такава степен, че да им струва почти нищо да ви потвърдят. Това е добре, ако имате уеб сайт, който не изисква потребителите да споделят чувствителни данни (например номера на кредитни карти, данни за банкови сметки, номера на паспорти и т.н.).
Ако работите с уебсайт за електронна търговия, може би трябва да потърсите решение за търговски сертификат. Нивото на доверие, което предоставя разширеното валидиране, ще легитимира вашата организация по-далеч от всяка друга форма на сертифициране. Най-малкото получавате сертификат за OV, ако не искате да се притеснявате с бюрокрацията зад EV.
Ако притежавате голямо уеб устройство, което е домакин на уебсайтове в няколко поддомейна, може да сте разочаровани, за да разберете, че не можете да получите безплатно сертификат за заместващ знак (дори и от "Нека да шифроваме"). Този сертификат ще ви позволи да потвърдите всеки поддомейн, който създавате под основното име на домейн.
Заключението тук е проста: ако работите с обикновен уеб сайт, който не изисква обмен на поверителни данни, сертификат за валидиране на домейн, като тези, предлагани от Let's Encrypt, ще бъде наред. Нямате нужда от нещо по-красиво!
В противен случай трябва да се придържате към търговските органи. В някои страни дори можете да попаднете на правни проблеми, защото не сте използвали разширен сертификат за валидност за правно обвързващи споразумения.
Смятате ли, че в крайна сметка можем да автоматизираме всички потвърждавания на сертификати? Или е само един огромен скок твърде далеч за човечеството? Кажете ни в коментар!