SSL darmowy czy płatny?

Zanim zaczniemy się zastanawiać który certyfikat wybrać darmowy czy płatny zacznijmy może od początku.

Możesz też od ręki zobaczyć podsumowanie.

Co to jest certyfikat SSL i do czego służy

W wielkim uproszczeniu Certyfikat SSL to kawałek unikalnego kodu na naszym serwerze dzięki któremu mamy możliwość szyfrowania transmisji danych między serwerem a klientem i określenie kto odpowiada za szyfrowanie po stronie serwera.

Dzięki takiemu szyfrowaniu zły podsłuchujący zobaczy tylko kto z kim się łączy ale nie zobaczy już co jest przesyłane tak więc hasła, dane osobowe, czy inne treści są niewidoczne dla atakującego. Szyfrowanie takie zaspokaja wymogi zabezpieczenia technicznego stawianego przez np. RODO

Istotnymi cechami certyfikatów są:

  • data ważności którą określa się podczas generowania certyfikatu
  • zasięg adresów który obejmują swoim działaniem
  • stopień wiarygodności właściciela certyfikatu
  • stopień wiarygodności wystawcy certyfikatu

Ciekawostką jest to że taki kod certyfikatu możemy sobie wygenerować sami, złą informacją że taki samodzielnie wygenerowany kod będzie szyfrował jak trzeba ale np. przeglądarki www będą krzyczały że certyfikat jest niepodpisany przez kogoś komu ufają. Z tego powodu zignoruję go w dalszej części posta jako nie nadający się do publicznych zastosowań.

Certyfikat SSL jest szeroko używany do przesyłania stron WWW, do transmisji danych przez FTPS (szyfrowana wersja FTP), czy też do obsługi poczty elektronicznej.

Obecność szyfrowania SSL (a co za tym idzie certyfikatu) jest niezbędna aby stosować szybszy protokół sieciowy HTTP2 i żeby serwer www był „bardziej lubiany” przez google. Tak więc warto go mieć, ale to już wiesz skoro szukasz różnic pomiędzy certyfikatami.

Co daje darmowy certyfikat SSL

Generalnie powszechnie stosowany na hostingach certyfikat Let’s Encrypt od Internet Security Research Group jest dobrze rozpoznawany przez przeglądarki, a ich wystawca (a za nim nasza strona) nie ma problemów z zaufaniem. Jako że konsorcjum to jest wspierane przez największych z internetowego świata (google, microsoft, facebook, cisco, mozilla itd.) to nie widzę szans żeby ta koncepcja upadła.

Certyfikaty od Let’s Encrypt zapewniają typowy poziom szyfrowania, ale najniższy poziom wiarygodności kto jest właścicielem domeny. Certyfikat informuje tylko że ta domena z tym kluczem jest odpowiedzialna za szyfrowanie po stronie serwera, nie mówią nic o właścicielu domeny.

Żywot darmowych certyfikatów jest krótki. Są one wystawiane na 3 miesiące, ale dzięki skryptom uruchomionym na dobrych hostingach jest to niezauważalne dla użytkowników (klucze przedłużają się same w tle nie trzeba o tym pamiętać).

Moim zdaniem darmowe certyfikaty od Let’s Encrypt to w zupełności wystarczające rozwiązanie dla osób prywatnych i firm które nie muszą mieć zielonych napisów w pasku adresu (czyli większości). W przypadku sklepów, pożyczek online itp. to już do rozważania na ile wpłynie zielony napis przy kłódce na decyzję zakupową (tak, to kwestie marketingu decydują w tym przypadku).

Płatne certyfikaty SSL

Wystawców płatnych certyfikatów jest jak psów, powoduje to że jak w psiarni są lepsze i gorsze psy wyścigowe, lepsze i gorsze psy pasterskie.

Główne cechy płatnych certyfikatów których nie mają darmowe certyfikaty to:

  • wystawiane są na dłuższe okresy czasu (rok i dłużej)
  • posiadają poziomy wiarygodności na kogo zostały wystawione
  • posiadają teoretycznie wsparcie wystawcy przy ich instalowaniu
  • dają teoretycznie gwarancje odszkodowania jak zostaną przełamane

To co naprawdę jest istotne w płatnych certyfikatach to gwarantowany przez wystawcę poziom wiarygodności na kogo certyfikat został wystawiony.

Są 3 poziomy wiarygodności posiadacza certyfikatu SSL:

DV (Domain Validation) – weryfikacja tylko że domena istnieje (jedyny poziom wiarygodności domeny który zapewnia darmowy Let’s Encrypt).

Poziom DV wiarygodności strony np. prezydent.pl

OV (Organization Validation) – weryfikacja że firma/organizacja która ma domenę od certyfikatu istnieje, właściciel musi się okazać dokumentami firmy (wpis do KRS, umowa spółki itp.).

Poziom OV wiarygodności strony np. whitehouse.gov

EV (Extended Validation) – zielony napis przy kłódce – czyli najwyższy poziom wiarygodności jaki można obecnie posiadać w internetach wymaga pełnej spowiedzi przed wystawcą. Opis spowiedzi to 60 stronicowa księga. Poziom wiarygodności strony np. allegro.pl 🙂

Podczas wybierania płatnego dostawcy certyfikatu SSL zwróć uwagę że jedni dostawcy certyfikatów są szerzej poważani, inni słabiej (a wtedy my mamy problemy bo to nasza strona czy aplikacja jest znakowana jako niewiarygodna przez pewne przeglądarki).

Płatni dostawcy czasem dają ciała jak np. urząd certyfikacji Symatec przez co ich certyfikaty mogą stać się niezaufane. Problem w tym że zależni od niego dostawcy certyfikatów podpisanych przez Symantec też tracą wiarygodność przy okazji. To działa kaskadowo jak leci najwyższy podpisujący to wszyscy mniejsi pod nim też wylatują. Szczęściem dzieje się to rzadko.

Podsumowanie

Wybieraj certyfikat SSL w zależności od swoich potrzeb. Większości właścicieli stron wystarczy darmowy Let’s Encrypt.

Upraszczając można przyjąć że darmowe certyfikaty sprawdzają się do szyfrowania transmisji serwer – klient, ale nie nadają się do potwierdzania tożsamości właściciela serwera.

Zarówno darmowe certyfikaty jak i płatne posiadają wersję wildcard (*.domena.cośtam) znaczy to że jeden certyfikat obsługuje całą domenę i jej subdomeny. Dzięki temu nie musisz się martwić o certyfikat dla domena.cośtam i drugi www.domena.cośtam i trzeci blog.domena.cośtam (dla własnego dobra sprawdź jednak najpierw czy Twój dostawca hostingu obsługuje wildcardy przy darmowych certyfikatach).

Przewagą posiadania płatnego certyfikatu jest głównie potwierdzenie że domena należy do Ciebie, a jak się wykosztujesz (około 1000 pln lub lepiej) i przejdziesz dłuższą ścieżkę weryfikacji to będziesz mieć zielony napis przy kłódce (istotny praktycznie tylko z marketingowych powodów).

Zawsze możesz być jak Putin i nie używać SSL-a 🙂


Przydatne:

Wątek w QA: Czy SSL uzyskany za pomocą darmowego let’s encrypt jest gorszy od płatnego SSL


Jaki certyfikat SSL wybrać darmowy od Let’s Encrypt czy płatny. Różnice występujące pomiędzy certyfikatami SSL Click To Tweet