Er gratis SSL-certifikater bedre end kommercielle?
På grund af stigningen i brugen af kryptering på tværs af internettet er folk begyndt at forene det med tillid. Dette skabte selvfølgelig en snebold-effekt, hvor flere websteder følte incitamentet til at vedtage SSL / TLS-kryptering, så de ikke kommer bagud. Navnlig e-handelswebsites var blandt de første til at føle, at presset som kunder var forsigtige med at foretage transaktioner online uden kryptering.
Når det kommer til websteder, der ejes af enheder, bliver kryptering noget mere end blot en del algoritme, der bruges til at sikre online-processer. Det er en mere kompliceret sag, med certificeringsmyndigheder (CA'er) og forskellige tilladelsesniveauer. Nu, med udseendet af gratis CA'er som Lad os kryptere, spørger folk sig selv, hvorfor kommercielle alternativer endda eksisterer. Er de "bedre?" Eller er der mere til historien?
Forståelse af CA'er og deres betydning
At bruge HTTPS og få dit website anerkendt som "sikkert" (hvilket betyder, at webadresselinjen bliver grøn, når en bruger besøger dit websted) kræver en form for tilladelse. Du har brug for et SSL-certifikat udstedt af en certifikatmyndighed. Et certifikat vil "validere" din online tilstedeværelse som noget "rigtigt". Der er forskellige typer af validering:
- Domain validation (DV), som viser ubestrideligt, at du er dig, og du ejer det domæne, du ønsker sikret
- Organisatorisk validering (OV), som viser at du ejer domænet og verificerer et par ting om organisationen bag dit websted
- Udvidet validering (EV), som udfører en grundig og stringent analyse af dit domæne, din organisation og dets juridiske status
Certificeringsprocessen for DV er naturligvis meget lettere at opnå, da alt du skal gøre er at indsende bevis for, at du ejer dit domæne. Faktisk er det noget, der kan automatiseres.
Lad os nu komme til gratis CA'er
Certifikatmyndigheder som Lad os kryptere udstede DV-certifikater uden omkostninger. De klarer at automatisere processen med domæneejerskabsverifikation i et omfang, at det koster dem næsten ingenting at validere dig. Dette er alt fint og dandy, hvis du har nogle webstedets websted, der ikke kræver, at brugere deler delte data (f.eks. Kreditkortnumre, bankkontooplysninger, pasnumre osv.).
Hvis du kører en e-handelswebsted, skal du måske undersøge, om du vil have en kommerciel certifikatmyndighed. Niveauet af tillid, som en udvidet validering giver, vil legitimere din organisation yderligere end nogen anden form for certificering kan. Få i det mindste et OV-certifikat, hvis du ikke vil forstyrre med bureaukratiet bagved at få EV.
Hvis du ejer en stor web-enhed, der er vært for websites på flere underdomæner, kan du blive skuffet over at finde ud af, at du heller ikke kan få et wildcard-certifikat (ikke engang fra Lad os kryptere). Dette certifikat giver dig mulighed for at validere alle underdomæner, du opretter under dit primære domænenavn.
Konklusionen her er enkel: Hvis du kører et simpelt websted, der ikke kræver udveksling af følsomme data, vil et domæne validering certifikat som dem, der tilbydes af Let's Encrypt, være fint. Du behøver ikke noget mere avanceret!
Ellers skal du holde fast ved de kommercielle myndigheder. I nogle lande kan du endda komme ind i juridiske problemer, fordi du ikke brugte et udvidet valideringscertifikat for juridisk bindende aftaler.
Tror du, at vi eventuelt kan automatisere alle certifikat validering? Eller er det kun et kæmpe spring for langt for menneskeheden? Fortæl os i en kommentar!