Ukryj WP-Admin

Czy bezpłatny certyfikat SSL jest mniej bezpieczny niż płatny?

Od maja 2016 Let's Encrypt jest dostępny w pełnej wersji i oferuje każdemu operatorowi strony internetowej możliwość założenia SSL za darmo. Ale co właściwie odróżnia darmowy certyfikat SSL od płatnego? Technicznie nic, ale organizacyjnie tym bardziej.

Najważniejsza odpowiedź na samym początku: Nie, darmowy certyfikat SSL nie jest bardziej niebezpieczny niż płatny. Ale na czym polega kluczowa różnica? W jakiś sposób darmowe certyfikaty SSL muszą być finansowane krzyżowo. Na to też jest szybka odpowiedź: poprzez sponsoring. Let's Encrypt pokazuje, jak działa ten system.

Misję inicjatywy Let's Encrypt można podsumować w następujący sposób: Szyfrowana komunikacja powinna być podstawowym prawem w Internecie. Ponieważ do 2016 roku użytkownicy musieli zazwyczaj płacić za szyfrowanie komunikacji pomiędzy serwerem WWW a przeglądarką. Swobodny dostęp do świadectw nie był zatem zagwarantowany.

Od zeszłego roku Let's Encrypt jest jednak nowym urzędem certyfikacji, który wydaje każdemu użytkownikowi darmowy certyfikat SSL i w ten sposób udostępnia szyfrowanie każdemu właścicielowi strony internetowej na całym świecie. To wiele zmienia: ponieważ dzięki darmowym certyfikatom wymagania dotyczące HTTPS jako nowego standardu w sieci są w zasięgu ręki.

Dla właścicieli sklepów i firm kłódka w linii adresowej zawsze była ważnym wskaźnikiem zaufania - choćby ze względów prawnych. Ale tak naprawdę każdy prowadzący stronę internetową, czy to bloger, freelancer czy właściciel sklepu, powinien postawić na szyfrowanie. Przynosi to bowiem wiele korzyści - niezależnie od kosztu certyfikatu. Ponieważ pod względem technicznych zasad szyfrowania, typy certyfikatów nie różnią się od siebie.

W tym artykule omówię więc korzyści i techniczne podstawy uwierzytelniania i szyfrowania SSL.

Certyfikat SSL zwiększa bezpieczeństwo Twojej strony i jest korzystny dla Google

Po pierwsze, aspekt bezpieczeństwa jest oczywiście decydujący w związku z SSL. Z jednej strony, certyfikat potwierdza autentyczność kontrolowanego serwera. Z drugiej strony, komunikacja pomiędzy serwerem WWW a klientem - czyli przeglądarką - jest szyfrowana. Chroni to komunikację przed dostępem i zmianami, a tym samym uniemożliwia dostęp do danych osobowych, takich jak adres lub informacje bankowe.

Certyfikat SSL odgrywa również ważną rolę w optymalizacji pod kątem wyszukiwarek. Chociaż nie wiadomo, w jakim stopniu SSL jest istotny jako kryterium rankingowe dla Google, udowodniono, że HTTPS jest sygnałem rankingowym. Dobre dwa lata temu, Google ogłosiło że zaszyfrowane strony będą traktowane preferencyjnie w wynikach wyszukiwania i że będzie stopniowo rozszerzać ten trend.

Ponadto niedawno okazało się, że przeglądarka Google Chrome będzie wkrótce oznaczać niezaszyfrowane strony znakiem "Not secure" w pasku adresu. Przynajmniej jeśli strony, na których wymagane jest podanie hasła lub informacji o karcie kredytowej, nie są zaszyfrowane. Już na konferencji Google dla programistów I/O, w styczniu 2016 roku, deweloperzy firmy CloudFlare zajmującej się bezpieczeństwem zaprezentowali zrzut ekranu, który daje przedsmak tego, co planuje Google.

Wreszcie, Google preferuje HTTPS dla crawlingu.

Darmowy certyfikat SSL zapobiega oznaczeniu Chrome jako "niezabezpieczony".
Nawet całkowicie godne zaufania strony, takie jak t3n.de, są oznaczane w Google Chrome jako niebezpieczne. W tym przypadku jednak oznaczenie nie pochodzi z niezabezpieczonej strony, ale z konfiguracji mojej przeglądarki podczas wywoływania strony.

Certyfikat SSL sprawia, że Twoja strona jest szybsza i bardziej wiarygodna

HTTPS oznacza, że komunikacja serwera WWW z klientem jest szyfrowana. Nie oznacza to jednak, że SSL jest zabójcą wydajności. Wręcz przeciwnie: odkąd istnieje standard HTTP/2, zaszyfrowane strony działają znacznie szybciej niż niezaszyfrowane. Dotyczy to również ich wersji mobilnych. Tak więc dla tych, którzy do tej pory powstrzymywali się od szyfrowania ze względu na wydajność, obawy te są bezpodstawne!

Ostatecznie certyfikat SSL zawsze ma psychologiczny wpływ na odwiedzających Twoją stronę. Symbol kłódki w pasku adresu i dobre przeczucia związane z szyfrowaniem mają wpływ na konwersje. Można by pomyśleć, że szyfrowanie ma zatem większe znaczenie dla systemów sklepowych, dostawców usług płatniczych itp. Odkąd Let's Encrypt oferuje darmowe certyfikaty SSL, blogerzy i inni profesjonaliści internetowi mogą również korzystać z zalet HTTPS - i to bez dodatkowych kosztów.

Darmowy certyfikat SSL zapewnia te same korzyści techniczne, co płatny certyfikat SSL.

Omawiając cechy SSL związane z bezpieczeństwem, należy najpierw dokonać rozróżnienia pomiędzy Urzędami Certyfikacji a samymi certyfikatami SSL.

Urząd certyfikacji (CA) wydaje certyfikaty i podpisuje je, czyli potwierdza ich autentyczność. W tym procesie certyfikaty są przechowywane na serwerze WWW. Jeśli klient odwiedzi teraz stronę internetową na tym serwerze, strona ta może zidentyfikować się jako właściciel certyfikatu.

Następnie przeglądarka sprawdza certyfikat zapisany na stronie z zapisanym w niej "drzewem certyfikatów" (patrz rysunek poniżej). Tak zwany certyfikat główny znajduje się na szczycie drzewa. Wszystkie inne certyfikaty, a w końcu także darmowe certyfikaty Let's Encrypt są oparte na tym. Jeśli certyfikat główny i wszystkie inne certyfikaty upstream są ważne, to połączenie szyfrowane zostaje nawiązane. Urzędy certyfikacji są zatem podstawą walidacji domeny. A zaufanie jest w tych przypadkach wszystkim i wszystkim.

Niezależnie od tego, czy masz darmowy certyfikat SSL, czy nie, tak właśnie działa proces weryfikacji przez przeglądarkę.
Tak właśnie działa proces uwierzytelniania SSL. Niezależnie od tego, czy jest to darmowy certyfikat SSL, czy jego płatny odpowiednik.

Certyfikaty służą z kolei do uwierzytelniania partnerów komunikacji - czyli serwera WWW i przeglądarki - oraz do inicjowania właściwego mechanizmu szyfrowania. Zapewniają one, że serwer i przeglądarka otrzymają prawidłowy klucz publiczny i prywatny w celu zainicjowania chronionej komunikacji.

Po pierwsze, serwer uwierzytelnia się wobec klienta jako posiadacz certyfikatu. Następnie ustalane jest szyfrowanie asymetryczne i wymieniane są odpowiednie klucze. Umożliwiają one szyfrowanie symetryczne. Od tego momentu cała komunikacja między klientem a serwerem jest szyfrowana.

Klucze są regularnie odnawiane podczas całej komunikacji. Dzięki temu strumień danych pozostaje zabezpieczony przed podsłuchem i modyfikacją, nawet jeśli atakującemu uda się dokonać jednorazowego włamania.

Ale jak silne jest w rzeczywistości szyfrowanie? To zależy wyłącznie od konfiguracji serwera WWW danego hostingodawcy.

Chain of Trust darmowych certyfikatów SSL od Let's Encrypt
Ten rysunek pokazuje tzw. łańcuch zaufania certyfikatów Let's Encrypt. Widać: Certyfikaty Let's Encrypt są oparte na certyfikatach głównych urzędu certyfikacji IdenTrust.

Niezależnie od tego, czy posiadasz darmowy certyfikat SSL, czy nie, zaufanie jest wszystkim.

Z technicznego punktu widzenia nie ma zasadniczej różnicy między płatnymi i bezpłatnymi certyfikatami SSL. To, co jednak znacznie się różni, to urząd certyfikacji. Opinie na temat zaufania, jakim można obdarzyć CA, są różne.

Za klasycznymi jednostkami certyfikującymi kryje się mniej lub bardziej udane gospodarczo przedsiębiorstwo. Najważniejszym przedmiotem kapitału tej firmy jest zaufanie klientów i społeczeństwa do jej usług certyfikacyjnych.

Z kolei Let's Encrypt i jego organizacja macierzysta, Internet Security Research Group, nie jest nastawiona na zysk, lecz realizuje misję non-profit. Jednak giganci branży, tacy jak Chrome, Facebook, Mozilla i Linux, stoją za Let's Encrypt.

Tak więc kwestia zaufania do jednostki certyfikującej jest w pewnym stopniu kwestią oceny: czy jestem bardziej skłonny zaufać firmie, która prowadzi działania marketingowe w celu maksymalizacji pokładanego w niej zaufania, czy też jednostce certyfikującej typu non-profit, która polega na reputacji wspierających ją liderów branży?

Wniosek: Nie ma prawie żadnych różnic technicznych - ale są organizacyjne.

Bez względu na to, czy pochodzi od Comodo, Thawte and Co. czy od Let's Encrypt: szyfrowanie SSL przynosi Twojej witrynie wiele korzyści i sprawia, że staje się ona bardziej konkurencyjna. Na poziomie technicznym typy certyfikatów prawie się nie różnią: HTTPS to HTTPS. Z drugiej strony, siła szyfrowania zależy głównie od konfiguracji serwera WWW.

Jeśli masz darmowy certyfikat SSL, nie musisz się martwić o jego wady w porównaniu z płatnymi certyfikatami. Ponieważ najważniejszym punktem wyjścia dla certyfikatów walidowanych w domenie jest urząd certyfikacji, a nie sam certyfikat. To, któremu Urzędowi Certyfikacji zaufać, jest ponownie kwestią uznania. Zarówno inicjatywa open source, promowana przez gigantów branży, jak i firma nastawiona na zysk, dla której najważniejszą wartością korporacyjną jest zaufanie klientów, mają interes w tym, by być postrzegane jako jak najbardziej godne zaufania.

My, zespół Raidboxes, zdecydowaliśmy się zaufać projektowi Let's Encrypt. Dzięki temu możemy przekazać wiele zalet SSL bezpośrednio - i przede wszystkim bezpłatnie - naszym klientom.

Spodobał Ci się ten artykuł?

Zostawiając opinię pomożesz nam udoskonalać publikowane przez nas treści.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola wymagane oznaczone są *.