Dölj WP-administratör

Är ett gratis SSL-certifikat mer osäkert än ett betalt?

Sedan maj 2016 är Let's Encrypt tillgänglig som en fullständig version och erbjuder varje webbplatsoperatör möjligheten att ställa in SSL gratis. Men vad skiljer ett gratis SSL-certifikat från ett betalt? Tekniskt sett ingenting, men organisatoriskt desto mer.

Det viktigaste svaret direkt i början: Nej, ett gratis SSL-certifikat är inte mer osäkert än ett betalt. Men vad är den viktigaste skillnaden? På något sätt måste gratis SSL-certifikat korsfinansieras. Det finns också ett snabbt svar på detta: genom sponsring. Let's Encrypt visar hur systemet fungerar.

Uppdraget för Let's Encrypt-initiativet kan sammanfattas på följande sätt: Krypterad kommunikation bör vara en grundläggande rättighet på Internet. Fram till 2016 var användare vanligtvis tvungna att betala för kryptering av kommunikation mellan webbservern och webbläsaren. Fri tillgång till certifikaten garanterades därför inte.

Med Let's Encrypt finns dock en ny certifikatutfärdare sedan förra året, som utfärdar ett gratis SSL-certifikat till varje användare och därmed gör kryptering tillgänglig för alla webbplatsägare över hela världen. Detta förändras mycket: Med gratiscertifikaten kommer kraven på HTTPS som ny standard på internet inom räckhåll.

För butiksoperatörer eller företag har låset i adressfältet alltid varit en viktig indikator på förtroende – enbart av juridiska skäl. Men varje webbplatsoperatör, oavsett om det är bloggare, frilansare eller butiksoperatör, bör förlita sig på kryptering. Detta beror på att det erbjuder ett brett utbud av fördelar, oavsett kostnaden för certifikatet. Typerna av certifikat skiljer sig inte åt när det gäller krypteringens tekniska grunder.

I den här artikeln kommer jag att diskutera fördelarna och de tekniska grunderna för SSL-autentisering och kryptering.

Ett SSL-certifikat gör din sida säkrare och är bra för Google

För det första är säkerhetsaspekten avgörande i samband med SSL. Å ena sidan bekräftar ett certifikat äktheten hos den server som kontrolleras. Å andra sidan krypteras kommunikationen mellan webbservern och klienten, det vill säga webbläsaren. Detta skyddar kommunikationen från åtkomst och växlingar och gör därmed personuppgifter, såsom adress- eller bankinformation, otillgängliga.

Ett SSL-certifikat spelar också en viktig roll i sökmotoroptimering. Även om det inte är känt i vilken utsträckning SSL är relevant som ett rankningskriterium för Google, har det bevisats att HTTPS är en rankningssignal. För drygt två år sedan meddelade Google att man skulle prioritera krypterade sidor i sökresultaten och gradvis utöka denna trend.

Dessutom har det nyligen blivit klart: Google-webbläsaren Chrome kommer snart att märka okrypterade sidor med ett "Inte säkert" i adressfältet. Åtminstone om sidorna där lösenord eller kreditkortsinformation begärs inte är krypterade. Redan på Googles utvecklarkonferens I/O, i januari 2016, presenterade utvecklare av säkerhetsföretaget CloudFlare en skärmdump som ger en försmak av vad Google planerar.

Sist men inte minst föredrar Google också HTTPS när du genomsöker.

Ett gratis SSL-certifikat förhindrar Chromes "inte säkra" märkning
Även helt pålitliga webbplatser som t3n.de markeras som osäkra med Google Chrome. I det här fallet kommer taggen dock inte från en osäker sida, utan från min webbläsarkonfiguration när jag går till sidan.

Ett SSL-certifikat gör din webbplats snabbare och mer pålitlig

HTTPS innebär att webbserverns kommunikation med klienten är krypterad. Detta betyder dock inte att SSL är en prestationsdödare. Tvärtom, sedan HTTP / 2-standarden har varit på plats, har krypterade sidor körts mycket snabbare än okrypterade sidor. Detta gäller även deras mobilversioner. Så om ni hittills har avstått från kryptering av prestandaskäl, låt mig säga: oron är ogrundad!

I slutändan har ett SSL-certifikat alltid en psykologisk effekt på din webbplats besökare. Låsikonen i adressfältet och den goda känslan för kryptering påverkar konverteringarna. Man skulle vilja tro att kryptering därför är mer relevant för butikssystem, betalningsleverantörer etc. Senast eftersom Let's Encrypt erbjuder gratis SSL-certifikat drar bloggare och andra internetproffs också nytta av fördelarna med HTTPS - och utan extra kostnad.

Ett gratis SSL-certifikat uppfyller samma tekniska fördelar som ett betalt

Om du vill prata om SSL:s säkerhetsrelaterade egenskaper är det viktigt att skilja mellan certifikatutfärdarna och SSL-certifikaten själva.

En certifikatutfärdare – eller certifikatutfärdare – utfärdar och undertecknar certifikat som bekräftar deras äkthet. I den här processen lagras certifikat på webbservern. Om en kund nu besöker en webbplats på den här webbservern kan webbplatsen identifiera sig som ägare till certifikatet.

Webbläsaren kontrollerar sedan certifikatet som lagras på sidan med "Certifikatträdet" lagrat med det (se bild nedan). Det så kallade rotcertifikatet har högsta prioritet. Alla andra certifikat och i slutändan de kostnadsfria certifikaten i Let's Encrypt är baserade på detta. Om rotcertifikatet och alla andra uppströmscertifikat är giltiga upprättas en krypterad anslutning. Certifieringsmyndigheterna är därför domänvalideringens fullcrum. Och förtroende är allt och alla för dessa fall.

Oavsett om du har ett gratis SSL-certifikat eller inte är detta den grundläggande processen i webbläsaren.
Så här är SSL-autentiseringsprocessen grundläggande. Oavsett om det är ett gratis SSL-certifikat eller en betald motsvarighet.

Certifikaten används i sin tur för att autentisera kommunikationspartnerna, det vill säga webbservern och webbläsaren, och för att initiera den faktiska krypteringsmekanismen. De säkerställer att webbservrar och webbläsare får rätt offentliga och privata nycklar för att initiera skyddad kommunikation.

Först autentiseras servern till klienten som certifikatägare. Sedan upprättas en asymmetrisk kryptering och motsvarande nycklar byts ut. Dessa möjliggör sedan symmetrisk kryptering. Från och med nu är all kommunikation mellan klienten och servern kodad.

Nycklarna förnyas regelbundet under hela kommunikationen. Detta håller dataströmmen skyddad mot avlyssning och modifiering även om en angripare lyckas med engångshackning.

Men hur starkt är chiffret? Detta beror helt på webbserverkonfigurationerna för värden.

Förtroendekedja för de kostnadsfria SSL-certifikaten i Let's Encrypt
Den här siffran visar de så kallade Chain of Trust of Let's Encrypt-certifikaten. Du förstår: Let's Encrypt-certifikaten baseras på rotcertifikat från certifikatutfärdaren IdenTrust.

Oavsett om du har ett gratis SSL-certifikat eller inte är förtroende viktigt

Ur teknisk synvinkel finns det därför ingen grundläggande skillnad mellan betalda och gratis SSL-certifikat. Det som däremot är väldigt annorlunda är certifieringsorganet. När det tillfrågas om det förtroende som kan placeras i CA avviker andarna.

Bakom traditionella certifieringsorgan finns ett företag som är mer eller mindre framgångsrikt ekonomiskt. Den viktigaste tillgången i detta företag är kundernas och allmänhetens förtroende för dess certifieringsprestanda.

Let's Encrypt och dess moderorganisation, Internet Security Research Group, är inte vinstorienterade, men har ett välgörenhetsuppdrag. Bakom Let's Encrypt finns dock branschjättar som Chrome, Facebook, Mozilla och Linux.

Frågan om förtroende för certifieringsorganet är därför i viss mån en fråga om diskretion: litar jag på det företag som bedriver marknadsföring för att maximera förtroendet för det, eller det ideella certifieringsorgan som förlitar sig på ryktet hos de industrijättar som stöder det?

Slutsats: Det finns knappast några tekniska skillnader – men organisatoriska

Oavsett om det kommer från Comodo, Thawte and Co. eller Let's Encrypt, ger SSL-kryptering många fördelar på din webbplats och gör den mer konkurrenskraftig totalt sett. På teknisk nivå skiljer sig certifikattyperna knappast åt: HTTPS är HTTPS. Krypteringsstyrkan har å andra sidan främst att göra med webbserverkonfigurationen.

Om du har ett gratis SSL-certifikat behöver du inte oroa dig för nackdelar jämfört med betalda certifikat. Eftersom den viktigaste säkerhetsrelevanta utgångspunkten för domänanifierade certifikat är certifikatutfärdaren, inte själva certifikatet. Vilken certifikatutfärdare du litar på är återigen en fråga om diskretion. Både open source-initiativet, som sponsras av branschledare, och det vinstdrivande företaget, vars viktigaste företagsvärde är kundernas förtroende, har ett intresse av att betraktas som så pålitligt som möjligt.

Vi, Raidboxesbestämde vi oss för att lita på Let's Encrypt-projektet. Eftersom det gör det möjligt för oss att vidarebefordra de många fördelarna med SSL direkt – och framför allt kostnadsfritt – till våra kunder.

Tyckte du om artikeln?

Med din recension hjälper du oss att förbättra vårt innehåll ytterligare.

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.