- Vaša košarica je trenutno prazna
Od konca leta 2015 je SSL certifikat mogoče pridobiti brezplačno. To omogoča izdajatelj certifikatov Let’s Encrypt (krajše LE), ki se hkrati ponaša tudi z avtomatizacijo in odprtokodnostjo. Kaj točno to pomeni, bomo razdelali v današnjem prispevku, predvsem pa se bomo osredotočili na prednosti in slabosti, ki jih za lastnika spletne strani predstavlja odločitev za vsem dostopen LE SSL certifikat.
Z uporabo certifikata LE dosežemo, da se v spletnem naslovu spletišča prikaže zapis https://, kar pomeni, da se vsi podatki med spletno stranjo in njenimi uporabniki prenašajo prek zavarovanega protokola.
Naj v tej točki zapišemo, da LE ni nadomestilo za plačljiv SSL certifikat v vsakem primeru. Obstaja namreč kar nekaj situacij, v katerih LE enostavno ne pride v poštev. Za koga je torej primeren?
»It’s free, automated, and open.«
Zapis, da je certifikat brezplačen, avtomatiziran in »odprt«, se prikaže na vstopni strani izdajatelja certifikatov Let’s Encrypt. Vse tri lastnosti so med seboj povezane.
Popolna avtomatizacija pomeni, da pri izdaji, izbrisu ali podaljšanju certifikata ni potrebno ročno posredovanje ponudnika SSL certifikata. To je tudi glavni razlog za to, da za certifikat ni potrebno plačati.
Omenimo še odprtost oziroma odprtokodnost. Celotna programska koda z vsemi specifikacijami o protokolih je na voljo v storitvi GitHub (servis za hranjenje repozitorijev sistema Git). Za razvijalce to pomeni, da lahko tudi sami prispevajo k razvoju projekta, za uporabnike pa odprtokodnost pomeni brezplačnost in transparentnost delovanja.
Prednosti Let’s Encrypt
1. Kot že kar nekajkrat zapisano, je glavna prednost certifikata LE v tem, da je brezplačen.
2. Certifikat je na voljo vsem. Ne glede na to, od kod ste, ali ste pravna ali fizična oseba, se lahko odločite za namestitev SSL certifikata LE.
3. Projekt je podprt s strani številnih globalnih korporacij in neprofitnih organizacij: Akamai, Chrome, Cisco, the Electronic Frontier Foundation (EFF), Facebook, HP, Shopify, Sucuri, …
4. LE certifikat zagotavlja enako stopnjo šifriranja podatkov kot certifikati drugih priznanih izdajateljev.
Slabosti Let’s Encrypt
1. Glavna slabost projekta Let’s Encrypt je v tem, da nudi zgolj domenske certifikate. Za podjetja, neprofitne organizacije in druge institucije so primernejši poslovni in razširjeni certifikati, ki ne verificirajo zgolj domene, temveč tudi organizacijo, kateri je certifikat izdan. Zaradi tega sta stopnji varnosti in zaupanja pri LE certifikatih mnogo nižji kot pri poslovnih in razširjenih certifikatih.
2. LE ni primeren za lastnike spletnih strani, ki ne želijo imeti opravka z namestitvijo SSL certifikata in pravilno izvedenim prehodom spletne strani na https:// protokol. Če nimate časa ali ustreznega tehničnega znanja za namestitev in konfiguracijo SSL certifikata, bo vsekakor bolje, da se odločite za enega izmed plačljivih certifikatov. V tem primeru vam pri NEOSERV namestitev in konfiguracijo certifikata uredimo brezplačno.
Če prehod spletne strani na https:// ni izveden pravilno, se v spletnem brskalniku ob URL naslovu prikaže ikona z varnostnim opozorilom Connection is Not Secure. Opozorilo pri obiskovalcih vzbudi občutek, da uporaba spletnega mesta ni varna, zato jih večina stran raje zapusti.
3. Ker gre pri LE certifikatu zgolj za domenski certifikat, se vrstica za spletni naslov ne obarva zeleno, prav tako se ob URL naslovu ne izpiše ime organizacije. To omogočajo zgolj razširjeni oziroma EV certifikati, ki na ta način poudarjajo varnost uporabe spletnega mesta in pri obiskovalcih povečujejo zaupanje do spletne strani.
4. Veljavnost LE certifikata znaša zgolj 90 dni, brez izjem. Podaljšati ga je možno 60 dni po poteku, poleg tega pa je v večini primerov možno urediti tudi samodejno podaljševanje. Naj na tem mestu dodamo, da veljavnost večine plačljivih SSL certifikatov znaša od enega do treh let.
5. LE ne omogoča izdaje t. i. »wildcard« certifikata, ki priskrbi varno https:// povezavo na vseh poddomenah spletnega mesta. Možna je zgolj izdaja eno- in večimenskih domenskih (SAN) certifikatov. Pri slednjih omejitev znaša 100 domen na certifikat.
6. Namestitev LE certifikata na IDN domene v tem trenutku še ni mogoča. IDN domene so tiste, ki v svojem imenu vsebujejo posebne znake, kot so denimo šumniki.
7. Ker je LE brezplačen in avtomatiziran, se zanj pogosto odločajo spletni prevaranti. To je tudi glavni razlog za kratko veljavnost certifikata, saj ponudnik na ta način želi preprečevati zlorabe. Pri plačljivih certifikatih do zlorab prihaja zelo redko, zato je njihova veljavnost daljša, pa tudi splošno zaupanje do samega certifikata je na mnogo višji ravni.
Plačljivi SSL certifikat izdajatelja Sectigo (Comodo CA) deluje podobno kot brezplačni certifikat Let’s Encrypt, vendar ima v primerjavi z njim veliko prednost. Sectigo namreč nosilcu certifikata le-tega odvzame, če zazna, da se prek njega izvaja kakršnokoli nelegalno početje. Ponovna pridobitev SSL certifikata Sectigo za dotično domeno nato ni več mogoča.
8. Združljivost LE certifikata z operacijskimi sistemi in spletnimi brskalniki je mnogo manjša, kot to velja za plačljive certifikate. Za primerjavo si oglejmo certifikata LE ter Sectigo Positive SSL, ki velja za enega izmed najbolj priljubljenih domenskih certifikatov.
| Let’s Encrypt | Sectigo Positive SSL | GeoTrust RapidSSL |
|---|---|---|
| Mozilla Firefox 2.0 + | Microsoft Internet Explorer 6.0 + | Mozilla Firefox 1.0+ |
| Google Chrome | Mozilla Firefox 1.0 + | Mozilla Suite 1.0+ |
| Internet Explorer (Windows XP SP3 ali novejši) | Mozilla 0.6 + | Microsoft IE 5.01+ |
| Microsoft Edge | Google Chrome | Opera 7+ |
| Android OS 2.3.6 + | Konqueror (KDE) | AOL 5+ |
| Safari 4.0 + (macOS) | Netscape 4.77 + | Netscape Communicator 4.51+ |
| Safari 3.1 + (iOS) | Opera 6.1 + | Apple Safari 1.0+ |
| Debian Linux 6 + | Apple Safari 1.2 + | Sony Playstation |
| Ubuntu Linux 12.04 + | Camino 1.0 + | Microsoft WebTV |
| NSS Library 3.11.9 + | AOL 5 + | Red Hat Linux Konqueror |
| Amazon FireOS (brskalnik Silk) | Android 1.5 + | Microsoft Windows CE 2003 |
| Cyanogen 10 + | iOS 1.0 + | Microsoft IE Pocket PC 2003 |
| Jolla Sailfish OS 1.1.2.16 + | Windows Phone 7 + | Microsoft IE Smartphone 2003 |
| Kindle 3.4.1 + | Microsoft Windows Mobile 5/6 | Blackberry 4.0+ |
| Java JDK 8u101 + | Blackberry 4.3.0 + | Palm / Handspring Blazer 2.0+ |
| Microsoft Windows CE 4.0 | Brew | |
| Microsoft IE Pocket PC 2003 | Openwave | |
| Microsoft IE Smartphone 2003 | NTT Do Co Mo | |
| Palm OS 5.0 + | AT&T | |
| Netfront Browser 3.0 + | Sony Playstation Portable | |
| KDDI Openwave 6.2.0.12 + | MSony Netjuke audio | |
| Brew | Netfront 3.0+ | |
| Opera Mini 3.0 + | Opera 7.0+ | |
| Opera Mobile 6.0 + | Vodaphone | |
| NTT / DoCoMo | Mozilla Thunderbird 1.0+ | |
| Sony Playstation Portable | Microsoft Outlook 99+ | |
| Sony Playstation 3 | Lotus Notes | |
| Nintendo Wii | Netscape Communicator 4.51+ | |
| Apache | Vodaphone | |
| BEA Weblogic | Qualcomm Eudora 6.2+ | |
| C2Net Stronghold | Mulberry Email 3.1.6+ | |
| cPanel / Web Host Manager | IBM WME | |
| Ensim Control Panel | IBM WCE | |
| Hsphere | Sun J2SE 1.4.2_02 | |
| IBM HTTP Server | Sun J2EE 1.4.2_02 | |
| iPlanet Server / Sun One | ||
| Java Web Server (Javasoft / Sun) | ||
| Lotus Domino | ||
| Microsoft IIS | ||
| Microsoft ISA | ||
| Microsoft Live Communication Server | ||
| Microsoft SQL Server 2005 | ||
| Netscape Enterprise Server | ||
| Novell ConsoleOne + Novel Webserver | ||
| OpenLDAP | ||
| Oracle HTTP Server | ||
| Plesk | ||
| Tomcat | ||
| Webmin | ||
| WebSTAR | ||
| Zeus Web Server | ||
| Microsoft Outlook 9.0 + | ||
| Microsoft Entourage (OS/X) | ||
| Mozilla Thunderbird 1.0 + | ||
| Microsoft Outlook Express 5 + | ||
| Qualcomm Eudora 6.2 + | ||
| Lotus Notes (6 +) | ||
| Mail.app (Mac OS X) | ||
| Microsoft / Windows Mail 1.0 + (Vista) | ||
| The Bat 1 + | ||
| Microsoft Authenticode | ||
| Visual Basic for Applications (VBA) | ||
| Adobe AIR | ||
| Sun Java SE 1.4.2 + | ||
| Mozilla Suite 1.0 + | ||
| Sea Monkey | ||
| Microsoft Office |
Na uradni strani ponudnika LE certifikata je zapisano, da je le-ta lahko nezdružljiv s konzolama Sony PS3 in PS4. Prav tako je navedeno, da je zagotovo nezdružljiv z:
- Blackberry OS v10, v7 & v6
- Android < v2.3.6
- Nintendo 3DS
- Windows XP < SP3
- Java < JDK 8u101
9. Brezplačne storitve kadarkoli lahko tudi postanejo zaračunljive in takrat so uporabniki prisiljeni poravnati tak strošek, kot ga določi ponudnik, ali zakupiti storitev drugje.
Je namestitev Let’s Encrypt certifikata torej dobra odločitev?
Univerzalnega odgovora na vprašanje, ali se je bolje odločiti za brezplačen LE certifikat ali za katerega izmed plačljivih, ni. Lahko pa bi zapisali takole:
Za LE se odločite, če želite zavarovati preprosto vsebinsko spletno stran, na primer blog ali stran z osebno predstavitvijo. Obenem upoštevajte, da pri brezplačnem certifikatu potrebujete čas in tehnično znanje za nameščanje certifikata.
Pravilen prehod na https:// protokol je izjemno pomemben, saj se v primeru, da vsi elementi spletne strani niso deležni ustreznega prehoda, ob spletnem naslovu pojavi ikona z varnostnim obvestilom – Connection is Not Secure. Težave so v večini primerov povezane s slikami in JavaScript/CSS datotekami.
Za LE se ne odločite, če želite zavarovati spletno trgovino ali spletno stran, povezano s poslom oziroma podjetjem. Temu so namenjeni poslovni in razširjeni certifikati, ki poleg preverjanja domene vključujejo tudi verifikacijo podjetja. Zaradi dodatnega preverjanja gre pri omenjenih vrstah SSL certifikatov za višjo stopnjo varnosti, ki se odraža v povečanem zaupanju obiskovalcev do spletnega mesta. Velika prednost razširjenih certifikatov predstavlja tudi zelena naslovna vrstica, saj vzbuja še dodatno zaupanje.
Certifikat LE prav tako ni prava izbira za posameznike brez ustreznega tehničnega znanja ali želje po raziskovanju, kako certifikat pravilno namestiti na spletno stran. V tem primeru se je bolje odločiti za plačljiv certifikat, pri katerem za namestitev in pravilno konfiguracijo poskrbi ponudnik gostovanja. Ponavadi je v tem primeru investicija celo manjša, kot če bi IT podjetju plačali za delovne ure za namestitev brezplačnega certifikata.
Naj za konec dodamo še, kaj se zgodi, če SSL certifikat pozabite podaljšati. Spletna stran je še vedno dostopna na https:// povezavi, vendar se obiskovalcem ob prihodu najprej prikaže varnostno opozorilo o neveljavnem certifikatu. Lahko si mislite, da ob takšnem scenariju večina obiskovalcev stran raje hitro zapusti.
Če se torej odločite za LE certifikat z omejeno veljavnostjo, bodite pozorni, da imate pravilno nastavljeno avtomatsko podaljševanje vsakih 90 dni.
KOMENTIRAJTE OBJAVO
Vaš komentar je bil uspešno oddan
Komentar bo viden na strani, ko ga naši moderatorji potrdijo.