Το καλοκαίρι του 2018, η Google έφερε δυναμικά στην επικαιρότητα τα πιστοποιητικά SSL. Μέσα από την αλλαγή που έκανε στον Chrome (version 68) έκανε ξεκάθαρο ότι η κρυπτογράφηση είναι μονόδρομος και ότι οι επόμενες εκδόσεις του δημοφιλή browser θα κινούνταν σε αυτό ακριβώς το πλαίσιο.
Με αυτά τα δεδομένα, το πιθανότερο είναι ότι έχεις ήδη κάνει σχετική αναζήτηση στο Papaki και διαπίστωσες ότι μπορείς να αγοράσεις πιστοποιητικά SSL από γνωστές εταιρείες που ειδικεύονται στο συγκεκριμένο πεδίο όπως Sectigo (πρώην Comodo CA), GeoTrust, κλπ. Παράλληλα όμως, αν έχεις hosting σε εμάς, θα είδες ότι σου δίνουμε την επιλογή να ενεργοποιήσεις το εντελώς δωρεάν Let’s Encrypt SSL. Έτσι, μπορεί να σου γεννήθηκε η απορία: Γιατί να αγοράσω SSL όταν μπορώ να έχω δωρεάν; Παρακάτω σου δίνουμε τις απαντήσεις που ψάχνεις. Ελπίζουμε ότι θα σε βοηθήσουμε να ενημερωθείς πλήρως και να διαλέξεις το SSL που καλύπτει απόλυτα τις ανάγκες σου!
- Η Let’s Encrypt εκδίδει μόνο Domain Validation (DV) SSL πιστοποιητικά. “Δεν προσφέρουμε Organization Validation (ΟV) ή Extended Validation (EV), πρωτίστως γιατί δεν μπορούμε να αυτοματοποιήσουμε την έκδοση τους”, αναφέρει η ίδια η Let’s Encrypt στην σελίδα της. Όπως σου έχουμε εξηγήσει στο παρελθόν, τα DV SSL είναι ιδανικά για όσους αναζητούν βασική προστασία για το προσωπικό τους domain/ site ή forum, που χρειάζεται βασική κρυπτογράφηση για τα login ή τις φόρμες του. Με λίγα λόγια, δεν μπορούν να καλύψουν τις απαιτήσεις που έχουν μεγαλύτερα sites ή eShops. Αυτή τη “δουλειά” κάνουν τα OV και EV SSL. Συγκεκριμένα, τα OV πιστοποιούν domain και στοιχεία μιας επιχείρησης. Προτείνονται για εταιρικά site που έχουν ελάχιστη έως καθόλου διαχείριση ευαίσθητων προσωπικών δεδομένων των επισκεπτών. Τα EV είναι τα υψηλότερων προδιαγραφών SSL και είναι ιδανικά για μεγάλες επιχειρήσεις με online και e-commerce υπηρεσίες, που επιθυμούν να προβάλλουν ότι έχουν περάσει από τον αυστηρότερο έλεγχο αξιολόγησης, ώστε να κερδίσουν άμεσα την εμπιστοσύνη του πελάτη. Με ένα EV διατηρούν την ανταγωνιστικότητά τους και γνωστοποιούν ότι έχουν διαμορφώσει μια ασφαλή σελίδα, όπου τα προσωπικά στοιχεία και οι συναλλαγές του πελάτη προστατεύονται.
- Το Let’s Encrypt πιστοποιητικό δεν πάει πακέτο με προσωπική εξυπηρέτηση. Έστω ότι οι ανάγκες σου είναι μικρές και σε καλύπτει ένα DV SSL. Αν το πάρεις από τη Let’s Encrypt, πρέπει να γνωρίζεις ότι σε περίπτωση που κάτι δεν πάει καλά, θα πρέπει μόνος σου να λύσεις το πρόβλημα. Η Let’s Encrypt έχει φροντίσει να σε προμηθεύσει με χρήσιμα αρχεία, αλλά χρειάζεται να αφιερώσεις χρόνο να τα ψάξεις για να πάρεις τις απαντήσεις σου. Επίσης, υπάρχουν και fora όπου μπορείς να στέλνεις τις απορίες σου. Σε καμία περίπτωση όμως δε μπορεί να σε εξυπηρετήσει κάποιος προσωπικά και άμεσα, όπως γίνεται με τις περιπτώσεις των SSL επί πληρωμή. Αν αγοράσεις κάποιο από τα SSL που σου προσφέρει το Papaki, μπορείς ανά πάσα στιγμή να μιλήσεις με κάποιον από τους Support Heroes μας, ώστε να πάρεις κατευθύνσεις και απαντήσεις στις όποιες σχετικές απορίες σου.
- Τα δωρεάν SSL δεν έχουν το ίδιο κύρος με τα επώνυμα. Κανείς δεν αμφισβητεί ότι στη Let’s Encrypt γίνεται πολύ καλή δουλειά, ούτε το ότι έχει βοηθήσει και αυτή στο να γίνει το Ίντερνετ ασφαλέστερο! Ωστόσο, είναι λογικό το brand name “Let’s Encrypt” να μην είναι το ίδιο ισχυρό με εκείνο μιας μεγάλης εταιρείας που ασχολείται χρόνια με θέματα ασφάλειας Ίντερνετ και υπολογιστών, όπως για παράδειγμα της “Comodo CA” ( Sectigo). Πέραν αυτού, ειδικά αν έχεις μια επιχείρηση, είναι μάλλον λογικό να “διαβάζεται” πολύ πιο θετικά από τον επισκέπτη, το ότι έχεις πληρώσει για να διαμορφώσεις ένα ασφαλές περιβάλλον. Κι αν πιστεύεις ότι είναι δύσκολο για κάποιον να δει τι πιστοποιητικό χρησιμοποιείς, δεν ισχύει. Κάθε επισκέπτης μπορεί πολύ εύκολα να δει από τον browser, τι τύπου SSL είναι ενεργό σε κάθε διεύθυνση. Για παράδειγμα, αν κάποιος χρησιμοποιεί Chrome, πατώντας στο λουκέτο που εμφανίζεται στη μπάρα διευθύνσεων, μπορεί να επιλέξει να δει όλες τις λεπτομέρειες του SSL που χρησιμοποιείται.
- Όπως είναι λογικό, για τα SSL της Let’s Encrypt δεν προβλέπεται χρηματική εγγύηση. Αντίθετα, τα επί πληρωμή SSL εγγυώνται χρηματική αποζημίωση σε περίπτωση που υπάρξει λάθος από πλευράς της εκδούσας εταιρείας, όπως πχ. αποτυχία του πρωτοκόλλου ή λανθασμένη έκδοση. Ο τελικός χρήστης που θα υποστεί ζημιά από μια τέτοια περίπτωση, δικαιούται αποζημίωσης. Είναι σπάνιο να προκύψει κάποιο τόσο σημαντικό κενό ασφαλείας, ωστόσο δεν είναι απίθανο. Χαρακτηριστική είναι η περίπτωση της ολλανδικής εταιρείας DigiNotar. To 2011 ένας εισβολέας μπόρεσε να μπει στα συστήματά της, να εκδώσει πιστοποιητικά στο όνομα της Google και όχι μόνο. Αυτά τα πιστοποιητικά τα προμήθευσε σε τρίτους στο Ιράν, οι οποίοι τα χρησιμοποίησαν για να παρακολουθήσουν τις επικοινωνίες περισσότερων από 300.000 χρηστών!
- Τα Let’s Encrypt SSL έχουν διάρκεια ζωής 90 μέρες. Αν έχεις το hosting σου στο Papaki, δε χρειάζεται να ανησυχείς γιατί η ανανέωση γίνεται αυτόματα κι απλά λαμβάνεις σχετική επιβεβαίωση όταν πραγματοποιείται. Αν όμως έχεις το hosting σου σε άλλη εταιρεία, τότε θα πρέπει να βεβαιωθείς ότι σου παρέχεται η αυτόματη ανανέωση. Διαφορετικά, θα πρέπει να ασχολείσαι σε τακτική βάση ώστε να μη βρεθεί το site σου με ληγμένο πιστοποιητικό. Ναι, μια ακόμα έννοια! Τα επί πληρωμή SSL, έχουν τετραπλάσια διάρκεια ζωής το λιγότερο. Θα χρειαστεί να τα ανανεώσεις 1 ή 2 χρόνια μετά από την αγορά τους!
- Τα Let’s Encrypt SSL έχουν μικρότερο βαθμό συμβατότητας συγκριτικά με τα επί πληρωμή. Είναι σίγουρα συμβατά με σύγχρονα λογισμικά, αλλά κάποια από τα παλιότερα δεν τα καλύπτουν. Αυτή είναι μια λεπτομέρεια, αλλά κάνει τη διαφορά αν είσαι επιχείρηση και θέλεις να περιορίσεις τις πιθανότητες κάποιος να συνδεθεί χωρίς τη χρήση κρυπτογράφησης. Εδώ μπορείς να δεις τους περιορισμούς του Let’s Encrypt και εδώ τη σχετική λίστα της Sectigo (πρώην Comodo CA).
Τώρα που πήρες τις απαντήσεις, η επιλογή είναι δική σου! Μη ξεχνάς ότι στο κομμάτι της κρυπτογράφησης των δεδομένων που μεταφέρονται, κάνουν την ίδια δουλειά τόσο τα Let’s Encrypt SSL όσο και τα επί πληρωμή SSL! Επίσης, θυμήσου ότι είτε δωρεάν είτε επί πληρωμή, κάθε SSL από αξιόπιστη εκδούσα αρχή, εξασφαλίζει το https σε κάθε browser! Με λίγα λόγια, δες κάθε λεπτομέρεια, σκέψου, αλλά σε καμία περίπτωση μη μείνεις χωρίς SSL!
Μπες στη συζήτηση