SPIS TREŚCI
Let’s Encrypt — jakie są wady i zalety korzystania z darmowego certyfikatu SSL.
Jeśli słyszałeś/aś już o Let’s Encrypt z tego artykułu dowiesz się jakie są wady i zalety z jego korzystania. Zacznijmy jednak od tego, do czego służy certyfikat SSL. Jest to protokół sieciowy używany do bezpiecznego przesyłu danych, prościej mówiąc, SSL zabezpiecza dane przesyłane między urządzeniem nadawcy a odbiorcą. Znamy go ze skrótu HTTPS oraz charakterystycznej kłódki widocznej po lewej stronie przy pasku adresu.
Dlaczego SSL jest ważny i potrzebny?
Certyfikat SSL to sposób na zabezpieczenie danych, ale też uwiarygodnienie strony internetowej. Certyfikat szyfruje przesyłanie poufnych danych, więc każda strona www, a szczególnie strony zajmujące się e-handlem powinny taki certyfikat posiadać. Jako użytkownicy sieci również powinniśmy sprawdzać, czy strony (szczególnie związane z obrotem pieniędzmi, jak na przykład banki) takie uwierzytelnienie posiadają. Ponadto jednostka certyfikująca dokonuje wydania certyfikatu dla konkretnej domeny na podstawie wniosku o jego wydanie i po uprzednim zweryfikowaniu zawartości strony.
Na czym polega działanie certyfikatu Let’s Encrypt.
Let’s Encrypt to certyfikat SSL wydawany przez Internet Security Research Group (ISRG) i jest certyfikatem typu domain validation (DV), czyli certyfikatem wydawanym po udowodnieniu przez właściciela prawa do własności domeny. Jest on wydawany darmowo przez ISRG.
Wady i zalety Let’s Encrypt.
Jak wspomnieliśmy wyżej Let’s Encrypt jest wydawany darmowo, co bezdyskusyjnie jest jego ogromną zaletą, umożliwiając więc każdemu skorzystanie z zabezpieczenia. Niewiele różni się technicznie od pozostałych certyfikatów typu DV. (Weryfikacja domeny, bez weryfikacji organizacji będącej właścicielem opublikowanej strony www. Takie rozwiązania oferują odpowiednio certyfikaty OV oraz EV).
Różnice między klasycznym SSL, a Let’s Encrypt.
To, co różni certyfikat Let’s Encrypt od klasycznych certyfikatów DV to okres odnawiania certyfikatu, który w przypadku Let’s Encrypt wynosi 90 dni. Co 3 miesiące należy więc dokonać odnowienia i reinstalacji certyfikatu. To może być uciążliwe dla zapominalskich. (Pamiętajmy, że w przypadku nieodnowienia certyfikatu bez jego uprzedniej deinstalacji na stronie pojawi się ostrzeżenie o niebezpieczeństwie). W przypadku klasycznego SSL okres odnawiania to rok, a najczęściej firma, w której dokonaliśmy zakupu certyfikatu, przesyła nam przypomnienia o jego niedługim wygasaniu, by uniknąć sytuacji, w której brak ciągłości usługi sprawi, że nasza strona stanie się według przeglądarki potencjalnie niebezpieczna. W AZ.pl robimy to już na 21 dni przed wygaśnięciem ważności SSL.
Kwestie techniczne.
Warto w tym miejscu wspomnieć, że niestety ISRG nie oferuje wsparcia technicznego dla certyfikatu Let’s Encrypt. Dlaczego to może być ważne? Cóż wydanie certyfikatu to nie wszystko. Następnym krokiem jest jego instalacja na serwerze/hostingu. Dla osób nietechnicznych może się to okazać wyzwaniem. Część hostingodawców proponuje częściową automatyzację procesu instalacji, co odrobinę ułatwia ten proces. Inni hostingodawcy proponują również instalację zewnętrznego certyfikatu przez pracowników biura obsługi klienta lub administratorów hostingu — taka usługa jest jednak odpłatna. Niejednokrotnie koszt instalacji certyfikatu Let’s Encrypt może przewyższać cenę zakupu klasycznego SSL DV, którego instalacja jest całkowicie zautomatyzowana u większości hostingodawców (w tym również w AZ.pl).
Strona Let’s Encrypt nie jest też dostępna w wersji polskiej, co może być problematyczne dla osób nieanglojęzycznych.
Let’s Encrypy a WordPress.
Ponadto darmowy certyfikat, może okazać się wyzwaniem dla właścicieli CMSa WordPress. Kompatybilność Let’s Encrypt z WordPress to jedna z jego większych słabości. W sieci można znaleźć jednak rozwiązania części błędów kompatybilności.
Oczywiście kwestie certyfikowania domeny zmieniają się z biegiem czasu, co jakiś czas tzw. klucze szyfrujące muszą być odnawiane, a certyfikaty SSL mają coraz nowsze wersje. Tu warto pamiętać, że ISRG nie oferuje, żadnych dodatkowych usług płatnych czy nieodpłatnych. W przypadku aktualizacji SSL należy więc czekać, aż organizacja wprowadzi rozwiązania w swoim czasie. W ciągu ostatnich kilku lat dało się zauważyć, że certyfikaty Let’s Encrypt były aktualizowane najpóźniej.
Opinia o Let’s Encrypt.
Ostatnim ważnym aspektem jest wiarygodność Let’s Encrypt — ponieważ certyfikat jest darmowy, oferowany wyłącznie w opcji walidacji domeny w opinii publicznej nie jest najbardziej zaufanym. Możliwość samodzielnego generowania oraz instalacji tego typu rozwiązania powoduje, że wiele osób korzystających z sieci nie ma zaufania do stron korzystających z rozwiązania Let’s Encrypt.
Oczywiście, alternatywą jest korzystanie z płatnych certyfikatów, które często kosztują niewiele a wielu hostingodawców w tym AZ.pl proponują często duże promocje na ich zakup. Ceny oscylują wokół 100 zł rocznie, czyli mniej niż 8 zł miesięcznie za podstawowy certyfikat SSL.
W AZ.pl oferujemy zarówno szeroki pakiet wyboru certyfikatów odpłatnych jak i możliwość zainstalowania Let’s Encrypt w ramach płatnej usługi instalacji certyfikatu. Więcej informacji na ten temat możesz uzyskać na stronie https://az.pl/ssl lub kontaktując się z naszym Biurem Obsługi Klienta.