Czym się różni darmowy certyfikat SSL od płatnego certyfikatu SSL?
Kamil Porembiński
Kamil Porembiński
28.06.2018

Czym się różni darmowy certyfikat SSL od płatnego certyfikatu SSL?

Czy jest sens kupowania płatnego certyfikatu SSL w dobie bezpłatnego Let’s Encrypt oraz darmowego CACert.org? Czym różnią się bezpłatne certyfikaty od komercyjnych i czy są tyle samo warte oraz jak wpływają na bezpieczeństwo strony WWW. Te wszystkie zagadnienia objaśnię w tym artykule.

Podcast

If you would rather listen to us than read the article, below you will find our podcast. This is the audio version of this article. You can listen to it through the system’s „Podcasts” application on iOS, your choice of Android, iTunes, YouTube, SoundCloud i Spreaker.

Jakie mamy rodzaje certyfikatów SSL?

Certyfikaty możemy podzielić ze względu na, to jakie domeny ochraniają oraz w jaki sposób nastąpiła weryfikacja podmiotu, który chce otrzymać taki certyfikat. Dlatego przy niektórych certyfikatach poza zieloną kłódką widnieje jeszcze nazwa firmy, która jest właścicielem certyfikatu.

Certyfikaty DV (Domain Validation)

Najszybciej wystawianym certyfikatem jest właśnie certyfikat DV. Przy zakupie takiego certyfikatu, należy udowodnić, że jest się właścicielem domeny, której ma on dotyczyć. Najczęstszą metodą jest odebranie linku weryfikującego na maila, którego adres jest w domenie, dla której chcemy mieć certyfikat.

Jeżeli chcemy otrzymać certyfikat dla domeny thecamels.org, musimy utworzyć konto pocztowe np. admin@thecamels.org, na który organizacja certyfikująca wyśle link weryfikacyjny. Po jego kliknięciu, certyfikat zostanie wystawiony.

Inną metodą jest umieszczenie pliku na serwerze lub dodanie rekordu DNS w domenie. Weryfikacja czy jest się właścicielem domeny jest bardzo szybka i po kilku minutach od zamówienia, można otrzymać taki certyfikat.

Tego typu certyfikat nie zawiera żadnych informacji na temat jego właściciela.

Certyfikaty OV (Organization Validation)

W tego typu certyfikatach poza weryfikacją czy jest się właścicielem domeny, następuje weryfikacja właściciela certyfikatu (najczęściej firmy, która kupuje taki certyfikat). Należy dodatkowo dostarczyć dokumenty potwierdzające dane właściciela np. dokumenty rejestrowe firmy, skan dowodu osobistego.

Certyfikat OV zapewnia wiarygodność firmy oraz autentyczność odwiedzanej domeny, poprzez zawarte informacje w samym certyfikacie.

Certyfikaty EV (Extended Validation)

Certyfikaty z tak zwanym zielonym paskiem są wystawiane dopiero po pełnej weryfikacji właściciela, który chce zakupić taki certyfikat. Poza potwierdzeniem, że jest się właścicielem domeny oraz dostarczeniem dokumentów, należy jeszcze spodziewać się kontaktu ze strony organizacji certyfikującej, w celu weryfikacji nadesłanych dokumentów.

SSL Certyfikaty EV (Extended Validation)
SSL Certyfikaty EV (Extended Validation)

Zaletą takiego certyfikatu, jest wyświetlanie na zielonym polu (obok zielonej kłódki), pełnej nazwy firmy, która jest jego właścicielem. Jest to najbardziej wiarygodny certyfikat i polecany jest dla dużych sklepów, aplikacji webowych czy banków.

Certyfikaty Wildcard

Klasyczny certyfikat SSL jest wystawiany na jedną domenę np. thecamels.org (oraz www.thecamels.org). Jeżeli byśmy chcieli ochraniać adresy typu: blog.thecamels.org, sklep.thecamels.org i panel.thecamels.org – musielibyśmy kupić trzy certyfikaty dla każdego z adresów.

Certyfikat typu Wildcard pozwala chronić dowolną liczbę subdomen w twojej domenie. Wystawiany jest on dla adresu *.thecamels.org, co oznacza, że chronione będą wszystkie wcześniej wymienione adresy przy pomocy jednego certyfikatu. Nie będzie natomiast ochrony dla domen trzeciego i kolejnych rzędów, np. www.sklep.thecamels.org, nowy.sklep.thecamels.org.

Główną zaletą tego typu certyfikatów jest redukcja kosztów przy dużej liczbie adresów oraz proste zarządzanie. Mamy jeden certyfikat do odnawiania zamiast kilkunastu.

Od niedawna certyfikaty Let’s Encrypt posiadają wsparcie dla Wildcard.

Certyfikaty Multi Domain

A co jeśli mamy kilka domen np. thecamels.org, thecamels.pl, thecamels.eu oraz osworld.pl? Czy możemy wykorzystać tutaj Wildcard? Niestety, nie ale z pomocą przychodzi Certyfikat typu Multi-Domain. Pozwala on na zabezpieczenie jednym certyfikatem, nawet do 100 różnych domen.

Trzeba tutaj pamiętać, że pokrywane są jedynie domeny podane podczas zamawiania certyfikatu. Czyli np. podaliśmy takie: thecamels.org, thecamels.pl, thecamels.eu i tylko one będą działały w obrębie tego certyfikatu. Nie będzie to tak, jak w przypadku certyfikatów DV, np. Positive SSL, który pokrywa thecamels.pl i www.thecamels.pl.

Różnice między darmowymi a płatnymi certyfikatami SSL?

Za sprawą Google, w ostatnim czasie, temat certyfikatów SSL staje się bardzo popularny. Przeglądarka Chroma, będzie oznaczała witryny bez SSL jako niebezpieczne. To już tak naprawdę ostatni dzwonek, aby wyposażyć swoją stronę w SSL.

Niezabezpieczona strona
Niezabezpieczona strona

I w tym momencie pada pytanie. Czy kupić certyfikat, czy dostać go za darmo? Nic nie stoi na przeszkodzie, aby najpierw wyposażyć swoją stronę w darmowy SSL a z biegiem czasu i wraz z rosnącymi potrzebami, wymienić go na komercyjny certyfikat. Zresztą sama cena takiego certyfikatu to wydatek około 50 zł rocznie.

Komercyjny certyfikatDarmowy certyfikat
Wystawiany na 1 rokWystawiany na 3 miesiące
Certyfikat typu DV, OV, EVCertyfikat typu DV
Brak autoodnawianiaAutoodnawiania za pomocą skryptów
od około 50 zł0 zł
Gwarancja: $10 000Brak gwarancji

Co łatwo zauważyć, komercyjne certyfikaty posiadają gwarancję finansową. Wysokość gwarancji jest różna w zależności od marki certyfikatu i jego typu: od 5 000 dolarów do nawet 1 500 000 dolarów. Pamiętajmy, że certyfikaty nie dają 100% pewności bezpieczeństwa. Zawsze może dojść do złamania klucza szyfrującego. W takiej właśnie sytuacji, wystawca certyfikatu powinien wypłacić nam odszkodowanie.

Niestety jak to z gwarancjami i regulaminami, nie jest tak różowo. Bardzo często gwarancje posiadają sporo kruczków prawnych, w stylu wysokość odszkodowania jest do $5 000, wypłacana jest w momencie, gdy sami udowodnimy, że wina leży po stronie certyfikatu i jego dostawcy, itp.

Darmowe certyfikaty posiadają również limity oraz ograniczenia. Może się tak zdarzyć, że przy dużej liczbie domen na jednym hostingu, nie będziemy w stanie wygenerować certyfikatów dla każdego adresu. Warto również pamiętać o wymaganiach technicznych jakie należy spełnić, aby otrzymać Let’s Encrypt.

W przypadku awarii infrastruktury serwerów związanych z Let’s Encrypt, możemy mieć problem z wygenerowaniem darmowego certyfikatu, odnowienie jego itp.

Status serwerów Let's Encrypt
Status serwerów Let’s Encrypt

Czy warto kupować certyfikat SSL?

Trudno jest odpowiedzieć jednym zdaniem na to pytanie. Wszystko zależy od tego w jakim celu będziemy wykorzystywać taki certyfikat. Darmowe certyfikaty typu Let’s Encrypt lub CAcert.org oferują jedynie certyfikaty typu DV. Z technologicznego punktu widzenia, działają dokładnie tak samo jak te płatne. Darmowe certyfikaty wymagają odnawiania co kilka miesięcy, posiadają limity itp. Do większości zastosowań są naprawdę wystarczające.

Bardzo często sklepy internetowe, większe serwisy www, komercyjne strony, kupują certyfikaty. Nie trzeba ich odnawiać co kilka miesięcy i martwić się o problemy związane z brakiem odnowienia. Natomiast jeżeli myślimy o certyfikatach typu OV, EV (zielona kłódka) to zostają nam tylko komercyjne certyfikaty.

Sam zakup lub wybranie darmowego certyfikatu to jedno. Należy jeszcze pamiętać, aby serwer na jakim wdrażamy taki certyfikat był poprawnie skonfigurowany. Przy błędnej i słabej konfiguracji serwera, może dość do podsłuchiwania transmisji nawet przy wdrożonym certyfikacie SSL.

Nasze serwery hostingowe domyślnie instalują dla każdej domeny certyfikat Let’s Encrypt, oraz otrzymują najwyższą ocenę A+ w testach SSL Labs.