četrtek, 20. oktober 2016

Izbrati brezplačen ali plačljiv SSL certifikat?

V prejšnjem zapisu smo zapisali nekaj besed o tem, kako bo brskalnik Chrome po novem prikazoval obvestilo o »nevarni« uporabi spletnih mest, dostopnih na http:// naslovu. Če se še spomnite, smo naredili zaključek, da bo prehod na https:// postal praktično neizbežen. In to ne glede na to, za kakšno spletno stran bo šlo – osebno, poslovno, blog, spletno trgovino, forum, spletni portal, …

Zapisali smo tudi to, da se prehod na https:// opravi z namestitvijo SSL certifikata. Ker poleg plačljivih certifikatov obstaja tudi brezplačen, si bomo v današnji objavi pogledali, kakšen certifikat je najbolje izbrati. Z drugimi besedami – preverili bomo, ali je odločitev za brezplačen certifikat prava.

Let's Encrypt ali kaj drugega?


Brezplačen certifikat se imenuje Let's Encrypt. Pojavil se je aprila 2016. Na začetku je bil nekaj mesecev v tako imenovani beta razvojni stopnji, sedaj pa je na voljo povsem uradna različica tega SSL certifikata. Ker gre za brezplačen certifikat, ne preseneča hitro naraščajoči graf, ki prikazuje nepretečene certifikate.

Let's Encrypt - statistika
Prikaz statistike nepretečenih Let's Encrypt SSL certifikatov.


Vse pa vendarle ni tako lepo, kot prikazuje zgornji graf. Večina, ki se je odločila za certifikat Let's Encrypt, se ne zaveda njegovih pomanjkljivosti. Preden se torej tudi sami odločite za omenjeni SSL certifikat, prispevek skrbno preberite do konca.

Velika razlika med plačljivim in brezplačnim certifikatom je v tem, da vam ponudnik gostovanja, pri katerem kupite (plačljiv) certifikat, le-tega običajno namesti na stran, hkrati pa poskrbi tudi za pravilen prehod na https:// povezavo. Pri brezplačnem certifikatu na kakršnokoli pomoč lahko pozabite. Čeprav sama namestitev ni preveč zapletena, pa je povsem druga zgodba pri prehodu spletne strani na zavarovani protokol. Potrebne so spremembe v podatkovni bazi, kar je povprečnemu uporabniku vse prej kot domače. Če se nimate časa ukvarjati s poizvedovanjem, kako opraviti prehod, ali ne želite plačevati IT podjetju za delovne ure, bo odločitev za plačljivi certifikat zagotovo boljša.

SSL certifikat Let's Encrypt
Logotip izdajatelja SSL certifikatov Let's Encrypt.


Druga slabost certifikata Let's Encrypt je, da je na voljo zgolj v domenski obliki. Poslovni in razširjeni Let's Encrypt certifikati ne obstajajo, saj se jih ne da avtomatizirati. Potrebno je namreč ročno preveriti podjetje, kateremu se certifikat izda. Poslovni in razširjeni SSL certifikati tako zagotavljajo mnogo višjo stopnjo varnosti, kar se odraža v večjem zaupanju obiskovalcev do spletnega mesta. Zgolj domenski certifikat ne pomeni, da je spletna stran varna za uporabo. Pomeni le, da je nosilec domene kliknil na verifikacijsko povezavo, ki mu je bila s strani izdajatelja certifikata poslana na elektronski naslov, vezan na njegovo domeno.

Certifikat Let's Encrypt ima še nekaj drugih slabosti, na primer manjšo kompatibilnost z brskalniki in operacijskimi sistemi, kot to velja za certifikate priznanih izdajateljev – Comodo, GeoTrust, Thawte, …

Več o slabostih Let's Encrypt certifikata si lahko preberete tudi v blog objavi Let's Encrypt – da ali ne?

Če nimate znanja, raje izberite plačljivega


Comodo Positive SSL
V kolikor ne boste znali poskrbeti za pravilen prehod na https:// spletni naslov, bo zagotovo bolje, da se odločite za enega izmed plačljivih SSL certifikatov. Če se vam zdi domenski certifikat dovolj, boste najceneje prišli skozi s certifikatom Comodo Positive SSL, ki ga denimo ponuja ponudnik gostovanja NEOSERV.si. Za spletne strani podjetij, kamor so vključene tudi vse spletne trgovine, pa vam svetujemo izbiro vsaj poslovnega certifikata, še bolje pa boste naredili, če si boste namestili razširjeni certifikat. Ta bo v vrstici, kjer je zapisan URL naslov, poudaril varnost uporabe spletnega mesta z zelenim okvirčkom ter zapisom imena vašega podjetja. Obiskovalci bodo na ta način vedeli, da je spletna stran varna. Razširjeni certifikat je še posebej primeren za spletne trgovine, saj obiskovalci hitreje opravijo nakup, če so prepričani o varnosti spletnega nakupovanja.