Darmowy certyfikat SSL czy płatny - różnice

Prowadzenie biznesu w sieci nie jest takie proste, jakby mogło się wydawać. Strona online musi spełniać szereg warunków technicznych jak i wizualnych, aby skutecznie przyciągać potencjalnych klientów i finalnie nakłonić ich do skorzystania z oferty. Jednym z takich czynników niewątpliwie jest zapewnienie bezpieczeństwa użytkowania, a więc co za tym idzie skorzystanie z certyfikatów SSL. Pojawia się więc naturalne pytanie - jaki protokół sieciowy wybrać dla swojej strony www? Wszytko wyjaśnimy w poniższym artykule, zapraszamy do czytania.

Czym jest certyfikat SSL?

Zacznijmy od szybkiego przypomnienia - czym jest i po co używać certyfikatów sieciowych. Certyfikat SSL jest tak naprawdę plikiem danych, który kształtuje cyfrowo klucz kryptograficzny. W skrócie można powiedzieć, że jest to protokół, którego zadaniem jest szyfrowanie ruchu sieciowego. Firmy, które posługują się certyfikatem SSL, gwarantują użytkownikom swojej strony www  bezpieczeństwo przepływu danych. Oznacza to, że wszelkie informacje przesyłane na stronie, zaczynając od adresu e-mail, różnych haseł, aż po dane kontaktowe czy numer konta bankowego, są odpowiednio kodowane, uniemożliwiając ich łatwe przechwycenie i odczytanie. Od razu nasuwa się wniosek, że z certyfikatu SSL powinny korzystać banki, wszelkie sklepy online, czy nawet fora i blogi wymagające wprowadzenia jakichkolwiek danych klienta.

Warto wiedzieć, że strony korzystające z certyfikatu SSL oznaczone są w specjalny sposób - charakteryzuje je obrazek kłódki, której należy szukać obok pasku adresu, gdzie znajduje się link do strony firmy. Ikona ta w prosty sposób informuje użytkowników, że zostało aktywowane połączenie sieciowe SSL, a co za tym idzie, protokół zmienił się ze standardowego HTTP na bezpieczny HTTPS, a więc dane domeny są bezpieczne i można wchodzić z nimi w interakcje.

Sposób działania certyfikatu SSL

Działanie certyfikatu SSL opiera się na zaufanej wymianie danych pomiędzy użytkownikiem i użytkownikiem, bądź użytkownikiem i serwerem. Przeglądarki internetowe są początkiem tego procesu, bo to właśnie one podczas wyszukiwania konkretnych fraz komunikują się z serwerem, sprawdzając, czy dana strona jest odpowiednio chroniona. W przypadku pozytywnego wyniku, podczas łączenia się z witryną wszystkie przesyłane informacje zostają zakodowane z użyciem specjalnego klucza, który w rzeczywistości jest ciągiem znaków, tak by uniemożliwić wykradnięcie danych przez osoby trzecie.

Warto wiedzieć, że SSL zawiera informacje o stronie, dla której został wydany, są to takie dane jak:

• Nazwa domeny
• Data działania certyfikatu
• Klucz publiczny
• Jakimi certyfikatami SSL posługuje się strona
• Algorytm klucza publicznego
• Algorytm podpisu certyfikatu
• Szczegóły dotyczące urzędu certyfikacji (CA)

Darmowy certyfikat SSL

Czym są szyfrujące protokoły sieciowe i czemu warto ich używać, już wiadomo. Jednak co różni darmowe certyfikaty SSL od płatnych? Czy to ma jakieś znaczenie? Czym różnią się i co warto wybrać? Oczywiście wszystko zależy od potrzeb danego przedsiębiorstwa i struktury strony, jaką chcemy zabezpieczyć. Jednak, aby ułatwić proces poszukiwań, zacznijmy od podstaw.

Darmowy certyfikat SSL różni się od płatnej wersji głównie poziomem walidacji, czyli weryfikacji domeny, jej właściciela czy podmiotu gospodarczego. Jak można się domyślać im wyższy poziom walidacji, tym większy stopień bezpieczeństwa strony. Możemy wyróżnić trzy główne poziomy walidacji:

1.  (DV) Domain Validation  - podstawowy certyfikat SSL, to właśnie z niego korzysta znaczna część stron, ze względu na czas i łatwość implementacji - można go aktywować w przeciągu kilku minut od pozyskania. Certyfikaty SSL DV gwarantują pełną ochronę i integralność transmitowanych informacji. Potwierdzają dane chronionych domen, jednak nie zawierają żadnych informacji o właścicielu witryny.
2.  (OV) Organization Validation  - zaufany certyfikat SSL, wykorzystywany najczęściej przez znane serwisy online i duże sklepy internetowe, czyli marki, które działają w oparciu o ruch sieciowy wrażliwych danych klientów, dlatego potrzebują większego poziomu zabezpieczeń. Uzyskanie klucza SSL OV wymaga wcześniejszej weryfikacji w bazie KRS i CEIDG domeny i tożsamości podmiotu zgłaszającego wybrane domeny do szyfrowania.
3.  (EV) Extended Validation - certyfikat SSL z najszerszą walidacją. Pozyskanie pakietu SSL EV związane jest z długim i wieloetapowym procesem weryfikacji, gdzie szczegółowo zostają przeanalizowane dane rejestrowe firmy, umowy spółki, oraz czy podmiot, który stara się o certyfikat, ma prawo do domeny. Taka weryfikacja może potrwać nawet do 7 dni, jednak zapewnia najwyższy możliwy stopień bezpieczeństwa.

Nie da się ukryć, iż darmowy certyfikat SSL zyskał na popularności, gdyż warunkiem jego pozyskania jest jedynie autoryzacja przez zaufane centrum certyfikacyjne. Obecnie istnieją firmy, które takie certyfikaty wydają zupełnie za darmo, jest ich wiele i do najpopularniejszych należą m.in.:Let’s Encrypt, Cloudflare, Free SSL, Go Daddy, WoSing czy Comodo. Co ciekawe, sporo firm mających w ofercie płatne certyfikaty, w tym także Kylos, oferuje również bezpłatne certyfikaty SSL. Jeżeli chcecie przekonać się jak łatwo zabezpieczyć swoją stronę www certyfikatem SSL w Kylos sprawdźcie naszą bazę wiedzy oraz stronę ofertową.

Kolejnym i niewątpliwie najważniejszym aspektem, jaki gwarantują darmowe certyfikaty, jest ich działanie. Technologicznie są niemal takie same jak ich droższe wersje. Czemu w takim razie w ogóle używać płatnych certyfikatów, gdy można po prostu odnawiać darmową wersję? Odpowiedź znajdziecie w dalszej części artykułu.

Cechy darmowych certyfikatów SSL Zapewniają jedynie walidację na poziomie tożsamości domeny

• Proces pozyskiwania darmowego SSL zamyka najczęściej się w trzech krokach – rejestracji na wybranej stronie z certyfikatami, wybraniu nazwy dla swojej domeny oraz pobraniu certyfikatu bezpieczeństwa
• Brak oznaczenia Trust Seal, a to właśnie on zaznacza, że dana witryna wykorzystuje protokół sieciowy, brak oznaczenia może być dezorientujący dla użytkownika i w konsekwencji może on opuścić stronę w obawie przed brakiem zabezpieczeń
• Płatne certyfikaty dają gwarancję w przypadku złamania klucza
• Darmowe certyfikaty posiadają znaczące luki w zabezpieczeniach
• Niektóre darmowe certyfikaty mają problem z szyfrowaniem komunikacji, mianowicie są w stanie zakodować ruch sieciowy tylko w jedną stronę np. na linii użytkownik – serwer, ale w drugą stronę już nie
• Polecane głównie dla niewielkich stron internetowych lub blogów hobbystycznych, które nie wymagają podawania danych

Cechy płatnych certyfikatów SSL

• Dostępne wyższe poziomy walidacji, co za tym idzie zwiększone bezpieczeństwo dla klientów
• Certyfikaty EV i OV -  są one chronione większymi obostrzeniami i wymagają przejścia procesu weryfikacyjnego, nie tylko zgłoszonej domeny, ale także jej właściciela 
• Witryna korzystająca z SSL EV jest oznaczona zielonym paskiem w polu adresowym w przeglądarce, co jest wyraźnym poświadczeniem bezpieczeństwa przesyłanych na stronie informacji
• Oznaczenie Trust Seal – poświadczenie, iż strona jest ze światowymi normami bezpieczeństwa
• Wykorzystywane głównie przez duże serwisy, znane marki, sklepy internetowe, na których użytkownicy podają dane poufne, w celu zagwarantowania najwyższego bezpieczeństwa i komfortu użytkowania

Podsumowanie

Czy warto posługiwać się płatnymi certyfikatami SSL, gdy dostępne są darmowe wersje? Naszym zdaniem, jak zawsze trzeba dopasować opcję według własnych potrzeb. Dla niewielkich stron internetowych, blogów, czy wpisów hobbystycznych darmowy certyfikat będzie jak najbardziej wystarczający, w imię zasady "lepiej mieć niż nie mieć". Natomiast w przypadku dużych portali, wszelkich sklepów czy forów internetowych, gdzie przepływ danych wrażliwych i ruch na stronie jest intensywny, zdecydowanie zalecamy wykupienie i implementacje wybranego, płatnego certyfikatu.