Od konca leta 2015 je SSL certifikat mogoče pridobiti brezplačno. To omogoča izdajatelj certifikatov Let’s Encrypt (krajše LE), ki se hkrati ponaša tudi z avtomatizacijo in odprtokodnostjo. Kaj točno to pomeni, bomo razdelali v današnjem prispevku, predvsem pa se bomo osredotočili na prednosti in slabosti, ki jih za lastnika spletne strani predstavlja odločitev za vsem dostopen LE SSL certifikat.

Z uporabo certifikata LE dosežemo, da se v spletnem naslovu spletišča prikaže zapis https://, kar pomeni, da se vsi podatki med spletno stranjo in njenimi uporabniki prenašajo prek zavarovanega protokola.

Naj v tej točki zapišemo, da LE ni nadomestilo za plačljiv SSL certifikat v vsakem primeru. Obstaja namreč kar nekaj situacij, v katerih LE enostavno ne pride v poštev. Za koga je torej primeren?

»It’s free, automated, and open.«

Zapis, da je certifikat brezplačen, avtomatiziran in »odprt«, se prikaže na vstopni strani izdajatelja certifikatov Let’s Encrypt. Vse tri lastnosti so med seboj povezane.

Lastnosti LE certifikata

Popolna avtomatizacija pomeni, da pri izdaji, izbrisu ali podaljšanju certifikata ni potrebno ročno posredovanje ponudnika SSL certifikata. To je tudi glavni razlog za to, da za certifikat ni potrebno plačati.

Omenimo še odprtost oziroma odprtokodnost. Celotna programska koda z vsemi specifikacijami o protokolih je na voljo v storitvi GitHub (servis za hranjenje repozitorijev sistema Git). Za razvijalce to pomeni, da lahko tudi sami prispevajo k razvoju projekta, za uporabnike pa odprtokodnost pomeni brezplačnost in transparentnost delovanja.

Prednosti Let’s Encrypt

1. Kot že kar nekajkrat zapisano, je glavna prednost certifikata LE v tem, da je brezplačen.

2. Certifikat je na voljo vsem. Ne glede na to, od kod ste, ali ste pravna ali fizična oseba, se lahko odločite za namestitev SSL certifikata LE.

3. Projekt je podprt s strani številnih globalnih korporacij in neprofitnih organizacij: Akamai, Chrome, Cisco, the Electronic Frontier Foundation (EFF), Facebook, HP, Shopify, Sucuri, …

Podporniki projekta Let's Encrypt

4. LE certifikat zagotavlja enako stopnjo šifriranja podatkov kot certifikati drugih priznanih izdajateljev.

Slabosti Let’s Encrypt

1. Glavna slabost projekta Let’s Encrypt je v tem, da nudi zgolj domenske certifikate. Za podjetja, neprofitne organizacije in druge institucije so primernejši poslovni in razširjeni certifikati, ki ne verificirajo zgolj domene, temveč tudi organizacijo, kateri je certifikat izdan. Zaradi tega sta stopnji varnosti in zaupanja pri LE certifikatih mnogo nižji kot pri poslovnih in razširjenih certifikatih.

2. LE ni primeren za lastnike spletnih strani, ki ne želijo imeti opravka z namestitvijo SSL certifikata in pravilno izvedenim prehodom spletne strani na https:// protokol. Če nimate časa ali ustreznega tehničnega znanja za namestitev in konfiguracijo SSL certifikata, bo vsekakor bolje, da se odločite za enega izmed plačljivih certifikatov. V tem primeru vam pri NEOSERV namestitev in konfiguracijo certifikata uredimo brezplačno.

Če prehod spletne strani na https:// ni izveden pravilno, se v spletnem brskalniku ob URL naslovu prikaže ikona z varnostnim opozorilom Connection is Not Secure. Opozorilo pri obiskovalcih vzbudi občutek, da uporaba spletnega mesta ni varna, zato jih večina stran raje zapusti.

3. Ker gre pri LE certifikatu zgolj za domenski certifikat, se vrstica za spletni naslov ne obarva zeleno, prav tako se ob URL naslovu ne izpiše ime organizacije. To omogočajo zgolj razširjeni oziroma EV certifikati, ki na ta način poudarjajo varnost uporabe spletnega mesta in pri obiskovalcih povečujejo zaupanje do spletne strani.

Zelena vrstica v spletnih brskalnikih (EV certifikat)

4. Veljavnost LE certifikata znaša zgolj 90 dni, brez izjem. Podaljšati ga je možno 60 dni po poteku, poleg tega pa je v večini primerov možno urediti tudi samodejno podaljševanje. Naj na tem mestu dodamo, da veljavnost večine plačljivih SSL certifikatov znaša od enega do treh let.

5. LE ne omogoča izdaje t. i. »wildcard« certifikata, ki priskrbi varno https:// povezavo na vseh poddomenah spletnega mesta. Možna je zgolj izdaja eno- in večimenskih domenskih (SAN) certifikatov. Pri slednjih omejitev znaša 100 domen na certifikat.

6. Namestitev LE certifikata na IDN domene v tem trenutku še ni mogoča. IDN domene so tiste, ki v svojem imenu vsebujejo posebne znake, kot so denimo šumniki.

7. Ker je LE brezplačen in avtomatiziran, se zanj pogosto odločajo spletni prevaranti. To je tudi glavni razlog za kratko veljavnost certifikata, saj ponudnik na ta način želi preprečevati zlorabe. Pri plačljivih certifikatih do zlorab prihaja zelo redko, zato je njihova veljavnost daljša, pa tudi splošno zaupanje do samega certifikata je na mnogo višji ravni.

8. Združljivost LE certifikata z operacijskimi sistemi in spletnimi brskalniki je mnogo manjša, kot to velja za plačljive certifikate. Za primerjavo si oglejmo certifikata LE ter Comodo PositiveSSL, ki velja za enega izmed najbolj priljubljenih domenskih certifikatov.

Let’s Encrypt Comodo Positive SSL GeoTrust RapidSSL
Mozilla Firefox 2.0 + Microsoft Internet Explorer 6.0 + Mozilla Firefox 1.0+
Google Chrome Mozilla Firefox 1.0 + Mozilla Suite 1.0+
Internet Explorer (Windows XP SP3 ali novejši) Mozilla 0.6 + Microsoft IE 5.01+
Microsoft Edge Google Chrome Opera 7+
Android OS 2.3.6 + Konqueror (KDE) AOL 5+
Safari 4.0 + (macOS) Netscape 4.77 + Netscape Communicator 4.51+
Safari 3.1 + (iOS) Opera 6.1 + Apple Safari 1.0+
Debian Linux 6 + Apple Safari 1.2 + Sony Playstation
Ubuntu Linux 12.04 + Camino 1.0 + Microsoft WebTV
NSS Library 3.11.9 + AOL 5 + Red Hat Linux Konqueror
Amazon FireOS (brskalnik Silk) Android 1.5 + Microsoft Windows CE 2003
Cyanogen 10 + iOS 1.0 + Microsoft IE Pocket PC 2003
Jolla Sailfish OS 1.1.2.16 + Windows Phone 7 + Microsoft IE Smartphone 2003
Kindle 3.4.1 + Microsoft Windows Mobile 5/6 Blackberry 4.0+
Java JDK 8u101 + Blackberry 4.3.0 + Palm / Handspring Blazer 2.0+
Microsoft Windows CE 4.0 Brew
Microsoft IE Pocket PC 2003 Openwave
Microsoft IE Smartphone 2003 NTT Do Co Mo
Palm OS 5.0 + AT&T
Netfront Browser 3.0 + Sony Playstation Portable
KDDI Openwave 6.2.0.12 + MSony Netjuke audio
Brew Netfront 3.0+
Opera Mini 3.0 + Opera 7.0+
Opera Mobile 6.0 + Vodaphone
NTT / DoCoMo Mozilla Thunderbird 1.0+
Sony Playstation Portable Microsoft Outlook 99+
Sony Playstation 3 Lotus Notes
Nintendo Wii Netscape Communicator 4.51+
Apache Vodaphone
BEA Weblogic Qualcomm Eudora 6.2+
C2Net Stronghold Mulberry Email 3.1.6+
cPanel / Web Host Manager IBM WME
Ensim Control Panel IBM WCE
Hsphere Sun J2SE 1.4.2_02
IBM HTTP Server Sun J2EE 1.4.2_02
iPlanet Server / Sun One
Java Web Server (Javasoft / Sun)
Lotus Domino
Microsoft IIS
Microsoft ISA
Microsoft Live Communication Server
Microsoft SQL Server 2005
Netscape Enterprise Server
Novell ConsoleOne + Novel Webserver
OpenLDAP
Oracle HTTP Server
Plesk
Tomcat
Webmin
WebSTAR
Zeus Web Server
Microsoft Outlook 9.0 +
Microsoft Entourage (OS/X)
Mozilla Thunderbird 1.0 +
Microsoft Outlook Express 5 +
Qualcomm Eudora 6.2 +
Lotus Notes (6 +)
Mail.app (Mac OS X)
Microsoft / Windows Mail 1.0 + (Vista)
The Bat 1 +
Microsoft Authenticode
Visual Basic for Applications (VBA)
Adobe AIR
Sun Java SE 1.4.2 +
Mozilla Suite 1.0 +
Sea Monkey
Microsoft Office

Na uradni strani ponudnika LE certifikata je zapisano, da je le-ta lahko nezdružljiv s konzolama Sony PS3 in PS4. Prav tako je navedeno, da je zagotovo nezdružljiv z:

  • Blackberry OS v10, v7 & v6
  • Android < v2.3.6
  • Nintendo 3DS
  • Windows XP < SP3
  • Java < JDK 8u101

Je namestitev Let’s Encrypt certifikata torej dobra odločitev?

Univerzalnega odgovora na vprašanje, ali se je bolje odločiti za brezplačen LE certifikat ali za katerega izmed plačljivih, ni. Lahko pa bi zapisali takole:

Za LE se odločite, če želite zavarovati preprosto vsebinsko spletno stran, na primer blog ali stran z osebno predstavitvijo. Obenem upoštevajte, da pri brezplačnem certifikatu potrebujete čas in tehnično znanje za nameščanje certifikata.

Pravilen prehod na https:// protokol je izjemno pomemben, saj se v primeru, da vsi elementi spletne strani niso deležni ustreznega prehoda, ob spletnem naslovu pojavi ikona z varnostnim obvestilom – Connection is Not Secure. Težave so v večini primerov povezane s slikami in JavaScript/CSS datotekami.

Za LE se ne odločite, če želite zavarovati spletno trgovino ali spletno stran, povezano s poslom oziroma podjetjem. Temu so namenjeni poslovni in razširjeni certifikati, ki poleg preverjanja domene vključujejo tudi verifikacijo podjetja. Zaradi dodatnega preverjanja gre pri omenjenih vrstah SSL certifikatov za višjo stopnjo varnosti, ki se odraža v povečanem zaupanju obiskovalcev do spletnega mesta. Velika prednost razširjenih certifikatov predstavlja tudi zelena naslovna vrstica, saj vzbuja še dodatno zaupanje.

Certifikat LE prav tako ni prava izbira za posameznike brez ustreznega tehničnega znanja ali želje po raziskovanju, kako certifikat pravilno namestiti na spletno stran. V tem primeru se je bolje odločiti za plačljiv certifikat, pri katerem za namestitev in pravilno konfiguracijo poskrbi ponudnik gostovanja. Ponavadi je v tem primeru investicija celo manjša, kot če bi IT podjetju plačali za delovne ure za namestitev brezplačnega certifikata.

Naj za konec dodamo še, kaj se zgodi, če SSL certifikat pozabite podaljšati. Spletna stran je še vedno dostopna na https:// povezavi, vendar se obiskovalcem ob prihodu najprej prikaže varnostno opozorilo o neveljavnem certifikatu. Lahko si mislite, da ob takšnem scenariju večina obiskovalcev stran raje hitro zapusti.

Varnostno opozorilo o poteku SSL certifikata

Če se torej odločite za LE certifikat z omejeno veljavnostjo, bodite pozorni, da imate pravilno nastavljeno avtomatsko podaljševanje vsakih 90 dni.