Gratis SSL/TLS Let´s Encrypt certifikater eller ej?
Vi får løbende spørgsmålet og desværre er svaret ikke enkelt og ligetil. I det følgende har vi samlet forskellige erfaringer gjort af vores kunder. Herudover giver vi en mere overordnet teknisk gennemgang af de fordele og ulemper der er ved de enkelte certifikat typer, gratis eller ej satser vi på at kunne gøre Jeres valg lidt enklere.
Erfaringer er samlet ind gennem årene via løbende dialog med vores kunder der tæller godt halvdelen af alle danske kommuner, 4 af de 5 regioner samt en række forskellige statslige organer. Herudover en række store markante private virksomheder på tværs af brancher og industrier typisk med aktiviteter både i og udenfor Danmark.
Allerførst “elefanten i rummet”
Nej, et certifikat fra Let's Encrypt er IKKE mere usikkert end et tilsvarende betalt certifikat fra de velkendte certifikat producenter eller forhandlere. Ingen nævnt ingen glemt - vores kunder benytter sig på tværs af alle kendte producenter, dermed også sagt at SSL/TLS certifikater er en generisk vare og man derfor som køber/bestiller ikke nødvendigvis behøver at have en teknisk præference for udsteder. Uanset om certifikatet er gratis eller betalt, så udfører certifikatet altid den samme funktion, nemlig sikring og kryptering af trafikken mellem brugers browser og webserver.
Let's Encrypt er alene finansieret via donationer og visionen har fra dag 1 været at krypteret kommunikation på internettet skal være muligt for alle. Let´s Encrypt fungerer som nøglecenter for certifikaterne, hvor udstedelse og fornyelse sker i en næsten fuldautomatisk proces - derved kan omkostningerne holdes nede på et ekstremt lavt niveau på trods af den meget store certifikat portefølje der håndteres på globalt plan. Omvendt er man ikke garanteret support og hjælp, hvis teknikken driller.
På 2 væsentlige områder adskiller Let’s Encrypt sig fra andre udbydere af SSL/TLS certifikater:
- Let’s Encrypt certifikaters levetid er kun 3 måneder
- Let’s Encrypt tilbyder kun domæne-validerede certifikater og indeholder således ikke identiteten af organisationen som certifikatet er udstedt til (se beskrivelsen af DV, OV og EV certifikater nedenfor)
Summeret ser vi en klar tendens i brugen af betalbare certifikater i det tilfælde hvor man ønsker en høj konverteringsgrad og maksimal grad af tillid fra besøgende. I tilfældet interne applikationer, driftede applikationer eller lignende ser vi en tendens i Let's Encrypt favør - det har til gengæld en positiv effekt på den årlige omkostning til certifikater.
Uanset om man hælder mere eller mindre til Let's Encrypt er de kommet for at blive og der helt sikkert er sat en ny standard for i forhold til graden af automatisering for både fornyelser og udstedelser.
For god ordens skyld har vi i det følgende kort listet de forskellige typer af SSL og TLS certifikater der udbydes fra diverse certifikat producenter og forhandlere:
Domain validation (DV)
Domæne validerede certifikater er sikkerhedsmæssigt den lavest validerede version af et certifikat. Eneste krav er påvist kontrol af det eller de domæne der er indeholdt i certifikatet. Kontrollen kan påvises af virksomhed eller sågar blot en person, eksempelvis ved at oprette en DNS record eller svare på en mail sendt til en af en kortere liste af godkendte e-mail adresser, eksempelvis hostmaster@, postmaster@ og administrator@. Det fremgår ikke af et domæne valideret certifikat hvilken organisation certifikatet er udstedt til. Grundet den forholdsvis lave sikkerhed er det ikke anbefalelsesværdigt at benytte denne type certifikater til hjemmesider der indeholder betalinger, transaktioner eller indsamling af persondata.
Organization validation (OV)
Organisations validerede certifikater er næste niveau rent sikkerhedsmæssigt. OV certifikater gennemgår en række kontroller der samlet set validerer at det er den givne organisation der bestiller certifikatet samt at organisationen har kontrol of domænerne som certifikatet udstedes til. Eksempelvis foretages der typisk en opringning til virksomheden for at sikre at det er virksomheden som har bestilt certifikatet. I et organisations valideret certifikat fremgår det hvilken organisation certifikatet er udstedt til.
Extended validation (EV)
Udvidet Validerede certifikater, dette er det højeste niveau for validering af SSL/TLS certifikater. EV certifikater gennemgår de samme sikkerhedstrin som både DV og OV certifikaterne. Herudover er der indlagt yderligere trin med fokus på validering såsom sikring af en virksomheds fysiske adresse, verificering via telefonisk kontakt og andre foranstaltninger for at sikre et højt niveau af tillid til informationerne der angives i certifikatet. Organisationens navn og adresse vil fremgå af det udstedte certifikat.
Hvad har vi lært og hvad forventer TrustSkills af fremtiden?
Som nævnt er Let´s Encrypt kommet for at blive, ligeledes er automatiseret proces omkring bestilling, fornyelse og deployment helt sikkert en ny standard for certifikathåndtering.
Vi i TrustSkills læner os op af den samme metodik der benyttes af Let's Encrypt i forbindelse med automatisering. ACME protokollen er omdrejningspunktet, forskellen er blot at vores løsning evner, at automatisere hele processen fra indkøb til deployment for alle typer af SSL/TLS. Herudover håndterer vores løsning også Jeres interne udstedelser (Microsoft PKI) samt MitID Erhverv....men det er en anden snak vi tager på et senere tidspunkt.
Nedenfor en illustration der giver et billede af vores løsning.
