Gratis SSL/TLS Låt oss kryptera certifikat eller inte?
Vi får frågan löpande och svaret är tyvärr inte enkelt och okomplicerat. I det följande har vi samlat olika erfarenheter från våra kunder. Dessutom ger vi en mer generell teknisk genomgång av för- och nackdelar med de enskilda certifikattyperna, gratis eller ej, vi siktar på att kunna göra ditt val lite enklare.
Erfarenheter har samlats under åren genom en löpande dialog med våra kunder, som utgör drygt hälften av alla danska kommuner, 4 av de 5 regionerna och en rad olika statliga organ. Därtill kommer ett antal stora framstående privata företag över branscher och branscher typiskt med verksamhet både i och utanför Danmark.
Först och främst "elefanten i rummet"
Nej, ett certifikat från Let's Encrypt är INTE mer osäkert än ett på liknande sätt betalt certifikat från de välkända certifikattillverkarna eller återförsäljarna. Ingen nämnde ingen glömd - våra kunder använder över alla kända tillverkare och säger därmed också att SSL/TLS-certifikat är en generisk produkt och därför behöver du som köpare/beställare inte nödvändigtvis ha en teknisk preferens för utfärdaren. Oavsett om certifikatet är gratis eller betald utför certifikatet alltid samma funktion, nämligen att säkra och kryptera trafiken mellan användarens webbläsare och webbserver.
Let's Encrypt finansieras enbart genom donationer och visionen från dag 1 har varit att krypterad kommunikation på internet ska vara möjlig för alla. Let´s Encrypt fungerar som ett nyckelcenter för certifikaten, där utfärdande och förnyelse sker i en nästan helautomatiserad process – och håller därmed nere kostnaderna på en extremt låg nivå trots den mycket stora certifikatportföljen som hanteras globalt. Omvänt är man inte garanterad stöd och hjälp om tekniken retar sig.
Let's Encrypt skiljer sig från andra leverantörer av SSL/TLS-certifikat på två nyckelområden:
- Varaktigheten för Let's Encrypt-certifikat är endast 3 månader
- Let’s Encrypt erbjuder endast domänvaliderade certifikat och innehåller således inte identiteten för den organisation som certifikatet är utfärdat till (se beskrivningen av DV-, OV- och EV-certifikat nedan)
Sammanfattningsvis ser vi en tydlig trend i användningen av prisvärda certifikat i de fall man vill ha hög konverteringsgrad och maximalt förtroende från besökarna. När det gäller interna applikationer, opererade applikationer eller liknande ser vi en trend till Let's Encrypts fördel – det har i sin tur en positiv effekt på den årliga kostnaden för certifikat.
Oavsett om man lutar mer eller mindre åt Let's Encrypt så har de kommit för att stanna och en ny standard har definitivt satts i relation till graden av automatisering för både förnyelser och emissioner.
För god ordnings skull har vi i följande karta listat de olika typerna av SSL- och TLS-certifikat som erbjuds från olika certifikattillverkare och återförsäljare:
Domain validation (DV)
Domänvaliderade certifikat är den lägsta validerade versionen av ett certifikat vad gäller säkerhet. Det enda kravet är bevisad kontroll av domänen eller domänerna som ingår i certifikatet. Kontrollen kan demonstreras av ett företag eller till och med bara en person, till exempel genom att skapa en DNS-post eller svara på ett e-postmeddelande som skickats till en av en kortare lista med godkända e-postadresser, såsom hostmaster @, postmaster @ och administratör @. Det framgår inte av ett domänvaliderat certifikat till vilken organisation certifikatet är utfärdat. På grund av den relativt låga säkerheten är det inte tillrådligt att använda denna typ av certifikat för webbplatser som innehåller betalningar, transaktioner eller insamling av personuppgifter.
Organization validation (OV)
Organisationens validerade certifikat är nästa nivå vad gäller säkerhet. OV-certifikat genomgår en rad kontroller som övergripande validerar att det är den givna organisationen som beställer certifikatet och att organisationen har kontroll över de domäner som certifikatet är utfärdat till. Till exempel görs vanligtvis ett samtal till företaget för att säkerställa att det är företaget som har beställt certifikatet. En organisations validerade certifikat anger vilken organisation certifikatet har utfärdats till.
Extended validation (EV)
Utökade validerade certifikat, detta är den högsta nivån av validering av SSL/TLS-certifikat. EV-certifikat går igenom samma säkerhetssteg som både DV- och OV-certifikaten. Dessutom har ytterligare steg inkluderats med fokus på validering, såsom att säkra ett företags fysiska adress, verifiering via telefonkontakt och andra åtgärder för att säkerställa ett högt förtroende för den information som anges i certifikatet. Organisationens namn och adress kommer att finnas på det utfärdade certifikatet.
Vad har vi lärt oss och vad förväntar sig TrustSkills av framtiden?
Som nämnts är Let´s Encrypt här för att stanna, och den automatiserade processen kring beställning, förnyelse och driftsättning är definitivt en ny standard för certifikathantering.
Vi på TrustSkills förlitar oss på samma metodik som används av Let's Encrypt i samband med automatisering. ACME-protokollet är i fokus, den enda skillnaden är att vår lösning kan automatisera hela processen från upphandling till driftsättning för alla typer av SSL/TLS. Dessutom hanterar vår lösning även dina interna frågor (Microsoft PKI).
Nedan finns en illustration som ger en bild av vår lösning.
