Certyfikat SSL to cyfrowe zabezpieczenie strony internetowej, które uwierzytelnia jej tożsamość i umożliwia bezpieczne połączenie między serwerem a przeglądarką internetową.
Twoja strona internetowa potrzebuje certyfikatu SSL, aby zapewnić bezpieczeństwo danych użytkowników, zweryfikować własność witryny, utrudnić cyberprzestępcom tworzenie fałszywych wersji witryn, wzbudzić zaufanie odbiorców i stworzyć zaufane środowisko online. Certyfikaty SSL mają też wpływ na szyfrowanie poczty w domenie.
Certyfikaty SSL możemy podzielić na darmowe i płatne oraz ze względu na sposoby walidacji. W przypadku darmowego wariantu wyróżniamy certyfikaty od ogólnodostępnego dostawcy Let’s Encrypt oraz certyfikaty od dostawcy Sectigo, które wydawane są wyłącznie przez cPanel. Czy zdawałeś sobie sprawę o ich istnieniu? Jak myślisz, czym darmowe certyfikaty SSL mogą różnić się od siebie i od płatnych certyfikatów?
Aktualizacja 10.07.2024 – koniec z certyfikatami od Sectigo w ramach AutoSSL
Z końcem czerwca, wraz ze 120 wydaniem cPanel usunięto wsparcie dla dostawcy Sectigo AutoSSL. W związku z tym automatycznie przełączyliśmy użytkowników Sectigo AutoSSL na Let’s Encrypt™ . Z naszych informacji cPanel wycofał się ze współpracy z Sectigo z uwagi na częste opóźnienia w wydawaniu certyfikatów. Zmiana nie wpływa na prawidłowe funkcjonowanie usług online.
Czym jest usługa AutoSSL?
Usługa AutoSSL to autorskie rozwiązanie dostarczane przez cPanel, które automatycznie instaluje darmowe certyfikaty SSL z walidacją DV dla Twoich domen i stron internetowych w cPanel. AutoSSL zapewnia, że Twoje certyfikaty nigdy nie wygasną, a w momencie ich wygasania zostaną one automatycznie zainstalowane na nowo. Usługa dostępna jest w MSERWIS za darmo dla wszystkich serwerów z linii ULTRA i serwerów VIP i PRO z linii BIZNES.
Nie każda firma hostingowa zapewnia auto instalację darmowych certyfikatów SSL i w zależności od panelu kontrolnego hostingu rozwiązanie będzie mieć inną nazwę, przykładowo w panelu Plesk odpowiednikiem AutoSSL jest “SSL It!”
W przypadku cPanelu administrator serwera z poziomu WHM (narzędzia do zarządzania cPanelem) dla usługi AutoSSL może wybrać darmowe certyfikaty od jednego z dwóch dostawców – Sectigo lub Let’s Encrypt. Jednak domyślnie po stronie WHM wybrany jest dostawca Sectigo, a Let’s Encrypt można w błyskawiczny sposób doinstalować.
Oferowanie dwóch darmowych urzędów certyfikacji nie jest standardem i w przypadku innych popularnych paneli do sterowania hostingiem np. Plesk, usługa automatycznego instalowania certyfikatów SSL dotyczy wyłącznie Let’s Encrypt. Bazując na naszej ostatniej analizie hostingu, tylko jedna firma spośród 15 badanych, podobnie jak MSERWIS oferuje certyfikaty SSL od Sectigo.
Różnice między darmowymi certyfikatami Sectigo a Let’s Encrypt
Let’s Encrypt jest organizacją non-profit oraz globalnym urzędem certyfikacji (CA). Zapewnia swoim odbiorcom uzyskiwanie, odnawianie i zarządzanie bezpłatnymi certyfikatami SSL. Certyfikaty wydawane są na 90 dni w celu zmniejszenia ryzyka wykorzystania ewentualnych luk w zabezpieczeniach, które mogą się pojawić oraz aby zminimalizować potencjalne ryzyko użycia błędnie wydanych certyfikatów. Używają tego samego szyfrowania, co większość dostępnych płatnych certyfikatów i nie oferują ubezpieczenia, ponieważ są darmowe. Let’s Encrypt zapewnia wyłącznie certyfikaty DV, czyli Domain Validation, w których weryfikowana jest tylko domena.
Certyfikat SSL Sectigo to największy na świecie komercyjny urząd certyfikacji, oferujący wszechstronny zestaw certyfikatów SSL dla każdego budżetu i zastosowania – począwszy od bezpłatnych certyfikatów, a kończąc na płatnych, zaawansowanych certyfikatach SSL INSTANT OV PREMIUM WILDCARD.
Darmowe certyfikaty od Sectigo dostarczane są wyłącznie przez cPanel. Podobnie jak Let’s Encrypt nie oferują ubezpieczenia, ponieważ są bezpłatne. Ze względów bezpieczeństwa generowane są na 90 dni, a potem są automatycznie odnawiane.
Używają tego samego szyfrowania, co niektóre z ich płatnych odpowiedników.
Opisy obydwu darmowych certyfikatów brzmią podobnie. Zatem, czy są między nimi jakieś istotne różnice? W celu głębszego przeanalizowania tematu zainstalowaliśmy Let’s Encrypt na naszym testowym serwerze i od razu otrzymaliśmy odpowiedź w formie tabelki z ogólną oceną użyteczności danego dostawcy wraz z krótkim uzasadnieniem.
Usability Score, czyli łączna ocena użyteczności w skali od 0 do 9, która klasyfikuje każdego dostawcę na podstawie następujących możliwości:
- DCV Methods, czyli metody weryfikacji kontroli domeny (DCV) oferowane przez danego dostawcę. Aby usługa AutoSSL mogła działać, domena żądająca certyfikatu musi przejść przynajmniej jedną z dwóch możliwych weryfikacji domeny – opartej na DNS lub na protokole HTTPS. W pierwszym przypadku cPanel doda tymczasowy rekord do strefy DNS domeny. Jeśli domena będzie wskazywać na prawidłowe serwery nazw (używane przez lokalny serwer cPanel do kontroli DNS), to walidacja zakończy się powodzeniem. W przypadku weryfikacji przez HTTP cPanel doda wyznaczony plik do Twojej witryny. Jeśli Twoja strona będzie wskazywać na prawidłowy serwer i adres URL, to weryfikacja się powiedzie. Jeśli domena nie wskaże na serwer lub przekierowuje do innego adresu URL, sprawdzenie zakończy się niepowodzeniem. W ramach Usability Score dostawca certyfikatów może otrzymać łącznie dwie gwiazdki za metodę DCV, jeśli obsługuje “Ancestor DCV”, w przeciwnym wypadku otrzyma jedną gwiazdkę.
- Ancestor DCV Support – czy pomyślnie przeprowadzona weryfikacja kontroli domeny nadrzędnej implikuje sukces subdomeny. Na przykład, gdy sprawdzanie kontroli “mserwis.pl” powiedzie się, to przeprowadzanie kolejnej weryfikacji kontroli subdomeny “www.mserwis.pl/blog” będzie niepotrzebne.
- Domains per Certificate, czyli liczba unikalnych domen na certyfikat. Dostawca może otrzymać za to maksymalnie jedną gwiazdkę.
- Delivery Method, czyli metoda dostarczania, to sposób, za pomocą którego dostawca wystawia certyfikat. Może to zrobić za pośrednictwem interfejsu API (api) czy kolejkowania (queue).
- Average Delivery Time, czyli wymagany średni czas do wystawienia certyfikatu przez dostawcę, jeśli został on określony. Dostawca może otrzymać maksymalnie jedną gwiazdkę.
- Validity Period, czyli okres ważności obowiązywania certyfikatu.
- Maximum Number of Redirects, czyli maksymalna liczba przekierowań, których domena może użyć i nadal przekazać DCV oparte na protokole HTTP. Dostawca może otrzymać maksymalnie jedną gwiazdkę.
- Rate Limit, czyli liczba certyfikatów rejestrowanych przez dostawcę na domenę w skali tygodnia.
- Wildcard Support – czy dostawca wspiera domeny Wildcard. Wildcard SSL ma na celu zabezpieczenie nazwy domeny wraz z nieograniczoną liczbą subdomen. Dzięki temu użytkownik może chronić dowolną liczbę subdomen w ramach jednego certyfikatu. Dostawca może otrzymać za to udogodnienie jedną gwiazdkę.
Jak sam widzisz, w ogólnej ocenie użyteczności przewagą jednej gwiazdki prowadzi dostawca certyfikatów Sectigo.
Niestety Let’s Encrypt nie zapewnia „Ancestor DCV Support” i przez to mocno traci w rankingu użyteczności. Za to dominuje nad konkurentem wymaganym średnim czasem potrzebnym na wystawienie certyfikatu — o 115 sekund krótszym, liczbą dostępnych przekierowań oraz wsparciem dla domen Wildcard.
Pomimo dużego, tygodniowego limitu generowania certyfikatu dla jednej domeny (50x), istnieje minimalne ryzyko, że w skali tygodnia domena a wraz z nią powiązane usługi mogą zostać bez certyfikatu. Niefortunnie Let’s Encrypt miało już w historii swoje pojedyncze problemy, które mogły się do tego przyczynić:
- Przykładowo w marcu 2022 roku firma planowała unieważnić ponad 3 miliony darmowych certyfikatów SSL.
- Inny incydent wydarzył się 30 września 2021 roku. Wtedy wystąpił poważny problem z certyfikatami Let’s Encrypt, który miał wpływ na dużą liczbę urządzeń do przeglądania i sprawdzania poczty – wystąpiły problemy ze zgodnością z niektórymi platformami.
- Ponadto certyfikaty Let’s Encrypt pomimo swojej niezwykłej przydatności i popularności, czasami kojarzone są z przestępczymi celami, ponieważ cyberprzestępcy w łatwy sposób są w stanie je wykorzystać. Przykładem jest wydanie w 2017 roku aż 15 tysięcy fałszywych certyfikatów „PayPal”.
Jeśli chodzi o certyfikaty od Sectigo, to nie znaleźliśmy informacji o podobnych incydentach.
Dostawca Sectigo jest w stanie obsłużyć o 900 unikatowych domen więcej na jeden certyfikat i gwarantuje nielimitowaną liczbę rejestrowanych certyfikatów na domenę w skali tygodnia. Dzięki temu wsparcie dla domen Wildcard wydaje się po prostu niepotrzebne, ponieważ urząd zapewni wiele oddzielnych certyfikatów dla subdomen. Ponadto obawa przed utraceniem certyfikatu jest zminimalizowana.
Jako ciekawostka, jeszcze w 2019 roku Let’s Encrypt posiadał o dwie gwiazdki mniej od Sectigo w ogólnej, ośmiogwiazdkowej ocenie (w 2022 roku skala zwiększyła się do 9 gwiazdek). Jednak już nie udało nam się ustalić, w czym tkwiła różnica i gdzie nastąpił progres Let’s Encrypt. Jednak widzimy, że Let’s Encrypt dba o rozwój swojego narzędzia.
Czym różni się darmowy certyfikat SSL od płatnego certyfikatu SSL?
Niestety, ale darmowe rzeczy często mają swoje minusy czy ograniczenia. Nie inaczej jest w przypadku bezpłatnych certyfikatów SSL. Pomimo zapewnienia nowoczesnego standardu szyfrowania stron internetowych i łatwej ogólnodostępności, nie oferują one rozszerzonej weryfikacji domeny (OV) czy (EV), a walidacja ogranicza się wyłącznie do samej domeny (DV). Płatne certyfikaty gwarantują to rozwiązanie. Rozszerzona weryfikacja domeny powinna interesować Cię szczególnie wtedy, gdy przetwarzasz wrażliwe dane użytkowników strony czy sklepu internetowego. Korzystając z rozszerzonych weryfikacji domeny, zwiększasz wiarygodność firmy, ponieważ każdy użytkownik strony będzie mógł sprawdzić, do kogo należy domena i komu pozostawia swoje dane.
Szczegółowo o metodach walidacji certyfikatów SSL poczytasz na naszym blogu: https://www.mserwis.pl/blog/wybor-certyfikatu-ssl-i-jego-weryfikacja/
Innym minusem darmowych certyfikatów jest brak bezpośredniego wsparcia od ich wystawców. Urzędy nie zapewniają wsparcia w zakresie wydania dla bezpłatnych certyfikatów, aczkolwiek prawdopodobnie uzyskasz je u swojego dostawcy hostingu (na pewno w MSERWIS) i może od wydawcy oprogramowania hostingu, który zapewnia usługę auto instalacji SSL. W przypadku płatnych certyfikatów masz gwarantowane pewne wsparcie techniczne od urzędu certyfikacji, jeśli z wydaniem certyfikatu będą związane jakieś problemy.
Darmowe certyfikaty SSL nie posiadają żadnej gwarancji, która może okazać się pomocna, gdy coś pójdzie nie tak z powodu błędnie przeprowadzonego uwierzytelniania. Płatne certyfikaty już ją posiadają. Gwarancję możesz potraktować jak ubezpieczenie biznesowe, które zapewnia odszkodowanie za wszelkie szkody dla biznesu wynikające z błędnego wydania certyfikatu czy jego rozszyfrowania.
Jeśli zależy Ci na maksymalnym bezpieczeństwie danych Twoich klientów, bądź nie możesz sobie pozwolić na niepewne wsparcie w sprawie instalacji certyfikatów SSL, bądź wolałbyś uniknąć przykrych konsekwencji majątkowych związanych z brakiem ich gwarancji, to powinieneś zdecydować się na komercyjny certyfikat SSL.
Podsumowanie – Sectigo AutoSSL czy Let’s Encrypt AutoSSL? Który lepszy?
Obaj darmowi dostawcy AutoSSL są dobrzy i ich certyfikaty skutecznie spełniają swoją zasadniczą rolę – potwierdzają bezpieczeństwo szyfrowania danych pomiędzy użytkownikiem a serwerem. Jednak po dokładniejszym przeanalizowaniu dwóch przypadków, to Sectigo posiada trochę lepszy wynik użyteczności.
W porównaniu do komercyjnych certyfikatów darmowe SSL’e nie zapewnią Ci rozszerzonej weryfikacji domeny, która jest istotna, gdy zależy Ci na zwiększeniu wiarygodności biznesu i podniesieniu certyfikatu o najwyższej klasie (EV).
Jednak najważniejsza zasada to, żebyś posiadał jakikolwiek certyfikat SSL dla swoich domen i usług, który zapewni bezpieczną transmisję poufnych danych podczas ich przesyłania.
Źródło:
https://hostek.help/en/articles/3674582-taking-advantage-of-autossl-via-whm-cpanel
https://docs.cpanel.net/whm/ssl-tls/manage-autossl/
https://blog.cpanel.com/lets-talk-autossl-the-updates
https://www.clickssl.net/blog/free-vs-paid-ssl-certificate-which-one-is-best-for-website
Już od kilku lat zajmuję się planowaniem, koordynacją i realizacją działań marketingowych w MSERWIS.pl i Domeny.tv. Jestem odpowiedzialny za promowanie usług, produktów i oprogramowań mojej firmy. Aby jak najlepiej zrozumieć ich funkcje i zalety współpracuję z zespołem programistów i Biurem Obsługi Klienta. Wykorzystuję różnorodne taktyki i kanały marketingowe, żeby dotrzeć do potencjalnych klientów i przekonać ich do zakupu lub subskrypcji. Moje działania obejmują m.in. tworzenie kampanii marketingowych, pisanie materiałów marketingowych, zarządzanie mediami społecznościowymi oraz marketingiem e-mailowym i analizowanie rynku w celu zrozumienia potrzeb i preferencji docelowych odbiorców. Rozumiem technologię i potrafią przekazywać złożone koncepcje techniczne odbiorcom nietechnicznym. Mam doświadczenie w obszarach takich jak content marketing, SEO i generowaniu leadów. Potrafię skutecznie mierzyć i analizować wyniki działań marketingowych, aby stale ulepszać swoje strategie.
Komentarze
Jedna odpowiedź do “Darmowe certyfikaty SSL od Sectigo i Let’s Encrypt w ramach AutoSSL. Które lepsze?”