Sind kostenlose SSL-Zertifikate besser als kommerzielle?
Aufgrund der zunehmenden Verwendung von Verschlüsselung im Internet haben die Menschen begonnen, sie mit Vertrauen zu verknüpfen. Dies führte natürlich zu einem Schneeballeffekt, bei dem mehr Websites den Anreiz zur Einführung der SSL / TLS-Verschlüsselung empfanden, damit sie nicht in Verzug geraten. Vor allem E-Commerce-Sites waren unter den Ersten, die diesen Druck spürten, da die Kunden sich davor fürchteten, Transaktionen ohne Verschlüsselung online durchzuführen.
Wenn es um Websites geht, die Eigentum von Entitäten sind, wird Verschlüsselung mehr als nur ein Algorithmus zur Sicherung von Online-Prozessen. Es ist eine kompliziertere Angelegenheit, mit Zertifizierungsstellen (CAs) und verschiedenen Ebenen der Genehmigung. Jetzt, mit dem Erscheinen von kostenlosen CAs wie Let's Encrypt, fragen sich die Leute selbst, warum kommerzielle Alternativen überhaupt existieren. Sind sie "besser"? Oder gibt es mehr zur Geschichte?
Verständnis der CAs und ihrer Bedeutung
Um HTTPS zu verwenden und Ihre Website als "sicher" zu kennzeichnen (dh die URL-Leiste wird grün, wenn ein Nutzer Ihre Website besucht), ist eine Form der Autorisierung erforderlich. Sie benötigen ein SSL-Zertifikat, das von einer Zertifizierungsstelle ausgestellt wurde. Ein Zertifikat wird Ihre Online-Präsenz als etwas "Echtes" validieren. Es gibt verschiedene Arten der Validierung:
- Domänenvalidierung (DV), die unwiderlegbar beweist, dass Sie Sie sind und die Domäne besitzen, die Sie schützen möchten
- Organisationsvalidierung (OV), die beweist, dass Sie die Domäne besitzen und einige Dinge über die Organisation hinter Ihrer Website überprüfen
- Extended Validation (EV), die eine gründliche und gründliche Analyse Ihrer Domain, Ihrer Organisation und ihres rechtlichen Status durchführt
Der Zertifizierungsprozess für DV ist offensichtlich viel einfacher zu erreichen, da Sie lediglich den Nachweis erbringen müssen, dass Sie Ihre Domain besitzen. In der Tat ist dies etwas, das automatisiert werden kann.
Jetzt kommen wir zu kostenlosen CAs
Zertifizierungsstellen wie Let's Encrypt stellen DV-Zertifikate ohne Kosten aus. Sie schaffen es, den Prozess der Domain-Besitz-Verifizierung in einem Ausmaß zu automatisieren, dass es für Sie fast nichts kostet, Sie zu validieren. Das ist alles in Ordnung und Dandy, wenn Sie eine gewöhnliche Website haben, die nicht erfordert, dass Benutzer sensible Daten (wie Kreditkartennummern, Bankkontodaten, Passnummern, etc.) teilen.
Wenn Sie eine E-Commerce-Website betreiben, sollten Sie vielleicht nach einer kommerziellen Zertifizierungsstelle suchen. Das Vertrauensniveau, das eine erweiterte Validierung bietet, legitimiert Ihre Organisation weiter als jede andere Form der Zertifizierung. Zumindest, erhalten Sie ein OV-Zertifikat, wenn Sie nicht mit der Bürokratie hinter EV bekommen wollen.
Wenn Sie eine große Web-Entität besitzen, die Websites in mehreren Sub-Domains hostet, werden Sie möglicherweise enttäuscht feststellen, dass Sie auch kein Wildcard-Zertifikat (nicht einmal von Let's Encrypt) erhalten können. Mit diesem Zertifikat können Sie jede Subdomain validieren, die Sie unter Ihrem Hauptdomänennamen erstellt haben.
Die Schlussfolgerung hier ist einfach: Wenn Sie eine einfache Website betreiben, die keinen Austausch sensibler Daten erfordert, ist ein Domain-Validierungszertifikat, wie es von Let's Encrypt angeboten wird, in Ordnung. Sie brauchen nichts Züchtiger!
Ansonsten sollten Sie sich an die kommerziellen Behörden halten. In einigen Ländern können Sie sogar rechtliche Probleme bekommen, weil Sie für rechtsverbindliche Vereinbarungen kein erweitertes Validierungszertifikat verwendet haben.
Glauben Sie, dass wir eventuell die Validierung aller Zertifikate automatisieren können? Oder ist das nur ein riesiger Sprung für die Menschheit? Erzähle uns in einem Kommentar!