Svi smo fascinirani čarolijom zelenog lokota u traci preglednika. To je Googleova pažnja, ali često nas web-preglednici upozoravaju na nešifrirane podatke.
Kako funkcionira šifriranje podataka između preglednika i računala , možete pročitati u ovom članku.
Možete kupiti SSL certifikat. Ali možete ga dobiti i besplatno. Je li besplatni vrijedi isto toliko kao “plaćen”? O ovom ćemo u nastavku.
Razlike između plaćenih i besplatnih SSL certifikata
Zato što su SSL certifikati postali sve popularniji, a stanje zelenog lokota bilo je izdavanje certifikata od tzv. “Pouzdani certifikacijski centar”, bilo je samo pitanje vremena kada će neovisni centri koji izdaju SSL certifikate biti kreirani besplatno.
Prvi veliki centar koji je besplatno izdao SSL certifikat bila je javna organizacija koju je kreirala Internet Security Research Group pod nazivom Let’s Encrypt i koju podržavaju takvi poznati subjekti kao: Mozilla Fundation, Cisco Systems i Akamai Technologies. Ostale tvrtke koje nude besplatne SSL certifikate uključuju: Comodo, Cloudflare, Startcom te WoSign. Neke od tvrtki koje nude besplatne certifikate prethodno su izdavale certifikate uz naknadu i trenutno mijenjaju svoj pristup izdavanjem certifikata besplatno. Ponekad se može dogoditi da tvrtke istodobno prodaju certifikate i besplatno distribuiraju njihove ekvivalente.
Usporedili smo dva popularna certifikata: slobodno Let’s šifriranje i komercijalni RapidSSL.
Plaćeni certifikati, besplatni certifikati
(na primjeru RapidSSL)
Izdane na godinu (ili više godina) Izdane na 3 mjeseca
Automatska obnova: ne da
Certifikat tipa DV (domain validation)
Prepoznatljivost u preglednicima: 99+ %
Dimenzija simetrijskog ključa: 256-bit
Jamstvo: $10,000 nema
Ako je šifra SSL certifikata bila prekinuta, organizacija koja ga je izdala dužna je platiti naknaduCijena: 59$ Cijena: besplatno
Na temelju ove tablice može se zaključiti da je u načelu jedina bitna razlika između plaćenih i besplatnih certifikata “jamstvo”. Garancija zvuči dobro, odmah se osjećate samopouzdanije, međutim, trebate pročitati što točno jamstvo pokriva.
Pojedinosti o plaćenom certifikatu (RapidSSL):
Pojedinosti o besplatnom certifikatu (Let’s Encrypt):
Jamstvo – jedina stvarna razlika između besplatnih i plaćenih certifikata
Jamstvo u promotivnim materijalima certifikata reklamira se kao vrlo atraktivno. Međutim, nije lako pronaći detalje jamstva – za to obično morate pročitati propise, odnosno dodatak propisima, nešto poput: Relying Party Warranty.
Službeno, marketinški: Plaćeni certifikati nude jamstvo koje pokriva ukupne ili djelomične troškove posljedica loma ključa i curenja povjerljivih podataka.
Toliko teorije. Što sve to sada znači? To znači da šifra certifikata mora biti prekinuta. On je isti tip u besplatnom certifikatu, u DV, OV i EV certifikatu. Isto u svim tvrtkama koje izdaju certifikate. Razbijanje šifre u osnovi uzrokuje da svi certifikati postanu nedostojni. Ali onda ću dobiti naknadu? Na primjer, želim dobiti 10.000 $? Pa, ništa od ovoga.
Isključenja i ograničenja u “jamstvenim” zapisima
Da biste saznali da naknada nije nužno izvjesna, pročitajte pravilnik. U nastavku slijedi nekoliko rečenica analize propisa poznate tvrtke Comodo, na temelju njezinih propisa: https://www.comodo.com/repository/docs/SSL_relying_party_warranty.php
Naravno, ovo je samo primjer, jer svaki od davatelja certifikata ima slične zapise u svojim propisima.
Iznos od 10.000 USD u propisima je … ograničen na: 1000 USD po incidentu, ali “do iznosa gubitaka”. Dakle, čak i ako je nekim čudom šifra prekinuta, možemo povratiti maksimalno 1000 dolara pod jamstvom, pod uvjetom da dokažemo da smo zapravo izgubili toliko u ovom incidentu. Problem je dakle KAKO dokazati da smo nešto izgubili i koliko se isplatilo. Koja je vrijednost prisluškivanja vašeg prijenosa u banci? Međutim, čak i ako pretrpite određene financijske gubitke, oni će biti ograničeni na stvarni iznos gubitaka… ali ne veći od 1.000 USD. Kako to kažu kolokvijalno: nema ludila.
Naravno, osim ograničenja kvota, postoje i druge, na primjer, nikakva naknada, jer klijent sudjeluje u postupku prevare (nije poznato da li je svjesno ili ne). Tako, na primjer, 10.000 USD odnosi se na maksimalni iznos naknade, ali za većinu DV potvrda, to je iznos “stvarnog gubitka” koji ste pretrpjeli, ali je još uvijek ograničen na jednu transakciju, koja ne može premašiti 1.000 USD! Tako ste pretrpjeli gubitak, npr. Od 10.000 USD dobit ćete ionako najviše 1000 USD – pod uvjetom da dokažete da vaša krivnja nije postojala.
Također je dobro pročitati “isključenje”, to jest odlomak 5. gore navedenih propisa. Postoje takvi zapisi (ostavljam na izvornom jeziku, ali riječi poput “virus” ili “zlonamjerni softver” svima su prilično prepoznatljive):
This Warranty does not apply to losses or damages of a Covered Person, caused wholly or partially by:
[…]
5. acts by any unauthorized individuals which impairs, damages, or misuses the services of any Internet Service Provider or telecommunications, cable, or satellite carrier, other common carrier or value-added services, including but not limited to, denials of service attacks and the use of malicious software such as computer viruses;
albo:
7. failure of any services or equipment not under the exclusive control or ownership of Comodo or its partners, affiliates, and agents; or
Dakle … teoretski postoji jamstvo, ali u praksi trebate ići na sud u slučaju kršenja koda, i možete dobiti od jednog gubitka ono što ste izgubili, ali ne više od 1000 USD ….
Je li vrijedno koristiti plaćene SSL certifikate?
Sažetak će biti izuzetno subjektivan. Tehnički, plaćeni i besplatni DV (domain validated) certifikati su u osnovi isti. Pretpostavljam da se ne želite osloniti na jamstvo, jer prije svega kod neće biti provaljen u stvarnom vremenu, ali čak i ako hoće, sudska bitka od 1000 dolara je nešto na što ne vrijedi trošiti vrijeme
Budući da nema besplatnih potvrda zamjenskih znakova ili certifikata EV (extended validation), razmislite o kupnji istih. Istina je da zamjenski certifikat: * .klijentska-domena.hr je u osnovi jednostavna zamjena s bilo kojim brojem besplatnih certifikata za poddomene. Certifikat tipa EV, međutim, daje nam, pored zelenog lokota, natpis s institucijom za koju se izdaje certifikat. Ali jesu li svi banka?
Sve više i više hostinga, uključujući i našu tvrtku: www.smarthost.hr nudi bilo koji broj besplatnih SSL certifikata za domene koje će klijent dodati u panel za hosting. U tom slučaju, za većinu aplikacija dovoljan je besplatan certifikat.
Ako želite pročitati koje su vrste SSL certifikata i koji su različiti certifikati DV, OV i EV, pripremili smo članak na ovu temu: Kako funkcioniraju SSL certifikati. Koje su vrste SSL certifikata.
- Kako zaštititi WordPress – primjer provale i zaštite od infekcije - 10 prosinca, 2018
- SPF i DKIM – sigurnost od neželjene pošte - 20 rujna, 2018
- Što je DMARC i zašto vrijedi ga imati? - 18 rujna, 2018