Różnice między płatnym i bezpłatnym certyfikatem SSL
Certyfikat SSL można kupić lub dostać za darmo. Jakie są różnice między tymi dwoma wersjami? Czy warto zainwestować w certyfikat płatny?
Certyfikat SSL płatny a darmowy
Wspomniane już certyfikaty stały się bardzo popularne. Warunkiem ich uzyskania było posiadanie autoryzacji wydanej przez zaufane centrum certyfikacyjne. Z czasem zaczęły powstawać centra, które wydają certyfikaty za darmo. Pierwszym takim centrum była organizacja publiczna Let’s Encrypt utworzona przez Internet Security Research Group. Jest ona wspierana przez tak duże firmy jak Cisco Systems, Akamai Technologies czy Mozilla Foundation. Poza tym darmową certyfikacją zajmują się m.in. WoSing i Comodo. Co ciekawe, sporo firm, które do tej pory oferowały certyfikaty odpłatne, teraz wydaje je za darmo.
Okazuje się, że w zasadzie jedyną różnicą między certyfikatami SSL płatnymi i darmowymi jest oferowana na nie gwarancja. W sytuacji, gdy dojdzie do złamania szyfru certyfikatu, organizacja go wydająca ma obowiązek wypłacić z tego tytułu stosowne odszkodowanie. Jak to jednak wygląda w praktyce?
Gwarancja w przypadku płatnych certyfikatów SSL
Przed podjęciem decyzji o zakupie certyfikatu, warto dokładnie zapoznać się z warunkami gwarancji. Najczęściej dane na ten temat znajdują się w regulaminie lub załączniku do niego. W teorii płatne certyfikaty
SSL dają gwarancję, która ma pokryć całkowity bądź częściowy koszt rezultatów, które powstają na skutek złamania klucza oraz wycieku istotnych danych. W praktyce złamany musi więc zostać szyfr certyfikatu, co jest niemal niemożliwe.
W regulaminach często zawarte są pułapki, na które trzeba uważać. Przykładowo kwota gwarancji bywa limitowana na jeden incydent do wysokości poniesionych strat. W razie złamania szyfru, klient musi więc udowodnić, że na skutek tego stracił tyle i tyle. Tymczasem pewne elementy są bardzo trudne do wycenienia np. utracone dane klientów.
Czy warto zainwestować w płatny certyfikat SSL?
W zasadzie certyfikaty płatne i darmowe typu DV, a więc domain validated są technicznie rzecz biorąc niemal takie same. Jedyną różnicę stanowi gwarancja. Jednak trudno się spodziewać tego, że szyfr zostanie złamany w realnym czasie, a nawet gdyby, uzyskanie odszkodowania może być bardzo trudne. W praktyce przygotować się trzeba na walkę w sądzie.
Nie ma natomiast darmowych certyfikatów typu wildcard czy EV, a więc extended validation. W przypadku tych certyfikatów należy rozważyć ich zakup. Certyfikat SSL typu EV daje klientowi poza zieloną kłódką koło adresu strony www napis z instytucją, która dany certyfikat wydała. To istotne m.in. dla banków i innych instytucji finansowych, które na co dzień obracają dużą ilością wrażliwych danych swoich klientów.
Nie ma darmowych certyfikatów EV, gdyż te są chronione dużymi obostrzeniami np. w porównaniu z certyfikatami typu DV. Certyfikat SSL DV można wygenerować bardzo szybko, wypełniając prosty formularz. W przypadku certyfikatów EV konieczne jest już przesłanie dokumentów, które potwierdzają dane danej firmy.