Czym różnią się bezpłatne certyfikaty SSL od płatnych certyfikatów SSL ?

Wszystkich nas fascynuje ostatnio magia zielonej kłódki w pasku przeglądarki. Zwraca na to uwagę Google, ale również często przeglądarki internetowe ostrzegają nas przed nieszyfrowanymi danymi. Jak działa szyfrowanie danych między przeglądarką a komputerem można przeczytać w tym artykule.

Certyfikat SSL można kupić. Ale można też dostać za darmo. Czy darmowy jest tyle samo warty co „płatny” ? O tym będzie poniżej.

Różnice między płatnymi a bezpłatnymi certyfikatami SSL.

Ponieważ certyfikaty SSL stawały się coraz popularniejsze, a warunkiem zielonej kłódki było wydanie certyfikatu przez tzw. „zaufane centrum certyfikacyjne”, kwestią czasu stało się, aby powstały niezależne centra wydające certyfikaty SSL bezpłatnie.

Pierwszym znanym centrum wydającym za darmo certyfikaty SSL była działająca pod nazwą Let’s Encrypt organizacja publiczna utworzona przez Internet Security Research Group i wspierana przez takie znane podmioty jak: Mozilla Fundation, Cisco Systems czy Akamai Technologies. Innymi firmami oferującymi darmowe certyfikaty SSL są między innymi: Comodo, Cloudflare, Startcom czy WoSign. Część z firm oferujących bezpłatne certyfikaty wydawało dotychczas certyfikaty odpłatnie, a aktualnie zmieniają swoje podejście, wydając certyfikaty bezpłatnie. Czasami może się zdarzyć, że firmy równocześnie sprzedają certyfikaty oraz rozdają ich odpowiedniki za darmo.

Porównaliśmy dwa popularne certyfikaty: bezpłatny Let’s encrypt oraz komercyjny RapidSSL.

Certyfikaty płatne
(na przykładzie
RapidSSL)
Certyfikaty darmowe
(na przykładzie
Let’s Encrypt)
Wystawiane na rok (lub wiele lat)Wystawiane na 3 miesiące
Autoodnawianie: nieAutoodnawianie: tak
Certyfikat typu DV (domain validation)Certyfikat typu DV (domain validation)
Rozpoznawalność w przeglądarkach: 99+ %Rozpoznawalność w przeglądarkach: 99+ %
Rozmiar klucza symetrycznego: 256-bitRozmiar klucza symetrycznego: 256-bit
Gwarancja: $10,000Gwarancja: brak
Jeśli doszłoby do złamania szyfru certyfikacji SSL, organizacja, która go wydała jest zobowiązana do wypłacenia odszkodowania
Cena: 59$Cena: bezpłatne

Na podstawie tej tabeli można stwierdzić, że w zasadzie jedyną ważną różnicą między certyfikatami płatnymi i bezpłatnymi jest „gwarancja”. Gwarancja brzmi dobrze, od razu człowiek się czuje pewniej 🙂 Jednak należałoby doczytać, co dokładnie gwarancja obejmuje.

Szczegóły certyfikatu płatnego (RapidSSL):

Szczegóły certyfikatu bezpłatnego (Let’s Encrypt):

Gwarancja  – czyli jedyna realna różnica między certyfikatami bezpłatnymi a płatnymi

Gwarancja w materiałach promocyjnych certyfikatów jest reklamowana bardzo atrakcyjnie. Nie jest jednak tak łatwo znaleźć szczegóły gwarancji – żeby to zrobić, najczęściej trzeba przeczytać regulamin, albo raczej dodatek do regulaminu, coś w stylu: Relying Party Warranty.

Oficjalnie, marketingowo: Płatne certyfikaty oferują gwarancję, która ma pokryć całkowity lub częściowy koszt skutków powstałych przy złamaniu klucza i wycieku poufnych danych.

Tyle teorii. A teraz co to oznacza? Oznacza tyle, że musi zostać złamany szyfr certyfikatu. On jest tego samego typu w certyfikacie bezpłatnym, w certyfikacie DV, OV i EV. I taki sam we wszystkich firmach wydających certyfikaty. Złamanie szyfru w zasadzie powoduje, że wszystkie certyfikaty stają się nic niewarte. Ale wtedy dostanę odszkodowanie? Np. chcę dostać 10 000$ ? Otóż nic z tego ….

Wykluczenia i ograniczenia w zapisach „gwarancji”

Żeby przekonać się, że na odszkodowanie niekoniecznie jest pewne, trzeba przeczytać regulamin. Poniżej znajduje się kilka zdań analizy regulaminu znanej firmy Comodo, na podstawie jej regulaminu:  https://www.comodo.com/repository/docs/SSL_relying_party_warranty.php
Oczywiście to jedynie przykład, bo każdy z dostawców certyfikatów ma podobne zapisy w swoich regulaminach.

Kwota 10 000$ w regulaminie jest … limitowana do: 1000$ na jeden incydent, ale i tak „do wysokości poniesionych strat”. Czyli nawet gdyby jakimś cudem został złamany szyfr, to możemy odzyskać w ramach gwarancji maksymalnie 1000$ pod warunkiem, że udowodnimy, że faktycznie w tym jednym incydencie tyle straciliśmy. Problemem będzie zatem JAK udowodnić, że coś straciliśmy i ile dokładnie było to warte. Ile warte jest podsłuchanie Waszej transmisji w bankiem? Nawet jednak gdybyście ponieśli konkretne straty finansowe, to będą one ograniczone do faktycznej kwoty strat … ale nie wyższej niż 1000$. Jak to mówią potocznie: szału brak.

Oczywiście oprócz ograniczeń kwotowych są też inne, np. żadne odszkodowanie się nie należy, jak klient bierze jakkolwiek udział w procedurze oszustwa (nie wiadomo, czy świadomie, czy nie). Czyli wartość np. 10 000$ dotyczy maksymalnej sumy odszkodowania, ale w przypadku większości certyfikatów DV jest to kwota „realnej straty”, którą poniósł użytkownik, ale i tak limitowana pojedynczej transakcji, która nie może przekraczać 1000$ ! Czyli poniosłeś stratę np. 10 000 zł to dostaniesz i tak maksymalnie 1000$ – pod warunkiem, że udowodnisz, że nie było tam twojej winy.

Dobrze też jest doczytać „wykluczenia”, czyli dział 5 wymienionego wyżej regulaminu . Są w nim takie zapisy jak (zostawiam w języku oryginału, ale słowa jak „virus” czy „malicious software” są raczej rozpoznawalne przez każdego):

This Warranty does not apply to losses or damages of a Covered Person, caused wholly or partially by:
[…]
5. acts by any unauthorized individuals which impairs, damages, or misuses the services of any Internet Service Provider or telecommunications, cable, or satellite carrier, other common carrier or value-added services, including but not limited to, denials of service attacks and the use of malicious software such as computer viruses;
albo:
7.  failure of any services or equipment not under the exclusive control or ownership of Comodo or its partners, affiliates, and agents; or

Zatem … teoretycznie gwarancja istnieje, ale w praktyce należy iść do sądu w razie złamania szyfru, a z można uzyskać z pojedynczej straty to co się straciło, ale nie więcej niż 1000$ ….

Czy warto zatem używać płatnych certyfikatów SSL ?

Podsumowanie będzie wyjątkowo subiektywne. Technicznie certyfikaty płatne i bezpłatne typu DV (domain validated) są w zasadzie tożsame. Chyba nie warto się zdawać na gwarancję, bo po pierwsze szyfr raczej nie zostanie złamany w realnym czasie, ale gdyby nawet, to batalia sądowa o 1000$ nie jest tym, na co warto tracić czas 🙂

Ponieważ nie ma bezpłatnych certyfikatów typu „wildcard” ani certyfikatów EV (extended validation), to w przypadku tych certyfikatów warto rozważyć ich zakup. Co prawda certyfikat wildcard: *.domena-klienta.pl jest w zasadzie do prostego zastąpienia dowolną liczbą bezpłatnych certyfikatów dla subdomen. Certyfikat typu EV daje nam jednak obok zielonej kłódki napis z instytucją na którą jest wydany certyfikat. Ale czy każdy jest bankiem ?

Coraz więcej hostingów, w tym nasza firma: www.smarthost.pl oferuje dowolną liczbę bezpłatnych certyfikatów SSL dla domen, jakie klient doda w panelu hostingowym. W takim przypadku dla większości zastosowań bezpłatny certyfikat wystarczy.


Jeżeli chcesz przeczytać, jakie są rodzaje certyfikatów SSL i czym różnią się certyfikaty DV, OV i EV to przygotowaliśmy artykuł na ten temat: Jak działają certyfikaty SSL. Jakie są rodzaje certyfikatów SSL.

Dodaj komentarz