På grunn av økningen av bruken av kryptering over Internett, har folk begynt å forene det med tillit. Dette skapte selvsagt en snøball-effekt, der flere nettsteder følte incitamentet til å adoptere SSL / TLS-kryptering, slik at de ikke faller bak. Særlig e-handelsnettsteder var blant de første som følte at presset som kunder var forsiktig med å gjøre transaksjoner på nettet uten kryptering.

Når det gjelder nettsteder eid av enheter, blir kryptering noe mer enn bare noen algoritme som brukes til å sikre online prosesser. Det er en mer komplisert sak, med sertifikatmyndigheter (CAs) og ulike nivåer av autorisasjon. Nå, med utseendet på gratis CA'er som La oss kryptere, spør folk seg selv hvorfor kommersielle alternativer til og med eksisterer. Er de "bedre?" Eller er det mer til historien?

Forstå CA og deres betydning

For å bruke HTTPS og få nettstedet ditt anerkjent som "sikkert" (som betyr at nettadresselinjen blir grønn når en bruker besøker nettstedet ditt) krever noen form for autorisasjon. Du trenger et SSL-sertifikat utstedt av en sertifikatmyndighet. Et sertifikat vil "validere" din online tilstedeværelse som noe "ekte." Det finnes ulike typer validering:

  • Domain validering (DV), som viser ubestridelig at du er deg og du eier domenet du vil ha sikret
  • Organisatorisk validering (OV), som viser at du eier domenet og verifiserer noen ting om organisasjonen bak nettstedet ditt
  • Utvidet validering (EV), som utfører en grundig og grundig analyse av ditt domene, din organisasjon og dets juridiske status

Sertifiseringsprosessen for DV er åpenbart mye lettere å oppnå, siden alt du trenger å gjøre er å sende inn bevis på at du eier ditt domene. Faktisk er dette noe som kan automatiseres.

La oss nå komme til gratis CA'er

Sertifikatmyndigheter som La oss kryptere utgir DV-sertifikater uten kostnad. De klarer å automatisere prosessen med kontroll av domeneeierskap i en grad at det koster dem nesten ingenting å validere deg. Dette er greit og dårlig hvis du har noen nettsider som ikke krever at brukerne deler sensitive data (som kredittkortnummer, bankkontooplysninger, passnummer osv.).

Hvis du kjører et e-handelsnettsted, bør du kanskje se på å gå for en kommersiell sertifikatautoritet. Nivået på tillit som en utvidet validering gir, vil legitimere din organisasjon ytterligere enn noen annen form for sertifisering. I det minste få et OV-sertifikat hvis du ikke vil bry deg med det røde tapetet bak å få EV.

Hvis du eier en stor webenhet som er vert for nettsteder på flere underdomener, kan du bli skuffet over å finne ut at du heller ikke kan få et jokertertifikat (heller ikke fra Let's Encrypt). Dette sertifikatet lar deg validere alle underdomener du oppretter under ditt hoveddomenavn.

Konklusjonen her er enkel: Hvis du kjører en enkel nettside som ikke krever utveksling av sensitive data, vil et domenevalideringsbevis som de som tilbys av Let's Encrypt, bli bra. Du trenger ikke noe mer avansert!

Ellers bør du holde fast ved kommersielle myndigheter. I enkelte land kan du til og med gå inn i juridiske problemer fordi du ikke brukte et utvidet valideringssertifikat for juridisk bindende avtaler.

Tror du at vi til slutt kan automatisere all sertifikatvalidering? Eller er det bare et stort sprang for langt for menneskeheten? Fortell oss i en kommentar!