Chứng nhận SSL miễn phí có tốt hơn thương mại không?
Do sự gia tăng của việc sử dụng mã hóa trên Web, mọi người đã bắt đầu liên kết nó với sự tin tưởng. Điều này, tất nhiên, tạo ra một hiệu ứng quả cầu tuyết, nơi nhiều trang web cảm thấy sự khuyến khích để áp dụng SSL / TLS mã hóa vì sợ rằng họ rơi phía sau. Đặc biệt, các trang thương mại điện tử nằm trong số những người đầu tiên cảm thấy áp lực khi khách hàng cảnh giác với việc giao dịch trực tuyến mà không cần mã hóa.
Khi nói đến các trang web thuộc sở hữu của các thực thể, mã hóa trở thành một cái gì đó nhiều hơn chỉ là một số thuật toán được sử dụng để bảo mật các quy trình trực tuyến. Đó là một vấn đề phức tạp hơn, với các cơ quan cấp chứng chỉ (CA) và các mức ủy quyền khác nhau. Bây giờ, với sự xuất hiện của các CA miễn phí như Let's Encrypt, mọi người tự hỏi tại sao các lựa chọn thay thế thương mại lại tồn tại. Họ có "tốt hơn không?" Hay có nhiều câu chuyện hơn không?
Hiểu biết về CA và tầm quan trọng của chúng
Để sử dụng HTTPS và để trang web của bạn được công nhận là "bảo mật" (có nghĩa là thanh URL chuyển sang màu xanh lục khi người dùng truy cập trang web của bạn) yêu cầu một số hình thức ủy quyền. Bạn cần chứng chỉ SSL do cơ quan cấp chứng chỉ cấp. Một chứng chỉ sẽ “xác nhận” sự hiện diện trực tuyến của bạn như một cái gì đó “thực”. Có nhiều loại xác thực khác nhau:
- Xác thực tên miền (DV), chứng minh không thể chối cãi rằng bạn là bạn và bạn sở hữu miền bạn muốn bảo mật
- Xác thực tổ chức (OV), chứng minh rằng bạn sở hữu miền và xác minh một số điều về tổ chức phía sau trang web của bạn
- Xác thực mở rộng (EV), thực hiện phân tích toàn diện và nghiêm ngặt về miền của bạn, tổ chức của bạn và trạng thái pháp lý của miền
Quá trình chứng nhận cho DV rõ ràng là dễ dàng hơn rất nhiều để có được kể từ khi tất cả các bạn phải làm là gửi bằng chứng rằng bạn sở hữu tên miền của bạn. Trên thực tế, đây là thứ có thể được tự động hóa.
Bây giờ hãy đến các CA miễn phí
Cơ quan cấp chứng chỉ như Let's Encrypt chứng chỉ DV vấn đề mà không mất phí. Họ quản lý để tự động hóa quá trình xác minh quyền sở hữu tên miền trong phạm vi mà nó chi phí hầu như không có gì để xác nhận bạn. Điều này là tất cả tốt và dandy nếu bạn có một số trang web chạy-of-the-mill mà không yêu cầu người dùng chia sẻ dữ liệu nhạy cảm (chẳng hạn như số thẻ tín dụng, chi tiết tài khoản ngân hàng, số hộ chiếu, vv).
Nếu bạn đang chạy một trang web thương mại điện tử, có lẽ bạn nên xem xét việc đi cho một cơ quan cấp giấy chứng nhận thương mại. Mức độ tin tưởng rằng xác thực mở rộng cung cấp sẽ hợp pháp hóa tổ chức của bạn hơn bất kỳ hình thức chứng nhận nào khác có thể. Ít nhất, có được một chứng chỉ OV nếu bạn không muốn làm phiền với các băng màu đỏ đằng sau nhận EV.
Nếu bạn sở hữu một thực thể web lớn lưu trữ các trang web trên nhiều tên miền phụ, bạn có thể thất vọng khi biết rằng bạn không thể nhận được chứng chỉ ký tự đại diện miễn phí (thậm chí không phải từ Let's Encrypt). Chứng chỉ này sẽ cho phép bạn xác thực mọi tên miền phụ bạn tạo dưới tên miền chính của mình.
Kết luận ở đây rất đơn giản: nếu bạn đang chạy một trang web đơn giản không yêu cầu trao đổi dữ liệu nhạy cảm, chứng chỉ xác nhận tên miền như chứng chỉ được cung cấp bởi Let's Encrypt sẽ tốt. Bạn không cần bất cứ điều gì fancier!
Nếu không, bạn nên dính vào các cơ quan thương mại. Ở một số quốc gia, bạn thậm chí có thể gặp rắc rối pháp lý vì bạn không sử dụng chứng chỉ xác thực mở rộng cho các thỏa thuận ràng buộc về mặt pháp lý.
Bạn có nghĩ rằng cuối cùng chúng tôi có thể tự động hóa tất cả xác thực chứng chỉ không? Hay đó chỉ là một bước nhảy vọt khổng lồ quá xa đối với nhân loại? Hãy cho chúng tôi biết trong một bình luận!