Czy darmowy certyfikat SSL jest bezpieczny?

Dzięki zabiegom Google, aby Internet był coraz bezpieczniejszym miejscem, certyfikaty SSL stają się standardem. Najnowsze wersje przeglądarki Chrome alarmują, gdy witryna bez SSL próbuje pozyskać od Ciebie jakieś dane.

Każda nowa strona ma praktycznie w standardzie certyfikat SSL. Zwiększa to bezpieczeństwo przesyłanych danych, ale również pozytywnie wpływa na widoczność domeny w wyszukiwarce Google. Choć nie jest to kluczowy czynnik, warto o niego zadbać

Od dłuższego czasu na rynku dostępne są darmowe certyfikaty SSL. Najpopularniejszym jest Let’s Encrypt. Otrzymuję wiele zapytań o ich zastosowanie i postanowiłem zebrać w jednym miejscu najczęściej poruszane kwestie.

Czy darmowy certyfikat SSL jest tak samo bezpieczny jak płatny?

Pominę tłumaczenie poziomu szyfrowania i uproszczę maksymalnie temat. Odpowiedź brzmi: tak, darmowy certyfikat SSL Let’s Encrypt jest tak samo bezpieczny pod kątem szyfrowania połączenia jak najpopularniejsze (najtańsze) certyfikaty komercyjne. Możesz oczywiście kupić znacznie droższe certyfikaty, które będą posiadały mocniejsze szyfrowanie, ale nie jest to niezbędne w podstawowych zastosowaniach.

Czy darmowy certyfikat SSL jest zgody z RODO?

Słynne RODO, czyli rozporządzenie o ochronie danych osobowych nie definiuje w żaden sposób kwestii certyfikatu SSL. Narzuca się jedynie odpowiednie zabezpieczenie danych osobowych i sposób ich transmisji. Jak już wcześniej wyjaśniłem, darmowy SSL technicznie zabezpieczy Cię tak samo jak płatny. Możesz więc z powodzeniem uznać certyfikat Let’s encrypt za zgodny z RODO.

Czy certyfikat Let’s Encrypt ma gwarancję?

Brak gwarancji jest praktycznie jedyną różnica między tanimi komercyjnymi certyfikatami, a tym darmowym rozwiązaniem. Gwarancja komercyjnych certyfikatów polega na tym, że jak ktoś złamie szyfrowanie połączenia, wystawca wypłaci Ci odszkodowanie np. 10 000 dolarów. Nigdy się jeszcze nie spotkałem z tym, aby doszło do takiej sytuacji.

Ile kosztuje certyfikat Let’s encrypt?

Z założenia certyfikat Let’s encrypt jest darmowy, ale zgodnie z licencją, to firma hostingowa ma prawo pobrać dodatkową opłatę za udostępnienie tej usługi. Jakkolwiek wydaje się to dziwne z punktu widzenia klienta, to spotkaliśmy się z opłatą 30 zł netto rocznie za udostępnienie darmowego certyfikatu. My zaś nie pobieramy żadnych opłat za korzystanie z Let’s encrypt i zachęcamy do stosowania tego rozwiązania.

Jakie ryzyko niesie za sobą darmowy certyfikat SSL?

Mogłoby się wydawać, że skoro są darmowe certyfikaty, to płatne rozwiązania tracą sens. Byłaby to piękna wizja, ale, poza samym poziomem szyfrowania, płatne certyfikaty mają jeszcze jedną wielką zaletę. Jest nią stabilność. Let’s encrypt jest wystawiany tylko na 3 miesiące, a komercyjny najczęściej na 12. Wszystkie hostingi, z jakimi się spotkałem, oferowały automatyczne odnawianie certyfikatu co 3 miesiące i nie trzeba się tym przejmować. Taka jest teoria. Praktyka jednak jest mniej przyjemna. Tylko w ciągu ostatnich 6 miesięcy zdarzyło się trzem naszym klientom unieruchomienie witryny, bo certyfikat SSL nie przedłużył się automatycznie. Było to u różnych dostawców i z różnych powodów. Raz to był błąd po stronie Let’s Encrypt (tak twierdził hostingodawca), a w pozostałych dwóch błąd techniczny hostingodawcy. Zdarzyło się to nawet jednemu z liderów rynku hostingu w Polsce. Jest to jedyne poważne ryzyko z jakim należy się liczyć korzystając z tego darmowego rozwiązania.

Czy odradzam korzystanie z darmowych certyfikatów?

Uważam darmowe certyfikaty za rozwiązanie, które pchnęło do przodu rozwój bezpieczeństwa w Internecie. Witryna na jakiej czytasz ten artykuł jest zabezpieczona darmowym certyfikatem SSL. Wiele witryn naszych, jak i naszych klientów, wykorzystuje to rozwiązanie. Są jednak zastosowania, gdzie odradzam użycie Let’s encrypt. Jeśli Twoja witryna generuje dochód ze sprzedaży usług, a problem z jej działanie może narazić Cię na straty finansowe, zainwestuj w komercyjny SSL. Są to bardzo małe koszty, a zyskasz dzięki temu pewność, że nagle nie zostaniesz z komunikatem o niebezpiecznym połączeniu i brakiem dostępu do witryny. Jest to aktualnie jedyny wyjątek, jaki stosujemy we współpracy z klientami. Do prostych stron firmowych lub blogów nawet nie oferujemy płatnych certyfikatów, bo nie ma to uzasadnienia biznesowego.