A Let’s Encrypt ingyenes, de tényleg a legjobb megoldás?

A Let’s Encrypt egy nonprofit Hitelesítés Szolgáltató (Certificate Authority), melyet olyan internetes nagyágyúk alapítottak és támogatnak, mint az Electronic Frontier Foundation (FFF), a Mozilla és az Internet Security Research Group (ISRG). A kezdeményezés célja, hogy mindenki számára ingyenes SSL tanúsítványokat biztosítson, ezáltal téve biztonságosabbá az internetet.

Bár Let’s Encrypt mindenképpen elismerésre méltó munkát végez, az nem titok, hogy kereskedelmi célra továbbra is szükség van a már nagy múlttal rendelkező Hitelesítés Szolgáltatókra. Ezek közé tartozik a Symantec, a Comodo, a GeoTrust, a RapidSSL és a Thawte. Utóbbiak mellett szól az a tény is, hogy az alap titkosítást és domain validálást biztosító tanúsítványaik már rendkívül alacsony áron elérhetőek, s nevük garanciát jelent a netezők többségének.

A Let’s Encrypt ellen szól az a tény, hogy nem képes olyan fontosabb SSL tanúsítványok szolgáltatására, mint a Kiterjesztett Ellenőrzésű (Extended Validation) vagy több domainra vonatkozó tanúsítványok.

A Let’s Encrypt komoly korlátozásokkal érhető el

Mivel a Let’s Encrypt korlátozott erőforrásokkal és infrastruktúrával bír, így néhány nagyon is komoly korlátozást kellett bevezetnie. Az ingyenessége miatt csupán automatizált, alap titkosítást és domainre korlátozott érvényességű (Domain Validated) SSL tanúsítványokat biztosít, kihagyva ezzel számos előnyt, ami az SSL tanúsítványokkal máskor járna.

A Let’s Encrypt által kínált tanúsítvány mindössze a domain tulajdonosát igazolja, de nem tartalmaz adatokat a vállalkozásról, így a validálással foglalkozó szakértőnek az utóbbiakat extra időráfordítással kell megszereznie. Nem kínál olyan tanúsítvány elemeket sem, melyeket már az alap, de fizetős változatok is tartalmaznak, köztük a jól ismert bizalmi pecsétet (seal), amely jól láthatóan elhelyezhető a tanúsított weboldalakon.

A vállalkozások egyre inkább meg szeretnék mutatni a látogatóiknak, hogy az adatokat megbízhatóan kezelik, erre egy kiváló példa a böngészőkben bekapcsolható SSL-visszajelzők használata. Ilyen visszajelző például a lakat ikon, mely a biztonságos kapcsolatot jelzi, vagy a címsorban zöld színnel jelzett név, mely csak a tanúsított weboldalaknál jelenik meg.

Ezeket az elemeket a vállalatok továbbra is a fizetős szolgáltatóktól, mint a Symantec vagy a Comodo szerezhetik be, ők kínálnak ehhez megfelelő OV vagy EV tanúsítványokat.

Az OV tanúsítvány a vállalati ellenőrzést jelenti, ekkor a vállalati papírok ellenőrzése után a cég adatai is hitelesítésre kerülnek. Az EV tanúsítvány a legmagasabb szintű ellenőrzést mutatja, itt már a hitelesített cégnél dolgozó kapcsolattartó ellenőrzése is megtörténik. Ennek meglétekor jelenik meg a zöld sáv a böngészőben.

A legnagyobb cégek mind EV tanúsítványt használnak, hiszen ezzel lehet a legkönnyebben megmutatni a látogatóknak a megbízhatóságot és biztonságot. A Twitter, az Apple, a PayPal mind így jelzi az ügyfeleinek, hogy a hivatalos webhelyre érkeztek, s már biztonsággal megadhatják a személyes adataikat. A legnagyobb bankok is mind kizárólagosan ezt a tanúsítványt használják, mely ráadásul kevésbé támadható, s az eltérített weboldalakon a hackerek nem tudják reprodukálni a zöld böngészősávot.

Az már most biztosra vehető, hogy a Let’s Encrypt fent említett fontos hiányosságai számos ügyfelet elriasztanak a használatától.

Az embereknek több kell, mint csupán ingyenes SSL

Ha valaki foglalkozott már SSL tanúsítványok eladásával, tudja, hogy az ügyfelek számára nem elég eladni egy SSL szolgáltatást. Az SSL nem az a műfaj, ahol a vásárlással befejeződik a tranzakció!

Már ahhoz is segítség kell, hogy kiválasztásra kerüljön a megfelelő SSL szolgáltatás. Ezután a megvásárolt szolgáltatást hozzá is kell adni a weboldalhoz, majd segítség kell a hitelesítéshez, a bizalmi pecsét elhelyezéséhez, a különféle problémák megoldásához, a frissítések nyomon követéséhez. Ráadásul ezek a megoldandó problémák még csak egy alap, domaint hitelesítő tanúsítványnál is felmerülhetnek, ehhez képest az OV és EV hitelesítések sokkal több segítséget igényelnek.

Az ingyenességből adódóan a Let’s Encryptnél nincs kapacitás arra, hogy segítsék az ügyfeleket életük első SSL tanúsítványuk telepítésekor, illetve nem tudnak az év minden napján éjjel-nappal elérhető ügyfélszolgálatot biztosítani a problémák elhárításához. Közösségi támogatás elérhető, ahol elkötelezett emberek sokasága válaszolja meg szabad idejében a kérdéseket, de ez nem az a megoldás, amit bármelyik vállalat felvállalhat, ha nem akar lemaradni a mai rohanó világban. Pár ezer forint megtakarításáért egyetlen vállalat sem kockáztathatja az üzletmenete folytonosságát, vagy a vásárlók bizalmának elvesztését, ez egyszerűen nem éri meg!

Az embereknek egyértelműen nem ingyenes tanúsítvány kell, hanem megbízható tanúsítvány, melyet éjjel-nappal elérhető ügyfélszolgálat és támogatás egészít ki. A vállalkozások inkább fizetnek egy szolgáltatásért, ha az egy probléma felmerülésekor hathatós megoldást kínál.

Tanulmányok azt is megmutatták, hogy az ügyfelek bíznak a már meglévő Hitelesítés Szolgáltatókban, mint a Symantec, a Comodo, a GeoTrust és a Thawte, ráadásul a jól látható bizalmi pecsét növeli az ügyfelek bizalmát, s ezáltal a konverziót. Különösen igaz ez a Norton Secure Seal nevű pecsétjére, mely minden Symantec által kínált tanúsítvány része, s egyike az internet legismertebb márkáinak.

A Let’s Encript által kínált modell, az univerzális megoldás minden problémára, nem tökéletes. Egy személyes blognak nyilvánvalóan másféle tanúsítványra van szüksége, mint egy nagyvállalati portálnak. Várhatóan egyre több weboldal ismeri fel a hitelesítés fontosságát, így a többféle tanúsítványt kínáló kereskedőké a jövő.