Zašto bih kupio Comodo SSL kada mogu da dobijem besplatan Let’s Encrypt sertifikat?
Sve češće kao hosting kompanija dobijamo zahteve da uvedemo Let’s Encrypt kao standardnu opciju u okviru cPanela. Potpuno logično pitanje – zašto platiti nešto kada to postoji besplatno?
Kroz ovaj članak pokušaćemo da objasnimo prednosti i mane besplatnog Let’s Encrypt SSL-a.
Prednosti
- Besplatan je . Cena- 0 dinara. Da bi instalirali Let’s Encrypt potrebno je da Vas hosting provajder omogući tu opciju u okviru cPanela
- Popularan je medju blogerima i manjim sajtovima
Kao što se vidi iz priloženog grafikona broj sajtova koji ga koriste je blizu 40 miliona, što je svakako impresivna brojka. Izvor
- Pruža osnovnu zaštitu – da, Vaš domen dobija enkripciju I svakako je bolje da imate I besplatan SSL instaliran na sajtu nego – nijedan.
- Nemate dodatnih podešavanja – U našoj ponudi imamo sertifikate koji se validiraju na vise nivoa –počev od domena, pa preko telefona do podataka na “žutim stranama” i biznis adresarima. Sve ovo se radi zbog dodatne sigurnosti.
Mane posedovanja Let’s Enscryt SSL Sertifikata
Ako ste neko ko je se bavi ozbiljnim online biznisom nastavite dalje. Ovaj deo bi trebalo da Vas posebno interesuje.
Nedostaci:
- Nijedan ozbiljan online biznis ne koristi Let’s Encrypt. Do sada smo instalirali na stotine SSL sertifkata našim klijentima i jedina zajednička stvar je da su svi oni kupili SSL. Niko nije tražio besplatan SSL i ako je opšte poznato da tako nešto postoji. Glavni nedostatak u ovom slučaju kod Let’s Encrypt SSL-a je što posetioc sajta ne zna da li iza njega stoji kompanija koja se tako predstavlja.
- Važi od 30 do 90 dana. Let’s Encrypt je SSL koji mora da se obnavlja na svakih 30,60 ili 90 dana, za razliku od plaćenih SSL sertifikata koji se kupuju na 1, 2 ili više godina.
- Nedovoljno pouzdan I siguran. Kako validacija praktično i ne postoji, ovo je odlična prilika za „loše momke“. Već je bilo slučajeva da tzv. Phishing sajtovi zloupotrebljavaju naivnost prosečnih posetioca. U praksi to znači da jeste moguće da Vam neki „loš momak“ ukrade podatke i ako mu na sajtu stoji ispisano zelenim slovima https. Čak I ako phishing sajt prosečno bude online 48 h to je dovoljno da se preuzmu podaci velikog broja posetioca.
- Let’s Encrypt nudi samo Domain Validation a ne I Extended Validation. Dakle, kao organizacija nemate mogućnost da se u green baru prikaže ime Vaše firme.
- Ne postoji opcija za WildCard SSL. To u praksi znači da i ako Vaš domen ima Let’s Encrypt, svi Vaši poddomeni NE mogu da imaju instaliran besplatan SSL.
- Podrške skoro i da nema. Razumljivo je s obzirom da je besplatan. Podrška se oslanja na internet zajednicu i forum, za razliku od plaćenih SSL sertifikata gde je Vaš hosting provajder dužan da Vam pruži podršku od kupovine SSLa, generisanja ključeva i instalacije SSL sertifikata.
- Ograničenja u broju izdatih sertifikata u sekundi. . Više o tome pročitajte ovde
Zaključak
Ukoliko ste početnik ili bloger bolje instalirajte čak I besplatan SSL nego nijedan. O važnosti posedovanja sertifikata smo već pisali.
U slučaju da se Vaš biznis u velikoj meri oslanja na Vaš web sajt, predlažemo da u sigurnost uložite 40-50 eur na godišnjem nivou. Uštedećete sebi vreme a I svojim klijentima delovaéte daleko ozbiljnije. Istraživanja pokazuju da prisustvo SSL-a na sajtu I drugih trust signala mogu da povećaju stopu konverzije
I na kraju iznenadjenje za prvih 10 čitaoca koji nam se jave preko tiketing sistema – Comodo Essential SSL Certificate za samo 21 eur (umesto regularnih 54) u prvoj godini!
Ivane super je što si pokrenuo ovo pitanje, a mene bi interesovalo kakva su Vaša iskustva sa besplatnim cloud flare SSL sertifikatima?
Pozdrav
Danijele,
u toku je priprema i za besplatne SSL sertifikate. Do sada nismo imali iskustva sa njima.
Ukoliko imas u planu takav jedan javi nam se preko tiketa…
Ivan
Količinom dezinformacija u ovom članku je očigledno da je pisan od strane marketinga koji nema pojma o tematici.
Netačnosti u spisku mana:
1. Nijedan ozbiljan online biznis ne koristi Let’s Encrypt.
Možda je trenutno Lets Encrypt popularniji među FLOSS projektima, blogovima, ličnih sajtova i manjih biznisa ali to će se vremenom promeniti i sve više i više biznisa će ga koristiti. Veći svetski hosting provajderi ga već uveliko nude, a vremenom će ih biti sve više. Ne postoji nikakva prepreka da ih biznis koristi nego su se prodavači sertifikata malo uplašili pa vole da šire dezinformacije.
2. Važi od 30 do 90 dana.
Tačno, važi 90 dana (ne 30 odakle vam to?), ali mu ovo nije nikakva mana nego čak prednost jer ako se desi da vam neko ukrade privatni ključ neće dugo biti koristan jer se brzo menja. A obnavljaja se automatikom, tj. skriptom za koju ne treba nikakva korisnička intervencija. Koja je procedura obnavljanja npr. Comodo sertifikata i koliko je ona jednostavna?
3. Nedovoljno pouzdan I siguran.
Phishing se dešava svima. Svakako je i na Comodo moguće uzeti sertifikat za bilo koji domen, ni oni ne vrše nikakvu bitnu različito validaciju za Domain Validation sertifikate. Phishing o kom pričate, tj. da neko uzme sličan sertifikat i domen i pravi se da je neko treći može da se desi sa bilo kojim izdavačem sertifikata. A ovo “U praksi to znači da jeste moguće da Vam neki „loš momak“ ukrade podatke i ako mu na sajtu stoji ispisano zelenim slovima https.” je čista laž i nema veze sa bilo kojim sertifikatom, u stvari ne znam ni šta ste hteli reći ovom rečenicom. I da ne ulazim sad u koliko puta su veliki izdavači sertifikata hakovani i imali razne probleme.
4. Let’s Encrypt nudi samo Domain Validation
Pa i vi nudite Domain Validation za “40-50 eur na godišnjem nivou.” A pritom je i sertifikat vašeg sopstvenog sajta na Domain Validation a pored toga imate i mešane https i http sadržaje na ovoj samoj stranici pa se pojavljuje “mixed content” upozorenje da sadržaj nije 100% siguran jer delovi stranice nisu https. I vi hoćete da nekome pričate o SSL sertifikatima?
5. Ne postoji opcija za WildCard SSL.
Od januara 2018. Lets Encrypt će nuditi i besplatne wildcard sertifikate.
6. Podrške skoro i da nema.
A kakva podrška je potrebna? Sve je automatizovano kod svih prodavaca sertifikata. Veliki hosting provajderi imaju Lets Encrypt podršku u sistemu i nije potrebna nikakva pomoć od nikoga da se sajt sa njim obezbedi i da se sertifikat obnavlja. Šta, vi ručno pravite ključeve i menjate konfiguracione fajlove za sajtove? Onda je daleko ozbiljniji problem u pitanju.
7. Ograničenja u broju izdatih sertifikata u sekundi.
non-issue, ne utiče ni na šta.
Zaključak
Nemate pojma i ovo je čist marketinšli članak koji ne doprinosi sigurnosti interneta, unoseći time laži i nedoumice tamo gde ih nema. Lets Encrypt je odličan i preko potreban projekat koji je doprineo da se enkriptuje sve više i više web sadržaja.
Miloše,
1. Kao i u prethodnom komentaru – navedi mi ozbiljan sajt koji koristi besplatan SSL sertifikat? Ozbiljan – da posluje preko interneta tj. ima online naručivanje?
2. Postoji opcija za obnovu SSL-a na 30,60 ili 90 dana
4. I mi nudimo Domain Validation ali i ostale tipove sertifikata. Fokus je na tome da se SAMO to nudi.
5. Wildcard – kada bude januara onda možemo da pričamo o tome. Daleko je to.
6. Podšrka je uvek potrebna. To bi trebalo da znaš ako se baviš online biznisom.
Članak nije marketinški već su iznete činjenice.
1. ajde par komada:
themeforest.net Alexa global rank #437
codecanyon.net Alexa global rank #1,187
colourpop.com Alexa global rank #2,142
2. svaki cert koji su mi izdali od samog početka je imao validnost 90 dana, nigde nisam video da nudi 30 ili 60 niti im to piše na sajtu, nebitno doduše, svi će izabrati 90 i da ima da se bira.
4. Ostali su preskupi i većini domaćih firmi nepotrebni kad ne umeju ni osnovne sigurnosne potrebe da obave (tipa šalju plaintext šifru u mejl za password reset ili pri promeni šifre). Uostalom, ne treba porediti babe i žabe, ja poredim Lets Encrypt isključivo sa drugim Domain Validation sertifikatima i kažem da razlike nema, a ne sa Extended Validation sertifikatima gde naravno ima.
6. uz pravilno napravljenu automatizaciju potrebna podrška je minimalna ali svakako ako nekom treba podrška nek je i uzme.
PS. još uvek vam ova stranica pokazuje mixed content upozorenje
Miloše,
definitivno postoji potreba za besplatnim SSL sertifikatima, to nije sporno i kao što sam na
Veliki sajtovi plaćaju SSL sertifikate iz istog razloga zbog kojih se hosting kupuje i plaća možda i skuplje na jednom mestu a na drugom ne,a to je sigurnost, kao i reputacija kompanije.
U ovom trenutku mogu da se setim 3 velika web shopa koji su kod nas kupili SSL sertifikat (Comodo i GeoTrust konkretno). Da li zaista misliš da niko iz njihovog IT sektora nije čuo za Lets Encrypt ili nije dovoljno obučen da ga sam instalira? Čisto sumnjam.
Kome se obraćaju za sve nedoumice oko SSL-a? Nama tj. tehničkoj podršci koja odmah rešava problem. U takvim situacijama je bitno vreme i niko od pomenutih nema vremena da gugla problem ili traži podršku preko foruma.
p.s. mixed content je rešen, hvala na obaveštenju.
Hey Ivane, moram da ti kazem da nisi bas u pravu. Reci cu ti da je sada 20.000 SSL aktivnih domena na lets enkript (i to validnih, ocena A). Sve se to lepo odrzava kroz njihov API, a to sto isticu na 3meseca, jedno cronche (ili dva ;)) lako resava. Da, jos nesto, uskoro mozes da ocekujes i njihove free wildcard sertifikate. Ako mislis da nisam u pravu, pozivam te da sracunas koliko bi kostala alternativa koju predlazes samo ovu firmu… PS jedini placeni sertifikati su na payment stranama (EV) i to zbog zbog uticaja na konverziju.
Mirko,
znam za cifru od 20000 SSL-a, takodje sam dobio informaciju da krecu sa wildcard sertifikatima..ali to tek kada bude dostupno mozemo da pricamo.
Mi ne branimo nikome da koristi Lets encrypt i verovatno ce biti ponudjeno kao opcija i kod nas.
Da li možeš da mi navedeš nekoliko ozbiljnih firmi koje se bave online trgovinom a da koriste lets encrypt?
Hvala sto si se javio