Vi får många frågor om certifikaten från Let’s Encrypt, som ingår i alla våra webbplatspaket. Användare tenderar att undra över hur ett certifikat som är gratis kan ge tillräcklig säkerhet och om Let’s Encrypt verkligen kan leva upp till kundens behov, oavsett hur stor webbplats eller verksamhet det gäller.
I denna artikel förklarar vi exakt vad Let’s Encrypt är och varför du inte behöver något dyrt certifikat för att vara säker.
Vad är Let’s Encrypt?
För att verkligen förstå oss på Let’s Encrypt behöver vi ta en titt på gruppen som står bakom, Internet Security Research Group (Forskargruppen för internetsäkerhet). ISRG är ett allmännyttigt företag som grundades i syfte att utgöra ett ”hem” för digitala infrastrukturprojekt. Bland gruppens grundare och sponsorer finns några av de största namnen inom informationsteknik, såsom Mozilla, EFF, Cisco, Akamai, Google, Facebook och RedHat.
Gruppens första projekt var certifikatutgivaren (CA) Let’s Encrypt, som nu säkrar fler än 125 miljoner webbplatser över hela världen.
För att få lite perspektiv på inverkan från Let’s Encrypt kan vi studera några statistiska uppgifter. År 2013, innan Let’s Encrypt CA startade, använde cirka 26 % av webbsidorna som laddades i Firefox ett TLS-certifikat. I år visar samma datapunkt att andelen sidor som laddas via HTTPS nu är cirka 78 %. För närvarande utfärdar Let’s Encrypt mer än en miljon certifikat varje dag.
Hur fungerar Let’s Encrypt?
Certifikatutfärdaren Let’s Encrypt använder verifiering av domännamn för att säkerställa att servern som begär ett certifikat faktiskt har kontroll över domänen, för vilken certifikatet begärs.
Domänverifiering, eller helt enkelt ”DV”, är en process som kan genomföras helt utan mänsklig inblandning. Det innebär att det är mycket enkelt att automatisera förfarandet och det därmed blir mycket smidigt för webbhotell, såsom Seravo, att hantera detta. För att allt ska bli mer begripligt ska vi titta närmare på hur DV-processen i realiteten går till:
- Programvara på webbservern begär ett certifikat från CA (certifikatutfärdaren). I detta fall skickas begäran till Let’s Encrypt Certificate Authority.
- Certifikatutfärdaren använder privat (hemligt) nyckelpar för att unikt identifiera servern som begär certifikatet och kontrollerar sedan att servern har kontroll över domänen, för vilken certifikatet begärs.
- Webbservern bevisar sedan för certifikatutfärdaren att den verkligen har kontroll över domänen ifråga.
- Slutligen registrerar certifikatutfärdaren verifieringen och kopplar den mot serverns privata nyckel för användning vid nya förfrågningar i framtiden.
När väl detta bekräftade nyckelpar har skapats är det en enkel sak att begära, förnya och återkalla certifikat. Webbservern kan skicka sina förfrågningar till certifikatutfärdaren med hjälp av det bekräftade nyckelparet. När certifikatutfärdaren väl har bekräftat nyckeln utfärdas ett certifikat till webbservern.
Förnyelse eller återkallelse av certifikat följer en liknande process. Webbservern skickar ut en begäran om förnyelse eller återkallelse av dess tidigare erhållna certifikat, tillsammans med sin publika nyckel. Certifikatutfärdaren kontrollerar nyckeln och fullföljer den begärda åtgärden.
Om du vill studera processen ännu mer i detajl kan du läsa Let’s Encrypts egen dokumentation.
Eftersom allt detta kan utföras utan någon mänsklig inblandning går det att automatisera hela processen. Det besparar oss arbetet (och därmed kostnaderna) för manuell hantering av ansökningar om certifikat och förnyelser, något som krävs för andra typer av certifikat. Just av den anledningen kan vi erbjuda certifikat från Let’s Encrypt och hanteringen av dem gratis och utan någon extra kostnad för våra kunder.
Vad är det för skillnad mellan EV, OV och DV?
Ett domänverifierat (DV) certifikat är inte den enda typen av certifikat som är tillgänglig för webbplatser. Det finns även organisationsverifiering (OV) och utökad verifiering (EV – extended validation). Alla dessa certifikattyper använder samma teknik och samma algoritmer för krypteringen av internettrafiken. De största skillnaderna ligger i hur ägarskapet verifieras och hur certifikatet utfärdas.
Medan processen för domänverifiering kan automatiseras helt och hållet och genomföras utan någon mänsklig inblandning gäller det motsatta för för både EV- och OV-certifikat. I båda fallen krävs ytterligare verifiering av webbplatsens ägare när han eller hon ansöker om certifikatet. Vanligtvis handlar det om dokument som bevisar personens identitet och att verksamheten eller företaget som ansöker om certifikatet finns på riktigt.
Denna extra bekräftelse används ofta som ett säljargument för OV- och EV-certifikat. Man kan betrakta detta som att dessa extra steg bygger upp ett extra lager av förtroende för certifikatet, men det finns inte många argument som stöder sådana påståenden.
Låt oss titta på hur detta extra lager av säkerhet är tänkt att fungera. Utöver skillnaderna i verifieringsprocess är den största skillnaden mellan EV- och DV-certifikat att de visar namnet på företaget som äger certifikatet i ett grönt fält intill hänglåset i webbläsarens adressrad. För DV- och OV-certifikat visas enbart ett hänglås som ett tecken på att en säker förbindelse används.
Tanken är att besökaren kan bekräfta att den besökta sidan tillhör det företag de ville besöka och inte någon som försöker att genom bedrägeri försöker att ”nätfiska” inloggningsuppgifter m.m. Även om det på pappret kan verka vara en bra idé är det mer komplicerat än så, eftersom sådana säkerhetsmekanismer lägger ansvaret för behörighetskontroll på användaren, snarare än på själva systemet.
Ett annat problem med denna synsätt är att webbläsarprogrammen över tiden förändrar hur de presenterar dessa certifikat. Hänglåssymbolen är redan på väg att försvinna och det har talats om att webbläsarna så småningom kommer att sluta visa även den utökade information om företagsnamnet för EV-certifikat – vilket skulle göra dessa certifikat identiska med DV-certifikat ur slutanvändarens synvinkel.
Den sista större skillnaden mellan ett DV-certifikat från Let’s Encrypt och ett typiskt EV-certifikat är giltighetstiden. Alla certifikat som utfärdas av Let’s Encrypt har en giltighetstid på 90 dagar, medan EV-certifikat vanligtvis utfärdas för betydligt längre period, till och med upp till två år åt gången.
Med tanke på hur lång och omfattande processen är för att över huvud taget skaffa ett EV-certifikat, kan den längre giltighetstiden av vissa betraktas som något gott. Men i verkligeten är det inte lika enkelt. Förnyelseprocessen är lika komplicerad som den första ansökan och eftersom förnyelseprocessen inte går att automatisera är det lätt hänt att man blir sittande med ett utgånget certifikat.
Det innebär att din webbplats riskerar att se ut som i nedanstående illustration tills processen är avklarad, vilket knappast något företag skulle gilla:
Den automatiska förnyelseprocessen hos Let’s Encrypt gör de enkelt att undvika sådana situationer. Den kortare giltighetstiden är dessutom en fördel om certifikatsnycklarna skulle komprometteras, i synnerhet med tanke på att man ännu inte heller kan lita blint på processen för certifikatåterkallande.
Man kan samtidigt väga in att några av världens största webbplatser, såsom Google, YouTube, Facebook och Amazon inte använder EV-certifikat, eftersom de inte erbjuder någon egentlig extra säkerhet. Så om du funderar över om er webbplats eller ert företag borde använda ett EV-certifikat i stället för ett DV-certifikat från Let’s Encrypt, så är det förmodligen inte värt kostnaden.
Varför bör jag använda Let’s Encrypt som Seravo erbjuder?
Det enklaste svaret på den frågan är att det helt enkelt besparar dig alla bekymmer med att konfigurera ett certifikat, installera det på rätt sätt och komma ihåg att förnya det i rätt tid utan någon extra kostnad.
Alla webbplatser som ligger hos Seravo levereras med ett certifikat från Let’s Encrypt automatiskt installerat. Precis som vi förklarade här, är hela processen automatiserad, så det är ingen risk att ditt certifikat hinner löpa ut och du förlorar potentiella besökare till webbplatsen.
Vi rekommenderar inte att du använder certifikat från andra källor. Men om du vill använda ett annat certifikat för webbplatsen eller om er företagspolicy kräver att ni använder ett visst certifikat, så erbjuder vi även detta. Mer detaljerad information finns i beskrivningen av våra olika paket.
Dessutom håller vi oss alltid uppdaterade med den senaste tekniken för att våra kunder ska kunna sova lugnt och veta att deras webbplatser fungerar säkert. För närvarande arbetar vi på att erbjuda våra kunder stöd för ”wildcard” (certifikat som automatiskt stöder alla underdomäner till en huvuddomän), något som redan är fullt infört i certifikaten från Let’s Encrypt.
Det är inte bara tillräckligt med Let’s Encrypt. Med automatisk konfigurering, noll i kostnad och fullt stöd från de ledande inom branschen är det mer än tillräckligt för alla webbplatser – stora som små. Som kund hos Seravo får du dem gratis och utan ansträngning – för alla dina webbplatser!