V tomto článku se podíváme na srovnání certifikátů Let’s Encrypt a certifikátů Basic DV od Symantecu, které svým zákazníkům exkluzivně nabízí ZONER software.

lets encrypt vs basic DV

Basic DV je iniciativa Symantecu, největší certifikační autority na světě. Certifikát mohou vystavovat 4 vybraní webhosteři na světě a jedním z nich je i ZONER software, tedy CZECHIA.COM.

Certifikát dostane zákazník ZONERu ke každé doméně a může jich mít, kolik bude chtít (včetně subdomén). Pokud má hosting u ZONERu, může si certifikát nainstalovat automaticky jedním kliknutím. Zákazníkovi nikdo nebrání si certifikát stáhnout s privátním klíčem a začít používat na svém serveru či zařízení. Certifikát je platný stejně jako doména (na rok) a automaticky se obnovuje (i na hostingu).

Výhody Basic DV:

  • tradiční způsob získání certifikátu bez softwarového klienta na serveru
  • zákazník získá certifikát stejným způsobem jako u placené CA
  • vystavuje největší CA na světě s 20letou tradicí
  • nemusí mít aktivní službu, instalaci si může provést sám a je to zcela v jeho kompetenci
  • zákaznická podpora poradí a pomůže
  • nejsou limity vystavení
  • CA respektuje CAA záznamy
  • certifikáty zveřejňuje do CT logů
  • ověření přes podepsanou DNS zónu ZONERu

Nevýhody Basic DV

  • certifikát je jen pro jedno DNS jméno
  • pro zákazníky jiných webhosterů fakt, že ho poskytuje jen ZONER a CZECHIA.COM

Zaregistrujte si domény, nebo je převeďte pomocí portálu CZECHIA.COM k ZONERu a automaticky získáte tento bezplatný SSL certifikát od Symantecu.

Let’s Encrypt je certifikační autorita založená v roce 2015, která vystavuje certifikáty zdarma. V CA je zapojena Mozilla, nadace EFF a sponzorují ji různé jiné IT firmy. CA není komerční, tudíž nemá zaručeny jiné příjmy.

Let’s Encrypt se vyznačuje osobitým přístupem k vystavování certifikátů. Je k tomu potřeba jejich softwarový klient, který pro ověření používá vlastní webserver a po získání certifikátu ho instaluje na server (upravuje jeho konfiguraci). Cílem je to, aby se správce serveru nemusel o nic starat (což trochu vylučuje jeho poslání). Certifikáty platí jen 90 dní, což neuvádím jako nevýhodu, protože klient dělá renew automaticky.

Kromě způsobu získání může otázky vzbuzovat i samotná CA. Je dobře, že je to nezávislý subjekt, ale důvěryhodnost certifikátů nemá ve své moci, a jak jsem už zmínil, nemá žádné příjmy. Mohou nastat problémy s udržitelností obojího.

Výhody Let’s Encrypt

  • plná automatizace renew i na zařízení zákazníka
  • CA podporuje CAA
  • certifikáty zveřejňuje do CT logů
  • poměrně dobré ověření před vystavením (nicméně krkolomné)

Nevýhody Let’s Encrypt

  • zcela komunitní, není podpora; zejména u následné instalace je to velká nevýhoda
  • důvěryhodnost dodává malá CA IdenTrust v pozadí; není vlastně ani klasickou CA, ale bank. konsorcium vydávající certifikáty
  • limity na počet vydávaných certifikátů
  • nutnost mít klienta, není možné certifikát vystavit bez běžícího serveru
  • když na serveru není podpora pro LE klienta – nemožnost vystavení, nebo nutnost použít alternativního
  • certifikát na server instaluje klient; měnit automaticky konfiguraci serveru je nebezpečné

 

Na důvody, proč se ZONER rozhodl upřednostnit řešení Symantecu před autoritou Let’s Encrypt, jsme se zeptali přímo produktového manažera hostingových služeb. „Let’s Encrypt jsme zvažovali. Chceme zákazníkům nabídnout HTTPS zabezpečení, protože víme, že jejich prezentace mají hodnotu. Rozhodli jsme se však udělat to pořádně, tedy nenabízíme jim certifikáty od Let’s Encrypt zdarma, ale nabízíme jim k doménám registrovaným u nás možnost využít SSL certifikát od dlouhými roky prověřené autority, jakou bezesporu Symantec je. Tento certifikát od nás mají v ceně registračního/renew poplatku za doménu,“ vysvětlil Lukáš Ondra ze ZONER software.

Jak vidíte, tak certifikát Basic DV má své uplatnění i při existenci jiných bezplatných CA. Pro zákazníky ZONER software se jedná o důvěryhodné řešení od největší CA na světě.

4 Příspěvků v diskuzi

  1. Fakt se snazim, ale nedari se mi to oznaceni PR clanku nalezt.
    Nebo to neni PR clanek, kdyz ho pise Zoner, doporucuje svoje reseni a za nevyhody oznacuje veci, ktere nebyly pravda ani v dobe psani clanku?
    Navic se behem doby situace celkem vtipne meni (skandal Symantecu s vydavanim EV certifikatu a jeho neduveryhodnost vs. zarazeni korenove autority LE do browseru).

Odpovědět