Et gratis SSL-certifikat kan have omkostninger for dig. Dine kunders online-sikkerhed afhænger af den sikkerhedsprocedure du har været igennem ved bestilling af et SSL-certifikat.

Du læste måske for kort tid siden, at Let’s Encrypt var eksponeret for en sårbarhed i måden, de udsteder digitale certifikater på – hvis ikke er her et link til omtale af problemet med sårbarheden.

Flere får krypteret deres websites med SSL-certifikater 

Siden opstarten af Let’s Encrypt i 2016 er organisationen stormet frem, og har således været stærkt medvirkende til, at vi i starten af sidste år kunne konstatere, at over halvdelen af alle websites nu bruger et digitalt certifikat.

I industrien for digitale SSL-certifikater er vi glade for at få den opmærksomhed, som Let’s Encrypt i meget høj grad har bidraget til: Ikke alene giver det en større bevidsthed om et hjørne af den digitale verden, som kun få kender til, men samtidig er organisationen medvirkende til, at flere virksomheder i dag gør brug af kryptering og sikring af følsomme data ifm. online-kommunikation. En kommunikativ opgave, som TRUSTZONE selv og andre i it-sikkerhedsbranchen har været alt for dårlige til at løfte.

Let’s Encrypt Udsteder SSL-certifikater til phishing-sites

Men intet er så godt, at det ikke også har en slagside. Måden hvorpå Let’s Encrypt udsteder sine certifikater, er forbundet med en del usikkerhed – en usikkerhed der, i et ikke altid transparent marked, kan være svær at spotte med det blotte øje.

I takt med den eksplosive vækst, som Let’s Encrypt har oplevet, er antallet af phishing-sites, som benytter HTTPS også steget markant. Det skyldes, at Let’s Encrypt ikke benytter sig af de samme strenge valideringsmetoder som andre godkendte CAs (“Certificate Authorities” – det vil sige udstedere af digitale certifikater).

En grundig undersøgelse fra marts 2017 viser fx, at ca. 15.000 certifikater (heraf 97% udstedt af Let’s Encrypt), som indeholdt ordet PayPal, var udstedt til phishing-sites. Således eksploderede dette antal ‘fejludstedte’ certifikater fra 10 i marts 2016 til 5.101 i februar 2017.

Du får hvad du betaler for

Få vil takke nej til at få noget foræret gratis, og som andre leverandører tager sig betalt for, men kradser vi bare en anelse i lakken, er der måske en årsag til, at Let’s Encrypt-certifikater er gratis, mens andre udstedere opkræver betaling for dét, der ved første øjekast kan se ud som helt identiske produkter.

Den største forskel på validering, når du skal vælge mellem et SSL-certifikat fra Lets’ Encrypt (Domain Validated SSL certifikat) og et SSL-certifikat fra TRUSTZONE (Extended Validation (EV) SSL-certifikat) er en gennemgribende valideringsproces, som er den eneste måde hvorpå du kan forsikre dine kunder om, at de trygt kan benytte sig af netop dit website:

Godkendelsesproceduren til et SSL-certifikat er altafgørende

En stor del af værdien i et digitalt certifikat er, at brugeren/kunden kan identificere websitet og organisationen bag, når sensitiv information såsom personfølsomme data, økonomiske detaljer eller lignende udveksles online. Elimineres dette element må og skal troværdigheden være tilsvarende lavere. Derfor findes der meget strenge regler for, hvordan et digitalt certifikat udstedes og således også for, hvem der kan udstede SSL certifikater.

I dag findes der få godkendte CAs, som har verdens tillid og dermed er i stand til at udstede godkendte digitale certifikater; Let’s Encrypt er en af disse, men grundet en hurtig – og faktisk også ret smart, om end ikke så sikker – måde at behandle validerings- og verificeringsprocessen, er det også muligt at få udstedt certifikater til phishing-sites ved blot at have et sparsomt kendskab til procedurerne.

Tænk dig om før du vælger certifikatudbyder

Som overskriften siger, er det vigtigt at vælge rigtigt. Er du kun ude efter krypteringsfunktionen i et digitalt certifikat, vil Let’s Encrypt fungere i de fleste tilfælde, men har du også behov for autentificering, så du dermed kan skabe tillid til brugeren/kunden, vil Let’s Encrypt sjældent være det rigtige valg. Her findes der bedre alternativer, som dog ikke er gratis – valget er dit.