Descobreix quines diferències hi ha entre els certificats SSL emesos per Let's Encrypt i els emesos perutoritats de certificació tradicionals.
Tal com us explicàvem fa unes setmanes, la iniciativa Let's Encrypt ha fet possible sol·licitar i instal·lar certificats SSL de manera gratuïta. Aquest servei ofereix un xifrat SSL bàsic i té punts molt interessants com la rapidesa d'obtenció, però, com qualsevol producte gratuït, es deixa pel camí molts dels avantatges que ofereixen els serveis de pagament.
En aquesta entrada volem ajudar a resoldre els dubtes dels qui us pregunten si realment val la pena pagar per obtenir un certificat SSL d'una Autoritat de certificació (AC).
Per això, valorarem diversos aspectes d'un SSL que detallem a continuació.
Velocitat d'emissió
Un dels motius pels quals els certificats de Let's Encrypt són gratuïts és que el procés d'emissió és completament automàtic, és a dir, que les comprovacions es duen a terme en segons mitjançant un programari basat en el protocol ACME. Això implica que el certificat es rep al moment. Tot i això, no té lloc cap verificació sobre el titular del web: certifiquen el web com a segur, però no hi ha una comprovació de l'empresa que hi ha darrere del web.
Per contra, per aconseguir un certificat SSL de les autoritats tradicionals primer cal fer una petició i, a continuació, fer una sèrie de passos, cosa que pot portar d'unes hores a uns dies, en funció del tipus de certificat desitjat. Tot i això, l'Autoritat emissora d'un SSL de pagament realitza una verificació de l'empresa que hi ha darrere del web, cosa que fa que aquests SSL certifiquen que tant el web com l'empresa que hi ha al darrere siguin fiables.
Període de validesa
La majoria dels certificats SSL tradicionals són vàlids com a mínim durant un any i ofereixen l'opció de perllongar aquest període fins als tres anys. Per la seva banda, els certificats de Let's Encrypt duren 90 dies i s'actualitzen automàticament. De vegades, aquesta instal·lació freqüent totalment automatitzada causa problemes i deixa el certificat fora de servei.
Garantia
Mentre que els certificats de Let's Encrypt no inclouen cap garantia en cas de fallada, els tradicionals sí que solen comptar amb una perquè, en cas d'haver-hi problemes, puguis reclamar la compensació corresponent.
assistència tècnica
En comprar un certificat SSL d'un proveïdor de qualitat, es guanya accés a personal amb formació que ens pot guiar en el procés de sol·licitud i instal·lació dels certificats SSL. En canvi, Let's Encrypt no té una plantilla per facilitar ajuda tècnica. Això en si mateix només és un desavantatge si no es tenen els coneixements tècnics necessaris.
Varietat de certificats SSL
Si el vostre lloc web necessita la seguretat afegida d'un certificat de validació estesa (EV), l'haureu d'adquirir necessàriament en un proveïdor tradicional, ja que Let's Encrypt només ofereix certificats de validació de dominis (DV). A més, tampoc no ofereix certificats multidomini ni wildcard, la qual cosa significa que, si tenim subdominis, Let's Encrypt ens obligarà a demanar un certificat per a cadascun (compte: hem de saber el subdomini exacte quan sol·licitem el certificat).
També cal tenir en compte que el límit d'aquest certificat SSL gratuït és de 20 per domini en un període de 7 dies, de manera que, si tenim més de 20 subdominis, la tasca es pot tornar difícil de gestionar. Tampoc ofereix mecanisme d'anul·lació, per la qual cosa una vegada s'arriba al límit, cal esperar 7 dies per tornar a començar.
Confiança i compatibilitat
Els navegadors i sistemes operatius tenen un dipòsit per defecte que conté una llista de les autoritats de certificació aprovades que utilitzen per comprovar si un certificat és de confiança o no.
Let's Encrypt es va llançar oficialment l'abril del 2016, per la qual cosa encara es pot considerar una iniciativa jove. D'aquí que no compti amb la universalitat de les autoritats de llarga trajectòria i que pugui tenir problemes de compatibilitat amb alguns navegadors i sistemes operatius antics.
Val la pena pagar per un certificat SSL?
Com sempre, la resposta a aquesta pregunta depèn del tipus de negoci, els coneixements tècnics que es tinguin i el temps que puguem invertir.
Els certificats SSL de Let's Encrypt són gratuïts, per la qual cosa resulten idonis per als que tenen un pressupost ajustat, però en realitat la despesa mitjana mensual d'un certificat SSL premium és molt reduït. Per això potser la pregunta és: ¿compensa pagar aquests pocs euros per estalviar-se possibles problemes?
A continuació, hem resumit en punts les característiques que defineixen cada servei, per ajudar-te a prendre aquesta decisió més fàcilment.
Certificat SSL gratuït de Let's Encrypt
- Només certificat SSL estàndard (conegut com a certificat de validació de domini).
- Encara hi ha navegadors mòbils i web que no ho reconeixen.
- Vàlid 90 dies des de l'emissió del certificat. Cal tornar a sol·licitar i instal·lar passats 90 dies.
- Només mostra «HTTPS» a l'adreça.
Certificat SSL de pagament d'un certificador
- Certificats SSL de validació estesa (EV), domini i entitat (OV) i validació de domini (DV).
- Reconeguts per tots els navegadors.
- Tecnologia punta de xifratge per encriptar la informació del navegador al servidor.
- Compra amb validesa de 1 any, 2 o 3 anys.
- Mostra HTTPS + barra de direcció verda + nom de l'empresa a la barra (EV).
- Segell de confiança.
Nominalia ven 8 tipus de certificats de seguretat SSL diferents: SSL 123, SSL Web Server, SSL Web Server EV, SSL Web Server Wildcard, Secure Site, Secure Site Pro, Secure Site amb EV i Secure Site Pro amb EV.