Vanwege de opkomst van het gebruik van codering op het web, zijn mensen begonnen om het te associëren met vertrouwen. Dit heeft natuurlijk een sneeuwbaleffect gecreëerd waarbij meer websites de aanzet vonden om SSL / TLS-codering aan te nemen om te voorkomen dat ze achterop raken. Met name e-commercesites waren een van de eersten die druk voelden omdat klanten huiverig waren om transacties online te doen zonder encryptie.

Als het gaat om websites die eigendom zijn van entiteiten, wordt codering meer dan een algoritme dat wordt gebruikt om online processen te beveiligen. Het is een meer gecompliceerde zaak, met certificaatautoriteiten (CA's) en verschillende autorisatieniveaus. Nu, met het verschijnen van gratis CA's zoals Let's Encrypt, vragen mensen zich af waarom er commerciële alternatieven bestaan. Zijn ze "beter?" Of is er meer aan het verhaal?

CA's en hun belang begrijpen

Als u HTTPS wilt gebruiken en uw website als 'veilig' wilt laten erkennen (wat betekent dat de URL-balk groen wordt wanneer een gebruiker uw site bezoekt), heeft deze een of andere vorm van autorisatie nodig. U hebt een SSL-certificaat nodig dat is uitgegeven door een certificeringsinstantie. Een certificaat valideert uw online aanwezigheid als iets 'echts'. Er zijn verschillende soorten validatie:

  • Domeinvalidatie (DV), wat onweerlegbaar aantoont dat u de eigenaar bent van het domein dat u wilt beveiligen
  • Organisatorische validatie (OV), wat bewijst dat u eigenaar bent van het domein en een aantal dingen verifieert over de organisatie achter uw site
  • Extended validation (EV), dat een grondige en grondige analyse van uw domein, uw organisatie en de juridische status uitvoert

Het certificatieproces voor DV is uiteraard een stuk eenvoudiger te verkrijgen, aangezien u alleen maar het bewijs moet overleggen dat u de eigenaar bent van uw domein. In feite is dit iets dat kan worden geautomatiseerd.

Laten we nu naar gratis CA's gaan

Certificaatautoriteiten zoals Let's Encrypt geven DV-certificaten zonder kosten uit. Ze slagen erin het verificatieproces van het domein zo te automatiseren dat het bijna niets kost om u te valideren. Dit is allemaal prima en dandy als je een gewone website hebt die niet vereist dat gebruikers gevoelige gegevens delen (zoals creditcardnummers, bankrekeninggegevens, paspoortnummers, etc.).

Als u een e-commercewebsite gebruikt, moet u misschien op zoek gaan naar een commerciële certificeringsinstantie. Het vertrouwensniveau dat een uitgebreide validatie biedt, zal uw organisatie verder legitimeren dan enige andere vorm van certificering. Krijg op zijn minst een OV-certificaat als je geen zin hebt in de administratieve rompslomp achter het krijgen van EV.

Als u een grote webentiteit heeft die websites op meerdere subdomeinen host, bent u misschien teleurgesteld om te ontdekken dat u geen wildcard-certificaat gratis kunt krijgen (zelfs niet van Let's Encrypt). Met dit certificaat kunt u elk subdomein dat u maakt onder uw hoofddomeinnaam valideren.

De conclusie hier is eenvoudig: als u een eenvoudige website draait waarvoor geen uitwisseling van gevoelige gegevens vereist is, is een domeinbevestigingscertificaat zoals het door Let's Encrypt aangeboden certificaat prima. Je hebt geen liefhebber nodig!

Anders moet u zich houden aan de commerciële autoriteiten. In sommige landen kunt u zelfs juridische problemen ondervinden omdat u geen uitgebreid validatiecertificaat hebt gebruikt voor juridisch bindende overeenkomsten.

Denkt u dat we uiteindelijk alle certificaatvalidatie kunnen automatiseren? Of is dat slechts één gigantische sprong te ver voor de mensheid? Vertel ons in een reactie!