Hlavní navigace

SSLS straší před Let's Encrypt, ale používá klamné argumenty

Roman Bořánek 28. 11. 2016

Český prodejce SSL certifikátů rozesílá e-maily, ve kterých varuje před používáním Let's Encrypt. Autoritě prý hrozí i odebrání důvěry. Realita je však o dost jiná, než prodejce líčí.

Prodejce SSL certifikátů SSLS začal majitelům domén používajících certifikáty od Let’s Encrypt rozesílat e-maily, ve kterých před použitím této bezplatné certifikační autority varuje. E-maily vzbudily pozdvižení, protože jsou plné nepřesných nebo dokonce nepravdivých informací. SSLS srovnává certifikáty Let’s Encrypt, Positive SSL a Comodo EV v tabulce, přičemž Let's Encrypt neuspěla ani v jedné kategorii.

V některých ohledech má SSLS pravdu. Let’s Encrypt pochopitelně jako bezplatná autorita nenabízí oficiální zákaznickou podporu nebo finanční záruku za škody, které by vznikly návštěvníkům webu kvůli pochybení certifikační autority. Např. pro e-shop tedy může být vhodné poohlédnout se po pokročilejších komerčních certifikátech. Zástupci Let’s Encrypt koneckonců mnohokrát prohlásili, že tato autorita neřeší všechny problémy a není vhodná pro všechny. Jde zkrátka o snadno dostupný základ.

Požádali jsme SSLS o vyjádření k celému případu a odpovědi na některé zásadní otázky. Na odpověď stále čekáme.

Podpora a prestiž značky

Zřejmě jedinou objektivní námitkou technického rázu je fakt, že Let’s Encrypt nepodporuje wildcard certifikáty, tedy certifikáty zahrnující všechny subdomény. U Let’s Encrypt je potřeba jednotlivé subdomény vyjmenovat. Na e-mail zareagoval také Michal Špaček, známý popularizátor HTTPS, který vyvrací další omyly. Podporu IDN (domény s diakritikou) autorita přidala cca před měsícem, ECC (podpisy s využitím eliptických křivek) je k dispozici už od letošního února. Zneplatnění (revokace) certifikátu je rovněž podporováno už velmi dlouho. Certifikáty Let’s Encrypt sice jsou vystavovány pouze na tři měsíce, ale prodlužování je snadné a lze snadno automatizovat.

U podpory prohlížečů a zařízení SSLS uvádí otazník. Pravdou je, že použití Let’s Encrypt nějakou dobu bylo omezeno hlavně absencí podpory v operačním systému Windows XP. To však bylo napraveno na jaře a od Windows XP se třetím service packem Let’s Encrypt funguje bez problémů. Let’s Encrypt stále nezvládají starší verze některých mobilních systémů nebo starší herní konzole. Podpora tedy není úplně dokonalá, ale nepředstavuje ani zásadní překážku. Nepodporované systémy a zařízení s velkou pravděpodobností tvoří méně než 1 % uživatelů.

SSLS dále říká, že Let’s Encrypt není prestižní značka a že nemá stabilní ekonomický model. Realita je taková, že většina uživatelů zřejmě konkrétní certifikační autority neřeší ani nezná. Řeší to spíš až odborná veřejnost, u které má Let’s Encrypt i přes své krátké působení celkem dobré jméno, protože je transparentní a nemá za sebou žádné skandály ani velké boty. Stabilní ekonomický model má zřejmě znamenat, že firma na certifikaci dlouhodobě vydělává. To sice není případ Let’s Encrypt, ale rozhodně nejde ani o nějaký nadšenecký spolek s mlhavou budoucností. Organizaci finančně i jinak podporují firmy jako Google, Mozilla, Cisco, Facebook, Akamai, OVH nebo Hewlett Packard Enterprise.

Zneužívání certifikátů

SSLS také poukazuje na to, že jsou certifikáty Let’s Encpryt zneužívány na stránkách, které šíří malware, pokouší se o phishing apod. To se však může stát i u jiných nízkonákladových autorit, které zkrátka jen ověřují, zda má žadatel přístup k dané doméně. Jak už bylo zmíněno, pro důležité služby jako banky, některé e-shopy a podobně je určitě vhodný pokročilejší certifikát s ověřením organizace. Ale pokud se postupně chceme dostat do bodu, kdy na HTTPS poběží většina stránek, tak není možné prověřovat jednotlivé provozovatele. A s ohledem na svobodu internetu to ani není žádoucí.

Zelené HTTPS samo o sobě zkrátka nedá záruku, že jste na správné adrese. Na tento fakt Let’s Encrypt upozorňuje a říká že nemůže být policajtem internetu. Let’s Encrypt to řeší alespoň tak, že před vydáním certifikátu kontroluje, zda stránka není v seznamu škodlivých stránek spravovaným Googlem, který však využívají i další strany. Např. Mozilla pro prohlížeč Firefox. Podle Let’s Encrypt jsou taková řešení pro ochranu uživatelů mnohem lepší, protože jsou podstatně flexibilnější než certifikační autority. Ani ty nejlepší certifikáty nezajistí, že se na stránce v průběhu platnosti certifikátu neobjeví něco škodlivého.

Zbytečné šíření strachu

Nemyslím si, že jsme náhradou ostatních certifikačních autorit, většina z nich nabízí mnohem rozmanitější skladbu služeb než my. Mnoho lidí takové služby oceňuje. Více než 93 % našich certifikátů jde na domény, které předtím žádný certifikát neměly, takže z většiny rozšiřujeme používání certifikátů mezi lidi, kteří je nevyužívali, napsal nedávno na Redditu Josh Aas, výkonný ředitel Let’s Encrypt.

SSLS mohla upozornit na to, že certifikáty Let’s Encrypt nejsou pro všechno a mají jistá omezení. Namísto toho firma v kampani Let’s Encrypt prakticky odepisuje a šíří strach, nejistotu, pochyby, v mnoha případech s použitím klamných argumentů. Korunu tomu nasazuje prohlášení, že podle zákulisních informací se začíná uvažovat o znedůvěryhodnění Let’s Encrypt, čemuž nic nenasvědčuje. Firefox namísto toho nedávno přidal samostatný kořenový certifikát Let's Encrypt. “Webové stránky se přestanou zobrazovat. Namísto toho prohlížeč zobrazí varování o nedůvěryhodném certifikátu,” straší SSLS.

Našli jste v článku chybu?

28. 11. 2016 12:23

jupik (neregistrovaný)

Od SSLS.cz bereme do firmy certifikáty. Jelikož nesnáším spammery, tímto u mne skončili a příště pořídím certifikáty jinde. Takhle ne, pánové...

28. 11. 2016 10:25

Já myslím, že stačí SSLS proprat na odborných webech. Něco mi říká, že to pro ně bude mnohem horší, než nějaká žaloba za cokoliv. Osobně jsem právě odeslal přes jejich "máte dotaz" na stránkách dotaz, proč dělají z lidí debily :) A doporučuji co nejvíce lidem udělat to samé, ať se podpora trochu zapotí :D

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor