Hlavní navigace

SSLS straší před Let's Encrypt, ale používá klamné argumenty

28. 11. 2016
Doba čtení: 4 minuty

Sdílet

Český prodejce SSL certifikátů rozesílá e-maily, ve kterých varuje před používáním Let's Encrypt. Autoritě prý hrozí i odebrání důvěry. Realita je však o dost jiná, než prodejce líčí.

Prodejce SSL certifikátů SSLS začal majitelům domén používajících certifikáty od Let’s Encrypt rozesílat e-maily, ve kterých před použitím této bezplatné certifikační autority varuje. E-maily vzbudily pozdvižení, protože jsou plné nepřesných nebo dokonce nepravdivých informací. SSLS srovnává certifikáty Let’s Encrypt, Positive SSL a Comodo EV v tabulce, přičemž Let's Encrypt neuspěla ani v jedné kategorii.

V některých ohledech má SSLS pravdu. Let’s Encrypt pochopitelně jako bezplatná autorita nenabízí oficiální zákaznickou podporu nebo finanční záruku za škody, které by vznikly návštěvníkům webu kvůli pochybení certifikační autority. Např. pro e-shop tedy může být vhodné poohlédnout se po pokročilejších komerčních certifikátech. Zástupci Let’s Encrypt koneckonců mnohokrát prohlásili, že tato autorita neřeší všechny problémy a není vhodná pro všechny. Jde zkrátka o snadno dostupný základ.

Požádali jsme SSLS o vyjádření k celému případu a odpovědi na některé zásadní otázky. Na odpověď stále čekáme.

Podpora a prestiž značky

Zřejmě jedinou objektivní námitkou technického rázu je fakt, že Let’s Encrypt nepodporuje wildcard certifikáty, tedy certifikáty zahrnující všechny subdomény. U Let’s Encrypt je potřeba jednotlivé subdomény vyjmenovat. Na e-mail zareagoval také Michal Špaček, známý popularizátor HTTPS, který vyvrací další omyly. Podporu IDN (domény s diakritikou) autorita přidala cca před měsícem, ECC (podpisy s využitím eliptických křivek) je k dispozici už od letošního února. Zneplatnění (revokace) certifikátu je rovněž podporováno už velmi dlouho. Certifikáty Let’s Encrypt sice jsou vystavovány pouze na tři měsíce, ale prodlužování je snadné a lze snadno automatizovat.

U podpory prohlížečů a zařízení SSLS uvádí otazník. Pravdou je, že použití Let’s Encrypt nějakou dobu bylo omezeno hlavně absencí podpory v operačním systému Windows XP. To však bylo napraveno na jaře a od Windows XP se třetím service packem Let’s Encrypt funguje bez problémů. Let’s Encrypt stále nezvládají starší verze některých mobilních systémů nebo starší herní konzole. Podpora tedy není úplně dokonalá, ale nepředstavuje ani zásadní překážku. Nepodporované systémy a zařízení s velkou pravděpodobností tvoří méně než 1 % uživatelů.

SSLS dále říká, že Let’s Encrypt není prestižní značka a že nemá stabilní ekonomický model. Realita je taková, že většina uživatelů zřejmě konkrétní certifikační autority neřeší ani nezná. Řeší to spíš až odborná veřejnost, u které má Let’s Encrypt i přes své krátké působení celkem dobré jméno, protože je transparentní a nemá za sebou žádné skandály ani velké boty. Stabilní ekonomický model má zřejmě znamenat, že firma na certifikaci dlouhodobě vydělává. To sice není případ Let’s Encrypt, ale rozhodně nejde ani o nějaký nadšenecký spolek s mlhavou budoucností. Organizaci finančně i jinak podporují firmy jako Google, Mozilla, Cisco, Facebook, Akamai, OVH nebo Hewlett Packard Enterprise.

Zneužívání certifikátů

SSLS také poukazuje na to, že jsou certifikáty Let’s Encpryt zneužívány na stránkách, které šíří malware, pokouší se o phishing apod. To se však může stát i u jiných nízkonákladových autorit, které zkrátka jen ověřují, zda má žadatel přístup k dané doméně. Jak už bylo zmíněno, pro důležité služby jako banky, některé e-shopy a podobně je určitě vhodný pokročilejší certifikát s ověřením organizace. Ale pokud se postupně chceme dostat do bodu, kdy na HTTPS poběží většina stránek, tak není možné prověřovat jednotlivé provozovatele. A s ohledem na svobodu internetu to ani není žádoucí.

Zelené HTTPS samo o sobě zkrátka nedá záruku, že jste na správné adrese. Na tento fakt Let’s Encrypt upozorňuje a říká že nemůže být policajtem internetu. Let’s Encrypt to řeší alespoň tak, že před vydáním certifikátu kontroluje, zda stránka není v seznamu škodlivých stránek spravovaným Googlem, který však využívají i další strany. Např. Mozilla pro prohlížeč Firefox. Podle Let’s Encrypt jsou taková řešení pro ochranu uživatelů mnohem lepší, protože jsou podstatně flexibilnější než certifikační autority. Ani ty nejlepší certifikáty nezajistí, že se na stránce v průběhu platnosti certifikátu neobjeví něco škodlivého.

UX DAy - tip 2

Zbytečné šíření strachu

Nemyslím si, že jsme náhradou ostatních certifikačních autorit, většina z nich nabízí mnohem rozmanitější skladbu služeb než my. Mnoho lidí takové služby oceňuje. Více než 93 % našich certifikátů jde na domény, které předtím žádný certifikát neměly, takže z většiny rozšiřujeme používání certifikátů mezi lidi, kteří je nevyužívali, napsal nedávno na Redditu Josh Aas, výkonný ředitel Let’s Encrypt.

SSLS mohla upozornit na to, že certifikáty Let’s Encrypt nejsou pro všechno a mají jistá omezení. Namísto toho firma v kampani Let’s Encrypt prakticky odepisuje a šíří strach, nejistotu, pochyby, v mnoha případech s použitím klamných argumentů. Korunu tomu nasazuje prohlášení, že podle zákulisních informací se začíná uvažovat o znedůvěryhodnění Let’s Encrypt, čemuž nic nenasvědčuje. Firefox namísto toho nedávno přidal samostatný kořenový certifikát Let's Encrypt. “Webové stránky se přestanou zobrazovat. Namísto toho prohlížeč zobrazí varování o nedůvěryhodném certifikátu,” straší SSLS.

Byl pro vás článek přínosný?

Autor článku

Bývalý redaktor serveru Root.cz, dnes produktový manažer a konzultant se zaměřením na Bitcoin a kryptoměny.