ความสำคัญของการชำระค่าใบรับรอง SSL

จำเป็นต้องจ่ายค่า ssl Certificate ขณะตั้งค่าเว็บไซต์หรือไม่? มีข้อดีข้อเสียอย่างไร? ขอขอบคุณ.

คำตอบสั้น ๆ คือไม่

ไม่ว่าคุณจะรู้ว่าคุณกำลังติดต่อกับใคร และรู้ว่าพวกเขาเชื่อถือได้หรือไม่ ดังนั้นคุณจึงต้องการสื่อสารผ่านสายที่ปลอดภัย หรือคุณไม่รู้จักพวกเขาและคุณไม่มีทางบอกได้จริงๆ ว่าพวกเขาจะไม่รู้จัก พยายามที่จะฉ้อคุณต่อไป อาจได้รับสายที่ปลอดภัยเช่นกัน

ใบรับรองโดยทั่วไปควรจะทำหน้าที่หลักอย่างใดอย่างหนึ่ง บุคคลที่เป็นเจ้าของใบรับรองนี้คือใครที่พวกเขาบอกว่าเป็น เพื่อให้คุณสามารถสร้างการเชื่อมต่อที่ปลอดภัยกับบุคคลนั้นได้

ผู้ให้บริการและผู้ออกใบรับรองโดยทั่วไปมีประสิทธิภาพคือพ่อค้าคนกลาง ซึ่งมักจะอยู่ในความสนใจของพวกเขาที่จะบอกเป็นนัย (และทำการตลาดเช่นนี้) ว่าบุคคลที่เป็นเจ้าของใบรับรองนั้นเป็นนิติบุคคลที่น่าเชื่อถือ (โดยทั่วไปจะไม่ฉ้อโกงคุณ) เพื่อโน้มน้าวให้ ผู้ซื้อที่พวกเขากำลังซื้อความไว้วางใจ ไม่ใช่เรื่องแปลกสำหรับน่านน้ำระหว่างนี้ คือสิ่งที่พวกเขากล่าวว่าพวกเขาเป็น และ เป็นที่ไว้วางใจได้ ที่จะยุ่งมากโดย CAs

ใบรับรองฟรีคือสิ่งที่เรียกกันในทางเทคนิคว่าใบรับรอง "การตรวจสอบความถูกต้องของโดเมน"

นั่นคือ ผู้ออกใบรับรอง (ในหลายกรณี ให้เข้ารหัส) รับรองว่าเจ้าของชื่อโดเมน DNS เป็นคนเดียวกับที่เป็นเจ้าของเว็บไซต์ ไม่มีการอ้างสิทธิ์เกี่ยวกับความน่าเชื่อถือของเว็บไซต์ เจ้าของหรือองค์กรที่ทำงานด้วย

มีใบรับรองประเภทอื่นอยู่

• การตรวจสอบองค์กร (OV)*
• ตรวจสอบเพิ่มเติม (EV)*

องค์กรที่ตรวจสอบความถูกต้องมีใบรับรองแบบเดียวกับใบรับรองที่ตรวจสอบความถูกต้องของโดเมน พร้อมด้วยหลักฐานว่าองค์กรที่ออกใบรับรองนั้นมีอยู่จริง (อาจมีอยู่ในบริษัทบางแห่งที่จดทะเบียนที่ไหนสักแห่ง และนักกฎหมายบุคคลที่สามบางคนรับรองว่ามีอยู่จริง)

ใบรับรองที่ผ่านการตรวจสอบเพิ่มเติมนอกเหนือจากการตรวจสอบความถูกต้องของ DV และ OV ยังต้องการหลักฐานเพิ่มเติมบางอย่างของบุคคลที่ต้องการใบรับรองนั้นถูกต้องตามกฎหมาย เช่น หนังสือเดินทางหรือสูติบัตร

ปัญหาที่นี่คือคนส่วนใหญ่ไม่พึ่งพา CA เพื่อกำหนดความไว้วางใจระหว่างหน่วยงานสองแห่ง แต่เพียงว่าหน่วยงานนั้นเป็นบุคคลที่ (น่าเชื่อถือหรือไม่) ที่พวกเขาบอกว่าเป็น

นอกเหนือจากนี้ ในอดีตมีเหตุการณ์หลายอย่างเกี่ยวกับผู้ออกใบรับรองที่ถูกหลอก (หรือไร้ความสามารถ) ออกใบรับรองการตรวจสอบแบบขยายให้กับผู้ที่ไม่ใช่คนที่พวกเขาบอกว่าเป็น

นอกจากนี้ยังไม่ได้รับการทดสอบจริง ๆ จากมุมมองทางกฎหมายว่าผู้ออกใบรับรองสามารถรับผิดชอบต่ออันตรายที่เกิดจากการฉ้อฉลข้อมูลประจำตัวเนื่องจากใบรับรองที่ออกผิดหรือไม่

ในความคิดของฉัน โลกของใบรับรอง SSL เป็นถังน้ำมันงูขนาดใหญ่มาหลายปีแล้วและ Lets Encrypt ได้แก้ไขอย่างยุ่งเหยิง (และถูกต้อง) สิ่งที่พ่อค้าคนกลางโลภมากมีการเชื่อมต่อที่ปลอดภัยระหว่างฝ่ายต่าง ๆ เพื่อเรียกค่าไถ่

ใบรับรอง EV ไม่มีประโยชน์ต่อสาธารณชน -- คุณไม่รู้ว่ามันหมายถึงอะไรหรือหมายถึงอะไร และคุณไม่มีทางได้รับเงินคืนจาก CA หากหน่วยงานนั้นหลอกลวงคุณ เบราว์เซอร์จำนวนมากกำลังดำเนินการ (หรือลบออกทั้งหมด) คุณลักษณะ 'แถบสีเขียว' ซึ่งเคยโดดเด่นในใบรับรอง EV ซึ่งควรจะให้ค่าเบื้องต้นบางประเภท

สำหรับลูกค้า พวกเขาดูเหมือนจะให้อำนาจในการ 'ซื้อ' ความไว้วางใจแก่คุณ สิ่งที่ฉันรู้สึกว่าถ้าคุณมีชื่อเสียงดีคุณจะไม่ทำอย่างนั้น

ใบรับรอง OV อยู่ในวงเล็บเดียวกัน -- เป็นเรื่องง่ายเล็กน้อยในการจดทะเบียนธุรกิจและรับใบรับรอง แต่นั่นไม่ได้บอกถึงความน่าเชื่อถือของคุณในฐานะธุรกิจ

ดังนั้น ไม่ - โดยส่วนตัวแล้วฉันไม่เห็นเหตุผลที่ดีในการซื้อใบรับรอง SSL ฉันสนใจที่จะฟังข้อโต้แย้งว่าทำไมฉันถึงผิดมาก

• โปรดทราบว่าผู้ออกใบรับรองแต่ละรายมีรูปแบบและนโยบายที่แตกต่างกันเล็กน้อยเกี่ยวกับข้อกำหนดและสิ่งที่พวกเขายอมรับเป็นหลักฐานยืนยันตัวตนที่ถูกต้อง ซึ่งหมายความว่าไม่ง่ายอย่างที่ฉันหมายความ และในทางทฤษฎีอาจแตกต่างกันมากระหว่างผู้ให้บริการรายหนึ่งกับรายถัดไป

จำเป็นต้องจ่ายค่า ssl Certificate ขณะตั้งค่าเว็บไซต์จริงหรือ?

มีผู้ให้บริการใบรับรอง SSL ฟรี เช่น Let's Encrypt

ดังนั้น คุณไม่จำเป็นต้องจ่ายค่าใบรับรองเอง

แต่เมื่อมีผู้อื่นตั้งค่าเว็บไซต์ของคุณ แน่นอนว่าผู้ให้บริการรายนั้นอาจเรียกเก็บเงินจากคุณเพิ่มเติมเมื่อพวกเขาพิจารณาตั้งค่าใบรับรอง SSL สำหรับลูกค้าเป็นบริการระดับพรีเมียม แทนที่จะเป็นมาตรฐาน

ด้วยเหตุผลหลายประการ คุณหรือผู้ให้บริการอาจต้องการใบรับรอง SSL แบบชำระเงินมากกว่าใบรับรองฟรี

มีข้อดีข้อเสียอย่างไร?

แม้ว่าคำถาม & คำตอบนี้จะเก่ากว่าเล็กน้อย แต่ IMHO ไม่ล้าสมัยและจะให้ข้อควรพิจารณาที่เป็นประโยชน์แก่คุณ: มีเหตุผลในการใช้ใบรับรอง SSL นอกเหนือจาก SSL ฟรีของ Let's Encrypt หรือไม่