Εισαγωγή – τι ακριβώς είναι το SSL και τα είδη του

Με λίγα λόγια, ένα πιστοποιητικό SSL δίνει την δυνατότητα κρυπτογραφημένης επικοινωνίας μεταξύ μίας ιστοσελίδας και του browser ενός επισκέπτη, δεν μπορεί δηλαδή κάποιος τρίτος ενδιάμεσος να υποκλέψει το περιεχόμενο (αριθμοί πιστωτικών καρτών, κωδικοί, κ.α.) των επικοινωνιών αυτών.

Τα πιστοποιητικά SSL χωρίζονται σε δύο μεγάλες «οικογένειες» :

  • DV SSL (98% των ιστοσελίδων)

Αποτελεί το πλέον διαδεδομένο είδος SSL, προσφέρει ισχυρή κρυπτογράφηση και διατίθεται δωρεάν και επί πληρωμή. Σε αυτό το είδος SSL και στην σύγκριση μεταξύ δωρεάν και επί πληρωμής εκδοχών του εστιάζουμε εντός του άρθρου.

  • OV/EV SSL

Πιστοποιητικά SSL για οργανισμούς και εταιρίες τα οποία εκδίδονται κατόπιν ελέγχου της ύπαρξης τους (εμπορικό επιμελητήριο και άλλες πηγές), αναγράφεται και η επωνυμία της εταιρίας στον browser του επισκέπτη. Συναντάται πολύ πιο σπάνια λόγο υψηλότερου κόστους.

7 Σοβαροί λόγοι να μην πληρώσεις ποτέ ούτε ένα ευρώ για απλό DV SSL

#1 Το δωρεάν DV SSL προσφέρει τον ακριβώς ίδιο βαθμό ασφαλείας με το πληρωμένο DV SSL

Όλα τα πιστοποιητικά DV SSL προσφέρουν τον ακριβώς ίδιο βαθμό προστασίας (256 bit), ανεξαρτήτως αν πρόκειται για δωρεάν DV SSL Let’s Encrypt ή κάποιο «premium» SSL το οποίο προσπαθούν να σου πλασάρουν έναντι συνδρομής.

Πηγή: https://wplift.com/free-ssl-certificate-lets-encrypt-safe

#2 Το δωρεάν SSL Let’s Encrypt έχει χορηγούς τις μεγαλύτερες εταιρίες IT του πλανήτη

Αν ζητήσεις δωρεάν SSL και κάποιος γυρίσει και σου πει «μα καλά, πως είναι δυνατόν να πιστεύεις πως το δωρεάν είναι ίδιο με το πληρωμένο;» πρίν σου ζητήσει χρήματα για «premium» SSL, καλό είναι να γνωρίζεις πως το #1 (σε αριθμό χρηστών) δωρεάν SSL, το Let’s Encrypt, έχει χορηγούς μερικές από τις μεγαλύτερες εταιρίες του πλανήτη όπως Google, Facebook και Cisco μεταξύ δεκάδων άλλων «λαμπρών» ονομάτων.

Την πλήρη λίστα των χορηγών μπορείς να την δεις στο https://letsencrypt.org/sponsors/

Ο παγκόσμιος ετήσιος τζίρος της «αγοράς» SSL σήμερα υπολογίζετε στα ~ 80 εκατομμύρια δολάρια, ποσό το οποίο είναι απλά μια στρογγυλοποίηση στα οικονομικά αποτελέσματα των εταιριών χορηγών του δωρεάν SSL οι οποίες επωφελούνται πολλαπλάσια από ένα ασφαλές, γρήγορο, προσβάσιμο internet απ’ ότι με την πώληση «premium» DV πιστοποιητικών SSL.

#3 Δεν χρειάζεσαι την υπηρεσία εγκατάστασης SSL

Πολλοί ιδιοκτήτες ιστοσελίδων χωρίς «γνώσεις» αντιμετωπίζουν διστακτικά την διαδικασία εγκατάστασης SSL. Η εγκατάσταση του δωρεάν SSL είναι εύκολη υπόθεση και αν αντιμετωπίσεις οποιαδήποτε δυσκολία είναι υποχρέωση του παρόχου hosting σου (σε shared hosting) να σε βοηθήσει.

Αν η τεχνική υποστήριξη του παρόχου σου είναι απρόθυμη να βοηθήσει, είναι καιρός να αλλάξεις πάροχο. Επέλεξε κάποιον που βάζει σε υψηλότερη προτεραιότητα την σωστή εξυπηρέτηση σου από το μικρό κέρδος που θα αποκομίσει πουλώντας σου κάποιο αχρείαστο «premium» DV SSL.

Στην FASTPATH για παράδειγμα, εγκαθιστούμε άμεσα και χωρίς καμία επιπλέον χρέωση δωρεάν πιστοποιητικά SSL σε οποιονδήποτε πελάτη το ζητήσει απλώς με το άνοιγμα ενός ticket.

#4 Η «ασφάλεια» χρηματικής εγγύησης που σου υπόσχονται είναι αέρας κοπανιστός  

Εδώ φτάνουμε σε ένα από τα χειρότερα (κατά την ταπεινή μας γνώμη) μαρκετίστικα χαρακτηριστικά των «premium» DV SSL.

Οι διάφορες αρχές πιστοποίησης των πληρωμένων SSL (ονόματα δεν λέμε, υπολήψεις δεν θίγουμε, ξέρεις ποιες λέμε) υπόσχονται χρηματική εγγύηση σε περίπτωση που δεδομένα κρυπτογραφημένα με το πιστοποιητικό SSL αποκρυπτογραφηθούν από κάποιον τρίτο.

Η συγκεκριμένη «ασφάλιση» (θεός να την κάνει) δεν έχει κανένα πραγματικό αντίκρισμα καθώς στην απίθανη περίπτωση που θα συμβεί κάτι τέτοιο, το βάρος της απόδειξης πέφτει πάνω σου, θα πρέπει δηλαδή εσύ με δικούς σου πόρους να αποδείξεις (καλή τύχη!) πως «έσπασε» η κρυπτογράφηση με υπαιτιότητα του πιστοποιητικού!

Πηγή: https://scotthelme.co.uk/do-ssl-warranties-protect-you-as-much-as-rocks-keep-tigers-away/

#5 Μικρή χρονική διάρκεια των δωρεάν DV SSL

Ένα ακόμη σημείο στο οποίο πατάνε οι «πλασιέ» των επί πληρωμή SSL είναι η μικρότερη χρονική διάρκεια των δωρεάν πιστοποιητικών SSL. Όντως το Let’s Encrypt εκδίδετε για 3 μήνες, αυτό που «ξεχνάνε» όμως να σου αναφέρουν είναι πως ανανεώνετε αυτόματα στους περισσότερους παρόχους hosting πριν την λήξη του χωρίς να χρειάζεται κάνεις την παραμικρή κίνηση!

Είναι δηλαδή ακόμη πιο βολικά από τα πληρωμένα DV SSL όπου εκεί να πρέπει να μπεις και στον «κόπο» της διαδικασίας πληρωμής!

Πηγή: https://support.plesk.com/hc/en-us/articles/115002234573-How-is-a-Let-s-Encrypt-certificate-renewed-

#6 Το εικονίδιο ασφαλείας στον browser του επισκέπτη είναι ακριβώς το ίδιο στα δωρεάν DV SSL.

Σε πολλές διαφημίσεις για SSL θα προσέξεις πως εστιάζουν στο «εικονίδιο ασφαλείας» που θα εμφανίζετε στον browser του επισκέπτη το οποίο προσδίδει ένα αυξημένο «αίσθημα» ασφάλειας.

Αυτό που ξεχνάνε να αναφέρουν είναι πως το ακριβώς ίδιο εικονίδιο εμφανίζετε στα δωρεάν DV SSL ακριβώς όπως στα «premium» επί πληρωμή DV SSL, ο χρήστης δεν βλέπει καμία διαφορά όπως μπορείς να δείς στο παρακάτω screenshot απο ιστοσελίδα με δωρεάν DV SSL:

Μπάρα ασφαλείας SSL σε browsers

Η μόνη διαφορά είναι στο πορτοφόλι σου!

#7 Το πληρωμένο SSL δεν προσφέρει κανένα πλεονέκτημα SEO έναντι του δωρεάν

Ένας ακόμη αβάσιμος ισχυρισμός των πλασιέ «premium» πιστοποιητικών DV SSL είναι ή βελτίωση της θέσης της ιστοσελίδας σου στα αποτελέσματα.

Η βελτίωση είναι πραγματική, άλλωστε το έχει δηλώσει η ίδια η Google. Αυτό όμως που σίγουρα δεν έχει δηλώσει η Google είναι πως πρέπει να πληρώνεις 19,99€ τον χρόνο «συνδρομή» για να το πετύχεις αυτό.

Το μόνο που ενδιαφέρει την Google είναι η ύπαρξη του SSL, όχι ο τύπος του.

Πηγή: https://www.nethit.xyz/2017/04/08/free-ssl-certificates-lets-encrypt-good-seo/

Πως λειτουργεί η αγορά πληρωμένων SSL και γιατί όλοι προσπαθούν να σου πουλήσουν «premium» DV SSL

Τα πιστοποιητικά SSL είναι ο ευκολότερος τρόπος πάροχοι hosting και domain names να επεκταθούν σε μια παρεμφερή δραστηριότητα η οποία «φέρνει» τζίρο χωρίς τον κόπο και την υποστήριξη που απαιτούν άλλες υπηρεσίες (π.χ. hosting).

Οι εταιρίες που διαφημίζουν πιστοποιητικά SSL επι πληρωμή στην Ελληνική αγορά είναι απλώς μεταπωλητές (resellers) της Thawte, Comodo/Sectigo, Geotrust και άλλων εταιριών που είναι οι αρχές έκδοσης των εν λόγω πιστοποιητικών SSL.

Οποιοδήποτε θέλει, μπορεί ξεκινήσει άμεσα την μεταπώληση πιστοποιητικών SSL μέσω της πληθώρας προγραμμάτων μεταπώλησης που διατίθενται σήμερα, μία απλή αναζήτηση στο Google με την φράση «SSL Reseller» θα φέρει πληθώρα αποτελεσμάτων που υπόσχονται εύκολα, γρήγορα κέρδη από την μεταπώληση πιστοποιητικών SSL.

Μεταπώληση SSL

Για τους περισσότερους παρόχους hosting / domain names, η συμμετοχή σε τέτοια προγράμματα μεταπωλητών είναι no-brainer καθώς μπορούν να χρησιμοποιήσουν την υφιστάμενη «βάση» πελατών τους για να κάνουν αυτό που λέμε στο marketing «cross selling», την πώληση δηλαδή παρεμφερών υπηρεσιών, όπως όταν π.χ. η εταιρία που ασφαλίζεις το αυτοκίνητο σου προσπαθεί να σου πουλήσει και ασφάλεια υγείας.

Ποιες ιστοσελίδες χρειάζονται στα αλήθεια πληρωμένο SSL τύπου OV/EV

Αφού πλέον έχουμε καταρρίψει την επιχειρηματολογία όσων προσπαθούν να σε πείσουν πως πρέπει να πληρώνεις ετήσια συνδρομή για DV SSL, πάμε να εξετάσουμε εκείνη την μειοψηφία των περιπτώσεων όπου όντως υφίσταται η ανάγκη για επί πληρωμή, premium SSL τύπου OV/EV.

Τα πιστοποιητικά τύπου OV και EV εκτός από το domain validation των δωρεάν ή entry level επί πληρωμή πιστοποιητικών προσφέρουν και «πιστοποίηση» της ύπαρξης του οργανισμού ή της εταιρίας.

Δηλαδή η αρχή έκδοσης (π.χ Thawte, Sectigo, κ.α.) θα πραγματοποιήσει ελέγχους στο επαγγελματικό επιμελητήριο, μεταξύ άλλων, για να διαπιστώσει αν ο οργανισμός/εταιρία όντως υφίσταται.

Επιπροσθέτως, στην περίπτωση των EV SSL η επωνυμία του οργανισμού ή της εταιρίας στην οποία ανήκει η ιστοσελίδα εμφανίζετε στον browser του επισκέπτη, όπως παρακάτω:

OV SSL μπάρα ασφαλείας σε browsers

Ποιες ιστοσελίδες χρειάζονται τον συγκεκριμένο τύπο πιστοποιητικού SSL;

  • Τράπεζες και οικονομικοί οργανισμοί
  • Υπηρεσίες online πληρωμών που δέχονται δεδομένα πιστωτικών καρτών στην ιστοσελίδα τους
  • Οποιαδήποτε ιστοσελίδα ανήκει στην ομάδα υψηλού κινδύνου να δεχθούν οι πελάτες της επίθεση τύπου phishing και πρέπει οι επισκέπτες της να είναι σίγουροι πως βρίσκονται στην επίσημη, έγκυρη ιστοσελίδα της οργάνωσης/εταιρίας.
  • Οποιοσδήποτε έχει την οικονομική δυνατότητα και θέλει την «Premium» αίσθηση του να αναγράφετε η επωνυμία του στο address bar του επισκέπτη

Συνοψίζοντας

Με μία απλή αναζήτηση στο διαδίκτυο θα βρεις χιλιάδες άρθρα που θα προσπαθήσουν να σε πείσουν πως αξίζει να βάλεις το χέρι στην τσέπη (συνήθως γραμμένα από μεταπωλητές) για κάποιο πιστοποιητικό DV ή OV/EV SSL.

Αγόρασε OV/EV SSL αν ανήκεις σε εκείνες τις ειδικές κατηγορίες που το έχουν ανάγκη, διαφορετικά, επέλεξε δωρεάν DV SSL της Let’s Encrypt και «επένδυσε» τα χρήματα σου σε κάτι που όντως θα πιάσει τόπο.