Що таке Let’s Encrypt і чому це – не найкращий вибір для бізнесу?

Let’s Encrypt (LE) є некомерційним центром сертифікації (CA), який випускає безкоштовні 90-денні SSL сертифікати з валідація домену. Це феноменальний сервіс для невеликих веб-сайтів і сайтів-блогів, де не проводиться жодних фінансових операцій і єдина мета власника – додати базовий варіант шифрування. Але в той час, як Let’s Encrypt – це хороший сервіс з благородними намірами, з іншого боку – це поганий вибір для компаній і організацій, які займаються бізнесом в інтернеті.

Переваги традиційного центру сертифікації (CA) над Let’s Encrypt:

Комерційний CA

  • Надає SSL сертифікати за типом перевірки організація (OV), а також SSL сертифікати розширеної перевірки (EV)
  • Інвестує в інфраструктуру безпеки, щоб допомогти запобігти видачу сертифікатів кіберзлочинцям
  • Сертифікати доступні на період 1-2 роки
  • Обслуговування клієнтів доступно на декількох мовах 24/7/365
  • У разі уразливості центр сертифікації може скасувати постраждалі сертифікати

Let’s Encrypt

  • Надає SSL сертифікати тільки за типом перевірки домену (DV), які забезпечують мінімальну аутентифікацію
  • Мінімальні гарантії, видача сертифікатів без перевірки достовірності електронної пошти
  • Всі сертифікати мають 90-денний термін видачі
  • Підтримка на рівні спільноти – клієнти самостійно діагностують і усувають проблеми
  • У разі уразливості Let’s Encrypt не має механізму для масового скасування

Компаніям потрібно більше високих гарантії

  • Фішинг-атаки зростають
  • Люди вивчають DV ≠ безпека
  • OV / EV сертифікати забезпечують більшу впевненість у захисті даних
  • Довірений центр сертифікації перевіряє справжність вашої компанії
  • У сертифікаті відображається підтверджена інформація
  • Печатка сайту підвищує довіру і конверсії

Довіра – це ключ

  • Довіра має життєво важливе значення для електронної комерції
  • Клієнти повинні знати, що це дійсно Ви
  • Бізнес аутентифікація забезпечує перевірене підтвердження особи
  • Більш висока впевненість = більш високий прибуток

Let’s Encrypt – не вирішення бізнес-класу

Відсутність механізмів безпеки

Відсутня відповідь в шкалі вразливостей

Let’s Encrypt сертифікати видаються для відомих фішингових і шкідливих доменів. Не предоставляють користувачам повідомлення про небезпечні сайти, стикаються з кількома відомими помилками і, можливо, найбільш кричуще, не мають можливості реагувати в масштабі на такі уразливості, як Heartbleed.

Let’s Encrypt SSL сертифікати надаються кому завгодно

Включаючи хакерів і кіберзлочинців

Кіберзлочинці використовують Let’s Encrypt для забезпечення безпеки своїх зловмисних сайтів. Центр сертифікації також знає про це. Як сказав виконавчий директор Let’s Encrypt Джош Аас в інтерв’ю Wired: «Люди запитують, чи використовують погані хлопці Let’s Encrypt. Відповідь в основному «так».

Сертифікати тільки для одного домену

Чи не підтримується захист піддоменів і декількох доменів

Let’s Encrypt надає тільки сертифікати з одним доменом, з щотижневими лімітами випуску. Для підприємства або організації з декількома доменами і піддоменів, відсутність підтримки захисту піддоменів і декількох доменів робить шифрування суттєво складнішим.

Відсутня бізнес-аутентифікація

Перевірки домену недостатньо

Зараз, як ніколи, інтернет-користувачі вимагають впевненості в автентичності сайтів, з якими вони ведуть бізнес. Тільки бізнес-аутентифікація забезпечує такий рівень гарантії для потенційних клієнтів. На жаль, Let’s Encrypt не пропонує цього.

Відсутня бізнес-аутентифікація

Ми сподіваємося, що у вас є IT-навички:

Let’s Encrypt досить складно встановити і налаштувати вручну, і він не пропонує можливості підтримки корпоративного рівня. Фактично, через його некомерційного статусу і жорстких бюджетів, підтримка Let’s Encrypt повністю колективна.

Let’s Encrypt: не призначений для бізнесу

Хоча Let’s Encrypt і є життєздатним варіантом для невеликих веб-сайтів і блогів, які не можуть дозволити собі інвестувати в безпеку – це поганий вибір для бізнес-компаній або потужних організацій.

Відсутність бізнес-аутентифікації і сильних механізмів безпеки, а також відсутність клієнтської підтримки – основні проблеми, які слід враховувати при виборі між Let’s Encrypt і традиційним центром сертифікації.