Răspunsul scurt este nu.
Fie știi cu cine ai de-a face și știi dacă e deja de încredere, așa că vrei doar să comunici printr-o linie sigură, fie nu-i cunoști și chiar nu ai cum să spui dacă nu ar oricum incearca sa te furi. Ar putea, totuși, să obțină o linie sigură.
Certificatele în general ar trebui să îndeplinească o funcție principală; că persoana care deține acest certificat este cine spune că este, astfel încât să puteți stabili o conexiune sigură cu acea persoană.
Plătiți pentru furnizorii și autoritățile de certificare, în general, sunt intermediari, deseori este în interesul lor să implice (și să comercializeze ca atare) că persoana care deține acel certificat este, de asemenea, o entitate de încredere (nu te va înșela practic), pentru a convinge un cumpărătorului că cumpără încredere.
Nu este neobișnuit pentru aceste ape între este cine spun ei că sunt și este de încredere să fie foarte tulbure de CA.
Certificatele gratuite sunt ceea ce sunt cunoscute din punct de vedere tehnic ca certificate „validate pe domeniu”.
Adică, emitentul certificatului (în multe cazuri Lets Encrypt) garantează doar că proprietarul numelui de domeniu DNS este aceeași persoană care deține site-ul web. Nu face pretenții cu privire la credibilitatea site-ului web, a proprietarului acestuia sau a organizației cu care lucrează.
Există și alte tipuri de certificate.
- Organizație validată (OV)*
- Validat extins (EV)*
Organizația validată are aceleași tichete ca și un certificat validat de domeniu, împreună cu dovada că organizația care ia fost eliberat certificatul există legal (poate că există într-un registru de companii undeva și un avocat terț garantează existența acestuia).
Certificatele validate extinse, pe lângă efectuarea oricărei validări DV și OV, necesită și o dovadă suplimentară a persoanei care dorește că certificatul există în mod legal, cum ar fi un pașaport sau certificat de naștere.
Problema aici este că majoritatea oamenilor nu se bazează pe CA pentru a defini încrederea între două entități, doar că entitatea este persoana (de încredere sau nu) care spun că este.
Adăugați la acestea, au existat o serie de incidente în trecut cu privire la păcălirea autorităților de certificare pentru a emite (sau incompetenți) certificate de validare extinse persoanelor care nu sunt cine spun că sunt.
În plus, nu a fost testat cu adevărat din punct de vedere juridic dacă o autoritate de certificare poate fi făcută răspunzătoare pentru prejudiciul cauzat de frauda de identitate din cauza unui certificat emis greșit.
După părerea mea, lumea certificatelor SSL a fost un butoi uriaș de ulei de șarpe de mulți ani și Lets Encrypt a corectat în mod perturbator (și pe bună dreptate) ceea ce erau intermediari lacomi care dețineau conexiuni sigure între părți pentru răscumpărare.
Certificatele EV nu au adus niciun beneficiu publicului -- habar nu ai ce înseamnă sau reprezintă și nici nu ai vreo modalitate de a-ți primi banii înapoi de la o CA dacă acea entitate te-a escrocat. Multe browsere sunt în proces (sau au eliminat complet) caracteristica „bară verde” care era proeminentă cu certificatele EV care trebuiau să ofere un fel de valoare provizorie.
Pentru client, păreau să vă ofere puterea de a „cumpăra” încredere. Ceva ce simt că dacă ai fi de bună reputație nu ai face oricum din punct de vedere etic.
Certificatele OV se încadrează în aceeași categorie -- este foarte simplu să înregistrezi o afacere și să obții una, dar asta nu spune nimic despre încrederea ta ca afacere.
Deci, nu - eu personal nu văd niciun motiv bun pentru a cumpăra un certificat SSL. Aș fi interesat să aud contraargumente de ce mă înșel foarte tare.
- Rețineți că fiecare autoritate de certificare are scheme și politici ușor diferite cu privire la cerințele lor și ce acceptă ca dovadă validă a identității. Aceasta înseamnă că nu este atât de simplist pe cât vreau să spun și, în teorie, poate fi destul de diferit între un furnizor și altul.
