Henger meg på med en liten (ok, ikke så liten) attpåkommentar her. En stor forskjell på billige og dyre sertifikater er i hvilken grad det er gjort en validering av den eierinformasjonen som er oppgitt når det ble utstedt. De billigste sertifikatene er ofte bare validert ved at du må bevise at du har en e-postadresse i domenet du skal beskytte. Dyrere sertifikater krever at du disponerer e-postadressen som er tilknyttet domeneinformasjonen i whois og i tillegg sender inn kopi av legitimasjon og/eller firmaattest.
Sertifikater med høy valideringsgrad krever dermed også noe manuelt arbeid fra utsteder, noe som er med på å drive prisen opp. Graden av validering går også fram av den sertifikatinformasjonen som er synlig for de som surfer på siden din. På et typisk billig-sertifikat fra positiveSSL vil det fremstå slik:
Website: ettdomenenavn.no
Owner: This web site does not supply ownership information.
Verified by: Not specified
Organisation: Not part of certificate
Organisational Unit: Domain Control Validated
På et dyrere sertifikat kan det se slik ut:
Website: ettannetdomenenavn.no
Owner: Mitt Firma AS
Verified by: Comodo CA Limited
Organisation:Mitt Firma AS
Organisational Unit: Mitt avdelingskontor AS
Disse EV SSL-sertifikatene du ser rundt forbi, som gjerne koster en del mer enn de billigere utgavene, kan ha samme spesifikasjoner som billigere sertifikater, men de er sikrere i den forstand at utstederen har gjort en del ekstraarbeid for å forsikre seg om at den som kjøper sertifikatet er den han utgir seg for. EV står da også for "Extended Validation".
I nettleseren kan du (i allefall i Firefox) se umiddelbart om nettstedet har et "vanlig" sertifikat (domene-/e-postvalidert) eller et EV-sertifikat. På nettsteder med EV-sertifikat kommer navnet på eieren opp på grønn bakgrunn til venstre for adressefeltet, mens nettsteder med domenevalidert sertifikat kommer opp med domenenavnet på blå bakgrunn.
Eksempel på nettsted med EV-sertifikat:
www.dnbnor.no
Eksempel på nettsted med domenevalidert sertifikat:
https://secure.direkte24.no/
Disse to nettstedene har samme kryptering. Hovedforskjellen er altså i hvilken grad man har forsikret seg om at sertifikatets eier er den han utgir seg for å være.
Det er flere webhotell som tilbyr gratis bruk av SSL, som noen er inne på over her. Disse har som regel samme kryptering som om du hadde kjøpt et sertifikat selv. Forskjellen er at eier av domenenavnet som regel vil være webhotellet, ikke deg. Sertifikatet deler du som regel med andre på samme server. Hvis det er krypteringen og ikke eierskapsvalideringen som er viktig for deg, er det ingen grunn til å kjøpe eget sertifikat. Jeg bruker selv en slik løsning hos mitt webhotell. En klar fordel er at jeg kan "aktivere" SSL på mitt område uten å involvere webhotellet.
Egen-signerte sertifikater kan imidlertid ikke anbefales, og det er på sider som bruker disse du får opp en masse advarsler før du kommer inn på siden. Og også her er det nettopp valideringen som mangler. Eksempel på advarsel på nettside med fullgod kryptering, men med egen-signert sertifikat (som derfor ikke er validert av en pålitelig utsteder):
Normally, when you try to connect securely,
sites will present trusted identification to prove that you are
going to the right place. However, this site's identity can't be verified.
Beklager den lange posten, men SSL er like omfattende som det er interessant.
