Do sự gia tăng của việc sử dụng mã hóa trên Web, mọi người đã bắt đầu liên kết nó với sự tin tưởng. Tất nhiên, điều này đã tạo ra một hiệu ứng quả cầu tuyết trong đó nhiều trang web cảm thấy có động lực để áp dụng mã hóa SSL / TLS kẻo bị tụt lại phía sau. Đặc biệt, các trang web thương mại điện tử là một trong những trang web đầu tiên cảm thấy áp lực đó khi khách hàng cảnh giác với việc thực hiện các giao dịch trực tuyến mà không có mã hóa.
Khi nói đến các trang web thuộc sở hữu của các thực thể, mã hóa trở thành một thứ không chỉ là một số thuật toán được sử dụng để bảo mật các quy trình trực tuyến. Đó là một vấn đề phức tạp hơn, với các cơ quan cấp chứng chỉ (CA) và các cấp độ ủy quyền khác nhau. Giờ đây, với sự xuất hiện của các CA miễn phí như Let’s Encrypt, mọi người đang tự hỏi bản thân tại sao các lựa chọn thay thế thương mại thậm chí còn tồn tại. Chúng có "tốt hơn không?" Hay còn nhiều câu chuyện nữa?
Hiểu CA và tầm quan trọng của chúng
Để sử dụng HTTPS và trang web của bạn được công nhận là "an toàn" (nghĩa là thanh URL chuyển sang màu xanh lục khi người dùng truy cập trang web của bạn), cần có một số hình thức ủy quyền. Bạn cần chứng chỉ SSL do tổ chức phát hành chứng chỉ cấp. Chứng chỉ sẽ “xác thực” sự hiện diện trực tuyến của bạn là một thứ gì đó “thực”. Có nhiều loại xác thực khác nhau:
- Xác thực miền (DV), chứng minh không thể chối cãi rằng bạn là bạn và bạn sở hữu miền bạn muốn được bảo mật
- Xác thực tổ chức (OV), chứng minh rằng bạn sở hữu miền và xác minh một số điều về tổ chức đằng sau trang web của bạn
- Xác thực mở rộng (EV), thực hiện phân tích kỹ lưỡng và chặt chẽ về miền của bạn, tổ chức của bạn và tình trạng pháp lý của miền đó
Quá trình chứng nhận DV rõ ràng là dễ dàng hơn rất nhiều vì tất cả những gì bạn phải làm là gửi bằng chứng rằng bạn sở hữu miền của mình. Trên thực tế, đây là thứ có thể được tự động hóa.
Bây giờ hãy đến với CA miễn phí
Cơ quan cấp chứng chỉ như Let’s Encrypt cấp chứng chỉ DV mà không mất phí. Họ quản lý để tự động hóa quy trình xác minh quyền sở hữu tên miền đến mức họ hầu như không mất chi phí để xác thực bạn. Điều này hoàn toàn ổn nếu bạn có một số trang web quy mô không yêu cầu người dùng chia sẻ dữ liệu nhạy cảm (chẳng hạn như số thẻ tín dụng, chi tiết tài khoản ngân hàng, số hộ chiếu, v.v.).
Nếu bạn đang điều hành một trang web thương mại điện tử, có lẽ bạn nên xem xét việc đăng ký cơ quan cấp chứng chỉ thương mại. Mức độ tin cậy mà xác thực mở rộng cung cấp sẽ hợp pháp hóa tổ chức của bạn hơn bất kỳ hình thức chứng nhận nào khác có thể. Ít nhất, hãy lấy chứng chỉ OV nếu bạn không muốn bận tâm đến băng đỏ đằng sau việc đạt được EV.
Nếu bạn sở hữu một thực thể web lớn lưu trữ các trang web trên nhiều tên miền phụ, bạn có thể thất vọng khi biết rằng bạn cũng không thể nhận được chứng chỉ ký tự đại diện miễn phí (thậm chí không phải từ Let’s Encrypt). Chứng chỉ này sẽ cho phép bạn xác thực mọi miền phụ mà bạn tạo dưới tên miền chính của mình.
Kết luận ở đây rất đơn giản:nếu bạn đang chạy một trang web đơn giản không yêu cầu trao đổi dữ liệu nhạy cảm, thì chứng chỉ xác thực miền, chẳng hạn như chứng chỉ do Let’s Encrypt cung cấp sẽ rất ổn. Bạn không cần bất cứ thứ gì xa hoa hơn!
Nếu không, bạn nên dính vào các cơ quan thương mại. Ở một số quốc gia, bạn thậm chí có thể gặp rắc rối pháp lý vì bạn không sử dụng chứng chỉ xác thực mở rộng cho các thỏa thuận ràng buộc về mặt pháp lý.
Bạn có nghĩ rằng cuối cùng chúng tôi có thể tự động hóa tất cả việc xác thực chứng chỉ không? Hay đó chỉ là một bước nhảy vọt quá xa đối với nhân loại? Hãy cho chúng tôi biết trong một bình luận!