Historycznym wstępem, od grudnia 2015 roku, organizacja „Internet Security Research Group” wspierane przez dobrowolne wpłaty ze strony partnerów, głównie w postaci korporacji takich jak „Mozilla”, „Cisco”, „Facebook” itp. utworzyła tzw. Urząd Certyfikacji i wraz z nim podjęła inicjatywę umożliwiającą generowanie bezpłatnych certyfikatów pod nazwą „Let’s Encrypt” . O ile wcześniej pojawiały się podobne inicjatywy, to żadna z nich nie nabrała takiego tempa i nie stała się tak popularna.
„Let’s Encrypt” stało się synonimem bezpłatnych certyfikatów SSL dostępnych dla każdego. Z czasem wielu usługodawców w tym dhosting.pl zaczęło oferować swoim klientom aktywację takich certyfikatów co sprawiło, że zdecydowana większość stron WWW posługuje się szyfrowanym kanałem komunikacji z odwiedzającymi, a przeglądarki WWW gdy dana strona nie jest zabezpieczona przez SSL, komunikują odwiedzającym, że może być ona potencjalnie niebezpieczna, co oczywiście nie oznacza, że musi.
Poziom bezpieczeństwa bezpłatnych certyfikatów „Let’s Encrypt” nie różni się i nie jest niższy od poziomu bezpieczeństwa jaki zapewniają certyfikaty komercyjne. Różnica występuje w tym, że „Let’s Encrypt” to certyfikaty typu DV (więcej o typach certyfikatów przeczytasz TUTAJ), a więc nie ma możliwości wygenerowania certyfikatu EV, który podlega dodatkowej weryfikacji. Nie ma również swoistego ubezpieczenia oferowanego przez wystawców certyfikatów komercyjnych.
„Let’s Encrypt” w przeciwieństwie do certyfikatów komercyjnych nie jest wystawiany nigdy na okres 12 miesięcy, a na okres 90 dni przy czym większość usługodawców w tym dhosting.pl zdejmuje obowiązek odnawiania kluczy, wykonując to automatycznie.
Jak to działa?
Z chwilą gdy odwiedzasz stronę zabezpieczoną certyfikatem SSL, Twoja przeglądarka otrzymuje klucz, który jest sprawdzany pod kątem poprawności i ważności po czym nawiązywane jest połączenie szyfrowane. Jest ono szczególnie ważne na stronach WWW gdzie następuje logowanie, wysyłanie formularzy lub dokonywane są zakupy. Certyfikat SSL sprawi, że osoba postronna / potencjalnie chcąca przechwycić przesyłane dane, otrzyma je w postaci zaszyfrowanej.
