Let's Encrypt-initiativet til Electronic Frontier Foundation (EFF), som skal gjøre det enklere for alle å tilby nettsteder via krypterte forbindelser, begynner for alvor å få fotfestet i bransjen.
Nylig lanserte den norske hostingleverandøren Wp hosting SSL-sertifikatet til alle deres kunder. 12. april gikk de i beta, og selskapet har laget et system som gjør det enkelt å få alle nye kunder over på løsningen.
Må fornye hver 60. dag
Wp hosting er en liten leverandør med rundt 500 kunder. Let's encrypt utsteder som kjent gratis SSL-sertifikater som krever fornying hver 60. dag.
– Vi har laget en helautomatisert løsning som sørger for at både fornying og oppsett går av seg selv. Vi kjører det på en del profilerte kunder, blant annet Aschehoug, sier Pål Martin Bakken.
Han er daglig leder i den lille bedriften. Ifølge ham var det en del som måtte på plass for å få løsningene til å virke optimalt, men den tunge dokumentasjonen som var svært omfattende viste seg å ikke være så vanskelig å sette seg inn i allikevel.
– Å ha SSL for kundene våre er fremtidsrettet. Google har allerede raslet med sablene og sagt at sider som ikke har TLS-kryptering kommer til å havne lengre ned i søkeresultatene. Dette kommer på ett aller annet tidspunkt til å bli innført for alle. Jeg tror nok mange av de største leverandørene gruer seg.
SSL-koster fort 2 000 kroner
Et vanlig SSL-sertifikat kan være dyrt. Skal man ha et sertifikat med utvidet validering kan det fort koste 2 000 kroner i året.
Den valideringen er det kanskje verdt å betale for hvis man driver med mye personsensitiv data, men hvis man er en liten bedrift med en enkel hjemmeside, er det ikke et stort poeng, mener Bakken.
Det er fagansvarlig i Buypass, Mads Henriksveen, langt på vei enig med ham i.
– Let's Encrypt tilbyr bare domenevalidering. Det vil si at det bare er dommenet som blir kontrollert, og sertifikatet sier ingen ting om hvem som eier tjenesten eller hvem som har kontroll over domenet.
– En fordel med å betale for utvidet validering er at an får grønn adresselinje som forsikrer brukeren om at den aktuelle tjenesten leverer troverdig innhold. Når man betaler for en utvidet validering er det møysommelige kontroller av juridiske entiteter som ligger til grunn. Denne informasjonen blir også presentert i sertifikatet. Det finnes et bred spekter av SSL-sertifikater, og alle disse gir brukerne forskjellig grad av tillit.
Brannmur validerer domenet
Let's Encrypt fungerer godt i WP Hosting sin infrastruktur. De kjører en webbrannmur som kjører på Apache. Den brukes til å vise eierskap til domenene selskapet kontrollerer. Noe som også kreves for å få utsendt SSL-sertifikatene. Brannmuren brukes også til å patche sikkerhetshull både internt og ute hos kunder.
– Da vi implementerte dette systemet bli vi overrasket over hvor enkelt det var. Det vare bare å skrive en kronjobb og noen bashscript før vi fikk det til å funke. Det er selvfølgelig en liten jobb med å sitte å trykke på tastaturet, men når man skjønte hva det dreide seg om var det overraskende greit. Jeg tror absolutt det er mulig å få til for andre også - det er ikke akkurat rakettforskning det er snakk om.
Ifølge Bakken har de ikke opplevd noen problemer med løsningen foreløpig.
– De største selskapene vil nok ikke går for denne type løsninger, men for de minste er den veldig enkel og grei å forholde seg til. Det er klart at når vi har automatisert fornyingsprosessen så løper man en liten risiko, men den tar vi. Vi synes selskapet bak SSL-løsningen har kommet med et veldig godt initiativ. Frykten er jo selvfølgelig at noen klarer å sende ut falske SSL-sertifikater, men det er en risiko som gjelder for alle leverandører. Foreløpig tror jeg ikke det har skjedd, konstaterer han.
