Certyfikaty EV SSL: Odpowiednik złotej toalety w bezpieczeństwie

Opublikowano: przez Dallas Kashuba
Certyfikaty EV SSL: Odpowiednik złotej toalety w bezpieczeństwie thumbnail

Jeśli byłby to rok 2010, powiedziałbym ci, abyś kupił certyfikat SSL Extended Validation (EV).

Kiedyś certyfikaty EV zmieniały pasek adresu na zielony, wyświetlały prawną nazwę firmy w pasku URL i pokazywały widoczną kłódkę potwierdzającą autentyczność strony.

Zrzut ekranu certyfikatu Thawte EV SSL wyświetlonego w różnych przeglądarkach

Ale to nie 2010 rok. I EV SSL są teraz już całkowicie martwe.

Dzisiaj płacenie za SSL to jak kupowanie złotej toalety. Ten sam efekt, dużo droższe.

Co Naprawdę Robiły Certyfikaty EV (i Dlaczego To Miało Znaczenie)

Podstawowe certyfikaty Walidacji Domeny (DV) widoczne obecnie, weryfikują jedynie domenę, którą kontrolujesz. Każdy może zdobyć taki certyfikat.

Certyfikaty z Rozszerzoną Weryfikacją wymagają szczegółowej weryfikacji działalności gospodarczej. Myśl o dokumentach prawnych, rozmowach telefonicznych, potwierdzeniu adresu i dowodach na to, że twoja firma jest rzeczywista i działa.

Proces może trwać dni lub tygodnie i wymaga weryfikacji ludzkiej na każdym kroku.

Końcowym rezultatem było wyświetlenie nazwy twojej firmy w przeglądarce, na przykład jak w tym przypadku od Comodo (które jest głównym dostawcą certyfikatów SSL).

Obok siebie interfejs przeglądarki przed i po wizualnych zmianach EV SSL — nazwa firmy i zielony pasek zniknęły, zastąpione zwykłym wyświetlaniem URL.

Ale jak widzisz teraz, nawet Comodo nie pokazuje żadnych oznaczeń certyfikatu EV SSL.

Otrzymuj treści bezpośrednio do swojej skrzynki odbiorczej

Zapisz się teraz, aby otrzymywać wszystkie najnowsze aktualizacje bezpośrednio do swojej skrzynki odbiorczej.

Co Sprawia, Że Certyfikaty EV SSL Są Teraz Złym Wyborem?

Głównym czynnikiem, który sprawiał, że certyfikaty EV były cenne, były wizualne wskaźniki. To przeglądarki były siłą napędową ich usunięcia.

Zmiana, Która Zabiła Certyfikaty EV

Po 2015 roku certyfikaty SSL stały się standardem dla stron internetowych.

Ikona kłódki stała się bardziej oczekiwaniem niż sygnałem zaufania.

Aby wyeliminować redundancję, Chrome usunął zielony pasek adresu URL w 2018 roku i zastąpił ikonę kłódki ikoną strojenia w 2023 roku. Firefox usunął wskaźniki EV w 2019 roku, a inne przeglądarki poszły w ich ślady.

Każda strona internetowa bez ważnego certyfikatu SSL została oznaczona jako „Niebezpieczna”.

Ludzie musieli kliknąć „Zaawansowane” i „Przejdź do strony mimo to (niebezpieczne)”, zanim mogli zobaczyć taką stronę internetową.

Widok interfejsu przeglądarki przed i po zmianach wizualnych certyfikatu EV SSL — nazwa firmy i zielony pasek zniknęły, zastąpione prostym wyświetlaniem URL.

Z tym, propozycja wartości certyfikatów EV SSL zniknęła. Mimo to, nadal widzisz firmy, które sprzedają je tak, jakby nic się nie zmieniło!

Przeglądarki Również Stwierdziły, Że EV Nie Pomaga

Usunięcie wizualnych wskazówek nie było przypadkowe. Było poparte badaniami.

Zielony pasek URL wydałby się wartościowy na zbliżeniowych zrzutach ekranu.

Ale kiedy zespół ds. bezpieczeństwa Google’a zbadał, czy droga weryfikacja przynosi realne korzyści bezpieczeństwa, odkryli, że „interfejs użytkownika EV nie chroni użytkowników zgodnie z przeznaczeniem.”

Użytkownicy nie podejmują różnych decyzji dotyczących bezpieczeństwa, gdy wskaźniki EV są obecne lub nieobecne. Mozilla doszła do podobnych wniosków po przeprowadzeniu własnych badań.

Podsumowanie? Wydatki na certyfikaty EV nie przekładają się na lepszą ochronę przed rzeczywistymi zagrożeniami, takimi jak phishing czy złośliwe strony internetowe.

Większość Użytkowników Nie Widzi Już Informacji EV

Po wydaniu Chrome 77 i Firefox 70 gdzieś w 2018 roku, ostatnie informacje o EV również zostały ukryte.

Przykład ważnego certyfikatu SSL w akcji — przeglądarka potwierdza, że połączenie jest bezpieczne, często pokazywane z ikoną kłódki.

Nazwa firmy, status rozszerzonej walidacji, zweryfikowane informacje o firmie — wszystko to zostało umieszczone pod ikoną dźwięku i wymagało od użytkowników kliknięcia, aby wyświetlić szczegóły certyfikatu.

Więc większość użytkowników nigdy nie zobaczyłaby szczegółów EV, które rzekomo uzasadniały wyższą cenę.

Certyfikat to Certyfikat — Wszystkie Zapewniają Identyczne Szyfrowanie

Zadaniem certyfikatu SSL jest szyfrowanie danych przesyłanych z przeglądarki odwiedzającego do serwera firmy. Dzięki temu osoby niepożądane nie mogą podglądać danych.

Wizualne porównanie niezabezpieczonych (HTTP) a zabezpieczonych (HTTPS) połączeń — pokazujące, jak certyfikaty SSL chronią dane w trakcie transmisji.

KAŻDY certyfikat SSL może szyfrować dane w ten sam sposób.

Algorytmy szyfrowania są identyczne: RSA-2048 do wymiany kluczy, SHA-256 do podpisów cyfrowych, AES do szyfrowania symetrycznego.

Przeglądarka tworzy dokładnie ten sam bezpieczny tunel, niezależnie od tego, która instytucja wydała certyfikat lub ile za niego zapłacono.

Bez względu na to, czy korzystasz z darmowego certyfikatu SSL czy certyfikatu Extended Validation za 500 dolarów, rzeczywiste zabezpieczenie danych Twoich użytkowników jest dokładnie takie samo.

Z certyfikatami EV płacisz tylko za dodatkowe formalności bez żadnych dodatkowych korzyści.

Jaka Jest Lepsza Opcja W 2025 Roku I Później?

Let’s Encrypt całkowicie zrewolucjonizowało rynek SSL, oferując certyfikaty za darmo, w sposób zautomatyzowany i równie bezpieczny jak drogie alternatywy. Teraz każdy posiadacz domeny może zdobyć certyfikat SSL.

Let’s Encrypt Dominuje na Rynku z Pewnego Powodu

Let’s Encrypt, darmowy dostawca certyfikatów walidacji domeny, kontroluje 63% całego rynku certyfikatów SSL. Pozostałą część rynku dzielą między sobą inni dostawcy certyfikatów DV i EV SSL.

Firma wydała ponad miliard certyfikatów do roku 2020.

Stabilny wzrost przyjęcia SSL: Ten wykres podkreśla gwałtowny wzrost liczby wydawanych dziennie certyfikatów SSL przez Let's Encrypt od 2016 do 2025 roku.
Źródło

A teraz Let’s Encrypt wydaje ponad 7 milionów nowych certyfikatów dziennie.

Automatyzacja Jest Lepsza Niż Procesy Manualne

Podczas gdy branża certyfikatów SSL sprzedawała drogie certyfikaty z ręcznymi procesami weryfikacji, które trwały dni lub tygodnie, Let’s Encrypt wprowadziło automatyzację i efektywność.

Protokół ACME umożliwia wydanie, instalację i odnowienie certyfikatów bez ingerencji człowieka, często w ciągu minut, a nie dni.

Ta automatyzacja zapewniła bezpieczeństwo wraz z wygodą. Organizacje certyfikujące SSL (CA) mogły teraz używać certyfikatów o krótszym okresie ważności (na przykład 90 dni).

Nawet jeśli napastnik uzyska dostęp do prywatnego klucza CA (klucza, który informuje przeglądarkę, że jest to ważny certyfikat), klucz ten będzie ważny tylko przez 90 dni, po czym zostanie wygenerowany nowy klucz, a poprzednie klucze zostaną uznane za nieważne.

Jeśli 90 dni wydaje się dużo, dostawcy SSL już podejmują kroki, aby jeszcze bardziej je skrócić.

Krótkie Okresy Życia Utrudniają Ręczną Weryfikację

Branża SSL zmierza w kierunku jeszcze krótszych okresów ważności certyfikatów.

Maksymalna długość życia ma wynosić 200 dni w 2026 roku, 100 dni w 2027 roku i 47 dni w 2029 roku.

Wyobraź sobie przechodzenie przez proces ręcznej weryfikacji EV — z dokumentami prawnymi, rozmowami telefonicznymi i weryfikacją biznesową — co 47 dni. Sam nakład pracy administracyjnej byłby przytłaczający, co sprawiłoby, że przestałyby być opłacalne.

To prawdopodobnie wyjaśnia, dlaczego w 2025 roku tylko 21,000 stron internetowych posiada certyfikat EV.

Certyfikaty walidacji domeny (DV) zazwyczaj w zupełności wystarczą

Certyfikaty walidacji domeny (bez względu na to, czy są darmowe, czy płatne) oferują wiele zalet w porównaniu z drogimi certyfikatami EV.

  • Identyczne szyfrowanie: Twoi użytkownicy otrzymują takie samo zabezpieczenie
  • Automatyczne odnawianie: Brak ryzyka wygaśnięcia certyfikatów
  • Szybsze wdrażanie: Minuty zamiast dni lub tygodni
  • Brak dodatkowych obowiązków administracyjnych: Bez papierkowej roboty, telefonów czy weryfikacji biznesowej
  • Przyszłościowe: Przygotowane na krótszy czas życia certyfikatów, który nadejdzie w 2029 roku

Darmowe certyfikaty DV SSL, takie jak Let’s Encrypt i CloudFlare, zapewniają ten sam poziom ochrony co inne certyfikaty. Jeśli to wszystko, czego potrzebujesz, wybierz darmowy certyfikat.

Dla dużych organizacji lub firm e-commerce, które potrzebują wsparcia klienta, dłuższych terminów ważności i pieczęci bezpieczeństwa do budowania zaufania, profesjonalnie podpisany certyfikat SSL DV jest rozsądnym rozwiązaniem.

Czy Duże Firmy Korzystają Z Certyfikatów EV I Czy Ktoś Rzeczywiście Ich Potrzebuje?

Gdyby certyfikaty EV były naprawdę niezbędne dla bezpieczeństwa i zaufania, można by oczekiwać, że największe firmy będą ich używać.

Nie robią tego.

Nawet Amazon, Netflix i Walmart używają darmowych certyfikatów

Troy Hunt, twórca Have I Been Pwned, udostępnił tweeta, gdy Chrome zaczął eksperymentować z usunięciem wskaźnika EV z przeglądarki w pierwszej połowie 2018 roku.

Ten tweet podkreśla spadek widoczności certyfikatów EV SSL—zmiana w Chrome polegająca na niepokazywaniu nazw organizacji w pasku adresu sygnalizuje szersze przejście na uproszczone wskaźniki tylko z kłódką.
Źródło

Amazon, Netflix, Walmart, eBay, Target, Best Buy: przedsiębiorstwa z nieograniczonymi budżetami na bezpieczeństwo, zespołami ekspertów i milionami klientów wprowadzającymi codziennie wrażliwe informacje — wszystkie korzystają ze standardowych certyfikatów walidacji domeny.

Kiedy Shopify i Amazon przetwarzają transakcje na miliardy dolarów korzystając z darmowych certyfikatów SSL, od czego dokładnie sprzedawcy certyfikatów EV twierdzą, że Cię chronią, czego nie może zrobić darmowy certyfikat?

Te firmy nie oszczędzają na bezpieczeństwie. Po prostu używają certyfikatów, które zapewniają tę samą szyfrowanie bez zbędnych dokumentów i kosztów.

Czy Opłaca Się Płacić Za Certyfikaty EV?

Ekonomia certyfikatów EV nie zgadza się, gdy przyjrzeć się temu, co faktycznie otrzymujesz.

Płacisz Za Własne Interesy Branży

Forum Certyfikacyjnych Dostawców Przeglądarek ustala standardy branżowe, ale w zasadzie jest to koalicja dostawców certyfikatów, którzy tworzą zasady w celu sprzedaży droższych certyfikatów.

Redditor, który twierdził, że pracował dla władzy certyfikującej, odpowiedział na pytanie: „Jaki jest sens drogich certyfikatów SSL?”

Stwierdzili, że nie ma różnicy pomiędzy zaawansowanym SSL a zwykłym. To tylko sposób, by organy certyfikujące sprzedały więcej certyfikatów.

Ten komentarz na Reddit podkreśla rosnący sceptycyzm: wielu uważa certyfikaty SSL — szczególnie te premium — za bardziej związane z zyskiem niż ochroną, z niewielką praktyczną różnicą w bezpieczeństwie.

Powoduje to oczywiste konflikty interesów, gdy te same firmy sprzedające drogie certyfikaty tworzą zasady dotyczące tego, kiedy drogie certyfikaty są „konieczne”.

Te Milionowe Gwarancje To Chwyty Marketingowe

Certyfikaty EV są objęte gwarancjami, zazwyczaj od 10,000 do 2 milionów dolarów, w zależności od typu certyfikatu. Te gwarancje rzekomo chronią cię, jeśli władza certyfikująca popełni błędy, które prowadzą do naruszeń bezpieczeństwa.

Ale według ekspertów, takich jak Troy Hunt, te gwarancje były od zawsze chwytami marketingowymi.

Scott Helme, założyciel Report URI, wspomniał również trzy scenariusze objęte tymi gwarancjami.

Oświadczenie Scotta Helme, założyciela Report URI, odnośnie gwarancji certyfikatów

Żaden z tych scenariuszy nie prowadzi jednak do uzyskania roszczenia. Po pierwsze, certyfikat nie może być wydany bez ważnych informacji, więc pierwszy przypadek jest natychmiast dyskwalifikowany. Drugi i trzeci są podobnie bezpodstawne.

Polecam przeczytać artykuł Scotta oraz artykuł Troya, aby lepiej zrozumieć, dlaczego ja również nazywam to chwytami marketingowymi.

Czy Kiedykolwiek Potrzebujesz Certyfikatu EV?

Mimo wszystkiego, o czym rozmawialiśmy powyżej, certyfikaty EV mają pewne zastosowanie.

Oto kilka konkretnych sytuacji, w których musisz sięgnąć po certyfikaty EV.

  • Instytucje finansowe podlegające ścisłym wymogom regulacyjnym: Niektóre ramy zgodności, takie jak PCI DSS czy specyficzne regulacje bankowe, wymagają certyfikatów EV. Jeśli twój regulator tego wymaga, nie masz wyboru.
  • Starsze urządzenia IT: Niektóre starsze systemy, szczególnie sprzęt korporacyjny z początku lat 2000, nie rozpoznają głównych certyfikatów Let’s Encrypt. Jest to coraz rzadsze, ponieważ stare systemy są zastępowane.
  • Polityki przedsiębiorstw wymagające określonych typów certyfikatów: Niektóre duże korporacje mają wewnętrzne polityki wymagające certyfikatów EV dla stron zewnętrznych. Jest to zazwyczaj bardziej kwestia zarządzania ryzykiem korporacyjnym niż rzeczywiste bezpieczeństwo.
  • Podpisywanie kodu i dokumentów: Let’s Encrypt wydaje tylko certyfikaty DV. Jeśli podpisujesz pobrane oprogramowanie lub dokumenty, będziesz potrzebować certyfikatów od tradycyjnych autorytetów certyfikujących.

Dla ogromnej większości stron internetowych, takich jak blogi, sklepy internetowe, aplikacje SaaS, strony marketingowe i większość stron firmowych, certyfikat EV nie zapewnia znaczących korzyści w porównaniu do darmowych alternatyw.

Czy Powinieneś Po Prostu Uzyskać Darmowe Certyfikaty i Iść Dalej?

Moim zdaniem odpowiedź brzmi zdecydowane TAK. W rzeczywistości, dla 99% stron internetowych, odpowiedź to tak.

Oto dlaczego:

Rynek Już Zdecydował

Certyfikaty walidacji domeny stanowią większość rynku.

Wykres kołowy pokazujący, że większość użytkowania SSL pochodzi z opcji domyślnych lub darmowych, takich jak Let's Encrypt, a płatne certyfikaty stanowią mały fragment.

Według BuiltWith, w czerwcu 2025 roku w internecie znajduje się ponad 258 milionów certyfikatów SSL. Większość z nich jest darmowa, automatyczna i zapewnia doskonałe zabezpieczenia.

Uwaga: Zauważysz, że SSL By Default ma tutaj największy udział. Jednak Let’s Encrypt również sprzedaje certyfikaty SSL By Default. Dlatego, mimo że są pokazane oddzielnie, traktowałbym je jako jedną jednostkę.

Inwestuj Swoje Pieniądze w Ochronę, Która Naprawdę Ma Znaczenie

Czas i pieniądze, które zaoszczędzisz, mogą być przeznaczone na środki bezpieczeństwa, które naprawdę mają znaczenie: lepsza infrastruktura hostingowa, monitoring bezpieczeństwa, regularne kopie zapasowe, zapory sieciowe aplikacji webowych lub testy penetracyjne.

Większość dostawców hostingu — takich jak DreamHost — oferuje obecnie integrację Let’s Encrypt na jeden klik. Jeśli twój tego nie oferuje, może nadszedł czas, aby znaleźć dostawcę hostingu, który rozumie, że mamy rok 2025, a nie 2010.

Nie Przekomplikuj Tego, Wystarczy Ci DV SSL

Certyfikaty Extended Validation są drogimi rozwiązaniami problemów, które można przeważnie rozwiązać za darmo. Nie mówię tutaj o wysoko regulowanych branżach, które potrzebują certyfikatów EV SSL — dla reszty świata wystarczy certyfikat DV SSL.

Szyfrowanie jest identyczne, przeglądarki zabiły wizualne wskaźniki, a nawet największe firmy ich nie używają.

Oto co powinieneś faktycznie zrobić:

  • Zaloguj się do panelu sterowania hostingiem
  • Włącz darmowe SSL jednym kliknięciem
  • To wszystko!

Twoi użytkownicy otrzymują takie samo szyfrowanie, jakie chroni Amazon i Shopify.

Jeśli twój host nie oferuje darmowego SSL, musisz przenieść się do dostawcy hostingu, takiego jak DreamHost, który to robi!

Oszczędzaj pieniądze na rzeczywiście ważne aspekty bezpieczeństwa, takie jak kopie zapasowe, monitorowanie lub firewall aplikacji internetowej.

Te zabezpieczą Twoją stronę znacznie lepiej niż płacenie setek rocznie za drogie formalności.

Jeśli wolisz powierzyć sprawy techniczne profesjonaliście, mamy dla ciebie rozwiązanie z naszymi usługami profesjonalnego zarządzania stroną internetową!

Pro Usługi – Zarządzanie Stroną

Zajmiemy się Kwestami Technicznymi

Zapewnij wydajność i niezawodność na poziomie przedsiębiorstwa dla swojej strony. Zostaw backend ekspertom – Ty skup się na swoim biznesie.

Zobacz więcej
Zdjęcie Dallas Kashuba

Dallas Kashuba