Câu trả lời ngắn gọn là không.
Hoặc là bạn biết bạn đang giao dịch với ai và biết liệu họ có đáng tin cậy hay không nên bạn chỉ muốn liên lạc qua một đường dây an toàn hoặc bạn không biết họ và bạn thực sự không có cách nào để biết liệu họ có không dù sao cũng cố gắng gạt bạn ra. Dù sao cũng có thể có được một đường dây an toàn.
Chứng chỉ nói chung được cho là thực hiện một chức năng chính; rằng người sở hữu chứng chỉ này đúng như họ nói, để bạn có thể thiết lập kết nối an toàn với người đó.
Được trả tiền cho các nhà cung cấp và cơ quan cấp chứng chỉ nói chung thực sự là những người trung gian, vì lợi ích của họ thường ngụ ý (và tiếp thị như vậy) rằng người sở hữu chứng chỉ đó cũng là một tổ chức đáng tin cậy nào đó (về cơ bản sẽ không lừa đảo bạn), để thuyết phục một người mua rằng họ đang mua niềm tin.
Không có gì lạ đối với những vùng biển giữa họ nói họ là ai và là đáng tin cậy bị CA làm cho rất lộn xộn.
Các chứng chỉ miễn phí về mặt kỹ thuật được gọi là chứng chỉ "Đã xác thực miền".
Nghĩa là, nhà phát hành chứng chỉ (trong nhiều trường hợp Cho phép mã hóa) chỉ xác nhận rằng chủ sở hữu tên miền DNS chính là người sở hữu trang web. Nó không đưa ra tuyên bố nào về độ tin cậy của trang web, chủ sở hữu hoặc tổ chức mà nó làm việc cùng.
Có tồn tại các loại chứng chỉ khác.
- Tổ chức được xác thực (OV)*
- Đã xác thực mở rộng (EV)*
Tổ chức được xác thực có chứng từ giống như chứng chỉ được xác thực miền, cùng với bằng chứng cho thấy tổ chức được cấp chứng chỉ tồn tại hợp pháp (có thể tổ chức đó tồn tại ở một số công ty đăng ký ở đâu đó và một số luật sư bên thứ ba xác nhận sự tồn tại của tổ chức đó).
Các chứng chỉ được xác thực mở rộng ngoài việc thực hiện bất kỳ xác thực DV và OV nào, còn yêu cầu một số bằng chứng bổ sung về việc người muốn chứng chỉ tồn tại hợp pháp, chẳng hạn như hộ chiếu hoặc giấy khai sinh.
Vấn đề ở đây là hầu hết mọi người không dựa vào CA để xác định niềm tin giữa hai thực thể, chỉ biết thực thể đó là người (đáng tin cậy hay không) mà họ nói.
Thêm vào đó, trước đây đã xảy ra một số sự cố liên quan đến việc cơ quan cấp chứng chỉ bị lừa (hoặc không đủ năng lực) cấp chứng chỉ xác thực mở rộng cho những người không phải như họ nói.
Ngoài ra, nó không thực sự được kiểm tra từ góc độ pháp lý liệu Cơ quan cấp chứng chỉ có thể chịu trách nhiệm pháp lý về thiệt hại do gian lận danh tính do chứng chỉ cấp sai hay không.
Theo tôi, thế giới chứng chỉ SSL đã là một thùng dầu rắn khổng lồ trong nhiều năm và Lets Encrypt đã sửa chữa một cách gián đoạn (và đúng đắn) những gì là những người trung gian tham lam nắm giữ kết nối an toàn giữa các bên để đòi tiền chuộc.
Chứng chỉ EV không mang lại lợi ích gì cho công chúng -- bạn không biết ý nghĩa hoặc ý nghĩa của chúng, bạn cũng không thực sự có cách nào để lấy lại tiền của mình từ CA nếu tổ chức đó lừa đảo bạn. Nhiều trình duyệt đang trong quá trình (hoặc đã loại bỏ hoàn toàn) tính năng 'thanh màu xanh lá cây' từng nổi bật với chứng chỉ EV được cho là cung cấp một số loại giá trị dự kiến.
Đối với khách hàng, họ dường như cung cấp cho bạn sức mạnh để 'mua' niềm tin. Điều mà tôi cảm thấy nếu bạn có danh tiếng tốt thì dù sao bạn cũng sẽ không làm như vậy.
Chứng chỉ OV rơi vào cùng một khung -- việc đăng ký kinh doanh và nhận một chứng chỉ đơn giản, nhưng điều đó không nói lên điều gì về mức độ đáng tin cậy của bạn với tư cách là một doanh nghiệp.
Vì vậy, không - Cá nhân tôi không thấy bất kỳ lý do chính đáng nào để mua chứng chỉ SSL. Mặc dù vậy, tôi rất muốn nghe những lập luận phản bác về lý do tại sao tôi rất sai.
- Lưu ý rằng mỗi tổ chức phát hành chứng chỉ có các chương trình và chính sách hơi khác nhau về những yêu cầu của họ và những gì họ chấp nhận làm bằng chứng nhận dạng hợp lệ. Điều này có nghĩa là nó không đơn giản như tôi đang ngụ ý và về lý thuyết có thể khá khác nhau giữa nhà cung cấp này và nhà cung cấp tiếp theo.
