Let’s Encrypt 和HTTPS免费的未来

0
4234

与那些一直在创建和管理网站且达23年之久的人一样,我也会使用许多不同的主机提供商的服务。多亏了自动续费,管理诸多不同主机提供商的网站才成为了可能,因为这样,各个网站就可以在固定的时间对每个底层服务进行自动收费和续订操作。一直以来,HTTPS就是在续订方面与其他事物有所不同的少数几个之一,因为即使是大型主机提供商也会依赖第三方SSL证书供应商。Let’s Encrypt’s免费SSL证书的出现,以及其透明、强大的自动申请和续订流程最终将有可能改造HTTPS主机行业这个破碎的世界,开辟一个新的在线未来,在这个未来中,创建HTTPS网站这个流程将会像访问它那样透明。

在极力促进把网络引入HTTPS时代方面,谷歌一直是最直言不讳、最活跃的力量之一。通过改变它的Chrome浏览器和搜索排名,该公司在短短几年时间内,就快速地将网络从传统的HTTP转变成了HTTPS。过去,那些运行了HTTPS网站的人通常是那些要求安全通信的人,比如电子商务人员;他们有购买、安装和维护SSL证书的技术资源。然而,在当下的、以HTTPS为优先的网络环境中,即使是一个小型的个人博客也需要SSL证书,尽管网站所有者可能并不了解什么是SSL证书,更不用说如何购买和安装SSL证书了。

尽管SSL证书的价格从网络早期开始就已经大大降低了,但是对于那些每年可能只会花费几美元用于主机套餐包的个人博客主来说,仍然是相当昂贵的。更糟糕的是,一些主机提供商一直以来就把SSL证书看作是赚取金钱的一种手段,甚至对最基本的证书也会收取高额的费用,并将用户锁定在其单一供应商中。

许多主机服务提供商都会依赖第三方SSL证书供应商。虽然一些公司已经投入了大量资金来小心地集成SSL签发流程,使其变得透明化,但是其他公司则只是将这一任务转交给第三方网站,让客户来承担监督其整个流程的负担。这反过来又会意想不到地在客户体验中体现出来,更糟糕的是,在云端客户服务的自动化程度越高,客户就越难在出现差错时去解决问题。

例如,今年早些时候,对于我的一个托管在Domain.com上的网站,我将它设置为了完全进行自动续订,包括它的SSL证书。在证书到期前的一个月,我收到了一封来自该公司的提醒邮件,说我已经启用了自动更新功能,并且“为了确保不间断的服务……系统将会在【日期】自动向您的账户收取以下指定金额的费用。”所有的套餐和产品都会自动进行续订,除非您进行了取消。这封邮件没有提到用户需要采取的任何进一步行动,只是说设置了自动续订,以及我将享受“不间断的服务”。接下来几周时间里,我收到了许多来自该公司的其他无关产品的报价,但是没有一条提到,我需要做些什么来完成我的续订操作。”

如同那些在我的许多主机提供商中设置了自动续订操作的人一样,我以为SSL自动续订意味着,公司会自动向我收取费用,签发一个新的证书,并为我的网站安装那个证书,而且过程中不需要我自己采取任何行动。相反,在证书过期的那个早上,我突然收到了大量电子邮件,称再也无法访问该网站。我发现不仅这个证书过期了,而且由于Chrome等主流浏览器处理过期证书和HTTP转发的方式,整个网站都完全无法访问,因为Chrome不允许游客访问它的任何内容。

Domain.com公司的一位发言人证实,这正是预期的行为,一切都是完全按照应有的方式进行的。根据该公司的说法,他们完全依赖于外部供应商来签发他们的SSL证书,并且实际上申请或安装这些证书并不是其自动续订的一部分。相反,“自动续订”实际上只是对其SSL产品的“自动计费”。客户的信用卡或计费机制针对的是新证书,因此,客户会在其账户上看到一张信用卡,他们可以用它来访问第三方SSL供应商的网站,购买新的证书以及申请签发和安装该新证书。

当被问及他们为什么没有在其通讯或提醒邮件中提及所有这些要求的其他步骤,为什么没有将续订流程标注为“自动计费”,而不是“自动续订”,该公司回应说,一直以来大多数客户都不希望自动签发SSL证书,因为他们想要自动计费,可以自由地在每个SSL续订周期把钱放到不同的网站上。当被要求进行进一步的解释时,该公司表示:“这是我们早期用户群首选的流程,然而,基于最近的与此相似的反馈,我们正在改进所有付费证书的计费和供应流程。”当被问及为什么该公司没有使用“自动计费”这一术语,从而明确地告知客户他们将需要从第三方供应商那里手动购买、申请和安装证书时,该公司指出,“更新这个语言是我们正在探索的中间步骤之一,同时我们也会着力改进平台上的供应流程。”

在客户服务日益自动化的过程中,这样的体验是寻常不过的,因为像自动续订这样的自动化系统已经成为了标准,但是如果出现技术故障或未能与客户进行全面、有效的沟通,事情就将出现差错。在这种情况下,技术系统会完全按照设计执行,但却不能传达出“续订”所意味的有限的范围。

然而,事实证明,这个故事会有一个圆满的结局,因为这种繁琐的续订流程可能很快就要消失了。Domain.com表示,它现在正在向其所托管的100多万个网站提供免费的Let’s Encrypt SSL证书,并且这些证书将能够在没有用户干预的情况下自动进行续订。不同于需要通过复杂的第三方集成流程来购买、申请、签发和安装SSL证书,Domain.com的用户将不需要像PCI遵从性这样的特殊功能,他们只需点击一个按钮就可以立即为其网站启用完整的HTTPS保护,而这是由Let’s Encrypt免费的服务所提供的。这就是我们想要的HTTPS体验。

最后,随着Domain.com等主要的提供商不再基于昂贵的商业模式提供SSL证书——这些带有少量稳定域名的SSL证书可以十分轻松地向用户收取数百甚至数千美元的费用——转向使用诸如Let’s Encrypt等的免费的SSL服务是很有帮助的,而且这些服务的自动续订过程完全是透明的。最后,希望SSL证书将变得如此透明,以至于最终它将它的成为第二本质。互联网将变得更安全,对创建者更友好!

LEAVE A REPLY

Please enter your comment!
Please enter your name here