Elke leverancier van certificaten heeft de mogelijkheid om bij de uitgifte van een certificaat een garantiebedrag toe te kennen, ook wel bekend als een “warranty” in het Engels. Grote spelers zoals Sectigo (voorheen Comodo), GeoTrust en GlobalSign bieden bij hen instap SSL-certificaten een garantie van minimaal $10.000, wat kan oplopen tot miljoenen dollars bij duurdere certificaten.
Maar wat houdt die garantie eigenlijk in? Is het vergelijkbaar met een aankoopverzekering die vaak bij creditcards wordt geboden voor klanten van je WordPress webshop met HTTPS en SSL?
Nee, de garantie van een SSL-certificaat is niet bedoeld als aankoopverzekering voor jouw klanten die producten of diensten via je website kopen. Het is eerder een verzekering voor de geldigheid van het certificaat zelf.
Waarvoor verzekert een SSL-certificaatgarantie nu precies?
De garantie dekt de uitgifte van het certificaat zelf. Meer niet. De certificaatverstrekker (ook wel bekend als CA, Certificate Authority) moet verifiëren dat jij de eigenaar bent van het domein en het bedrijf waarvoor het certificaat is bedoeld. Dit kan gebeuren via e-mail, telefonisch contact of door het controleren van bedrijfsgegevens bij de Kamer van Koophandel.
Als de CA deze controle niet goed uitvoert, of als er iemand in jouw bedrijf onrechtmatig namens jou een certificaat aanvraagt en jij hierdoor schade lijdt, is de verzekerde waarde het bedrag dat door de CA moet worden uitgekeerd.
Zoals RapidSSL zelf aangeeft op hun site: “$10.000 garantie beschermt tegen verkeerde uitgifte.”
Overigens, als je een gratis certificaat van Let’s Encrypt hebt, is het op dit moment onmogelijk om te verifiëren wie de aanvrager is en biedt Let’s Encrypt geen enkele garantie voor foutieve uitgifte. Omdat iedereen een dergelijk certificaat kan aanvragen, moet je je afvragen of je dat wilt. Hackers en andere malafide partijen kunnen namelijk ook gratis een certificaat aanvragen.
Naast het feit dat foutieve uitgifte zelden voorkomt, is het ook de vraag of je daadwerkelijk geld zult ontvangen als een CA een fout maakt. Als een CA bij jou een fout maakt, zouden ze dat dan niet ook bij vele andere uitgiftes hebben gedaan? En als ze failliet gaan, kun je fluiten naar je centen. (Hint: DigiNotar)
Maar wat heb je eigenlijk aan die garantie?
Het biedt een zekere mate van bescherming in geval van frauduleuze aanvragen. Het dekt echter geen materiële schade en je webshopbezoekers krijgen er geen verzekerde spullen door.
Kortom wij bevelen betaalde certificaten alleen aan bij webshop waarbij de focus ligt op extra vertrouwelijk over te komen. Daarom voltstaat in 90% van alle websites een gratis Let’s Encrypt certificaat.
Ben je bezig met een optimalisatie slag voor je website of webshop, en wil je toch dat extra beetje vertrouwen uit stralen? Wij van Puike Pixels helpen je graag met een certificaataanvraag. Neem gerust contact met ons op.