Давайте Шифрувати надаємо безкоштовні сертифікати SSL. Чи є якісь недоліки порівняно з іншими платними сертифікатами, наприклад, AWS Certificate Manager ?
Відповіді:
Коротший термін життя - кращий. Просто відкликання здебільшого теоретичне, на практиці на нього не можна покластися (велика слабкість у суспільній екосистемі PKI).
Без автоматизації: Триваліший термін експлуатації зручніший. LE може бути неможливим, якщо з будь-якої причини ви не можете автоматизувати управління сертифікатами.
Автоматизація: тривалість життя не має значення.
Кінцеві користувачі навряд чи матимуть ідею так чи інакше.
Letsencrypt забезпечує лише рівень DV перевірки.
Купуючи сертифікат, ви отримуєте все, за що платите (починаючи з DV, з тим же рівнем твердження, що і з LE).
DV = підтверджено лише контроль доменного імені.
OV = інформація суб'єкта (організації) власника перевіряється додатково.
EV = більш ретельна версія ОВ, яку традиційно нагороджують «зеленою смужкою» (але, здається, «зелена смуга» скоро йде).
Під час використання LE робота, яку ви вкладаєте, - це налаштування необхідної автоматизації (у цьому контексті для підтвердження контролю над доменом). Скільки роботи буде залежати від вашого оточення.
Купуючи сертифікат, рівень DV / OV / EV визначає, скільки ручної роботи знадобиться для отримання сертифікату. Для DV це звичайно зводиться через майстра, який платить і копіює / вставляє щось або клацає щось, для OV та EV ви можете майже розраховувати на необхідність зв’язатися з вами окремо, щоб зробити додаткові кроки для підтвердження вашої особи.
Кінцеві користувачі, ймовірно, розпізнають поточну "зелену смугу" (яка вже йде), окрім того, що вони фактично не переглядають вміст сертифікату.
Теоретично, однак, явно корисніше сертифікат, який містить інформацію про контролюючу організацію. Але браузерам (або іншим клієнтським програмам) потрібно почати фактично показувати це корисним способом, перш ніж це матиме ефект для типового користувача.
Можна робити речі неправильно способами, які розкривають приватні ключі або подібні. За допомогою ЛЕ, що надається інструментарій встановлюється на основі розумних практик.
З людиною, яка знає, що вони роблять, кроки вручну, очевидно, також можна зробити надійно.
LE дуже покликаний автоматизувати всі процеси, їх сервіс повністю заснований на API, і короткий термін служби також відображає те, як все зосереджено на автоматизації.
Купуючи сертифікат, навіть з ЦА, який надає API постійним клієнтам (це не справді норма на даний момент), буде важко правильно автоматизувати що-небудь, крім DV, а за допомогою DV ви платите за те саме, що надає LE.
Якщо ви збираєтесь на рівні OV або EV, ви, ймовірно, можете лише частково автоматизувати процес.
Якщо встановлення виконано правильно, кінцевий користувач, очевидно, не знатиме, як це було зроблено. Шанси зіпсувати речі (наприклад, забути відновити або виконати інсталяцію неправильно при поновленні) менші за допомогою автоматизованого процесу.
Традиційні засоби придбання сертів особливо корисні, якщо ви хочете, щоб сертифікати OV / EV не були автоматизованими керуванням сертифікатами або хочете, щоб серти використовувались в іншому контексті, ніж HTTPS.
З чисто технічної точки зору:
openssl x509 -in cert.pem -noout -text
Використання розширеного ключа X509v3:
автентифікація веб-сервера TLS, автентифікація веб-клієнта TLS
З точки зору кінцевого споживача:
Я хотів би запропонувати кілька протилежних моментів для аргументів, використаних проти Let’s Encrypt тут.
Короткий термін експлуатації
Так, у них короткий термін служби, як це пояснено у faq: https://letsencrypt.org/2015/11/09/why-90-days.html Процитувати сторінку:
Вони обмежують шкоду від ключових компромісів та неправильних видач. Викрадені ключі та неправильно видані сертифікати дійсні протягом коротшого періоду часу.
Вони заохочують автоматизацію, що абсолютно важливо для зручності використання. Якщо ми збираємося перенести всю Інтернет на HTTPS, ми не можемо продовжувати очікувати, що системні адміністратори вручну оброблять оновлення. Після того, як видача та поновлення будуть автоматизовані, коротший термін служби буде не менш зручним, ніж довший.
Нестача ЄВ
Немає плану підтримки EV. Міркування (з https://community.letsencrypt.org/t/plans-for-extended-validation/409 ):
Ми очікуємо, що Let's Encrypt не підтримуватиме EV, оскільки процес EV завжди потребуватиме людських зусиль, що вимагатиме плати комусь. Наша модель - видавати сертифікати безкоштовно, що вимагає автоматизованого рівня, який не здається сумісним з EV.
Крім того, є такі, хто вважає, що EV шкідливий, як, наприклад, цей блог ( https://stripe.ian.sh/ ):
Наприклад, Джеймс Бертон нещодавно отримав сертифікат EV для своєї компанії "Identity Verified". На жаль, користувачі просто не готові мати справу з нюансами цих сутностей, і це створює важливий вектор для фішингу.
Класичним прикладом реального світу цього є sslstrip. Гомограф-сайти з законно придбаними сертифікатами - це реальна атака, для якої EV зараз не забезпечує достатньої оборони.
Є дві групи недоліків, які варто врахувати.
1. Недоліки використання сервісу Let Encrypt
Давайте шифрувати потрібно, щоб у загальнодоступній Інтернет-DNS-мережі існувало точне ім’я або (під-домен), якщо ви вимагаєте підключити доменний код. Навіть якщо ви підтвердите контроль над example.com, давайте шифрувати не видаватимете вам сертифікати для some.other.name.in.example.com, не бачачи цього в загальнодоступній DNS. На названих машинах немає записів загальнодоступних адрес, їх можна скасувати або навіть фізично відключити, але загальнодоступне ім'я DNS має існувати.
Давайте Шифрувати термін дії сертифіката 90 днів означає, що вам потрібно автоматизувати, оскільки на це ніхто не має часу. Це насправді ціль цієї служби - привчати людей до автоматизації цієї необхідної роботи, а не збочення вручну, в той час як вони автоматизують багато важчих завдань. Але якщо ви не можете автоматизувати будь-яку причину, це негативно - якщо у вас є інструменти, прилади чи інше, що блокує автоматизацію, розгляньте будь-які комерційні витрати на сертифікати SSL як частину поточної вартості цих інструментів / приладів / що б не було в плануванні витрат. Навпаки, компенсуйте заощадження від того, що не потрібно купувати комерційні сертифікати при ціноутворенні нових інструментів / приладів / тощо, які автоматизують це (за допомогою Шифруємо чи ні)
Доказ Let’s Encrypt для автоматизації управління може не відповідати правилам вашої організації. Наприклад, якщо у вас є працівники, яким дозволено перенастроювати Apache, але вони не повинні отримувати сертифікати SSL для доменних імен компанії, тоді давайте шифрувати погано підходить. Зауважте, що в цьому випадку просто їх використання не є Помилковою річчю (TM), вам слід використовувати CAA, щоб явно відключити Let's Encrypt для ваших доменів.
Якщо політика Let’s Encrypt відмовить вас, єдиний "апеляційний суд" - це запитати на своїх публічних форумах і сподіватися, що хтось із їх співробітників може запропонувати шлях вперед. Це може статися, якщо, наприклад, ваш сайт має DNS-ім’я, яке їхні системи вважають "заплутано схожим" на певні відомі ресурси, як-от великі банки чи Google. З розумних причин точна політика кожної громадської організації з цього приводу не підлягає публічному контролю, тому ви можете лише зрозуміти, що ви не можете мати сертифікат Let Encrypt, коли ви запитаєте його та отримаєте відповідь "Політика забороняє ...".
2. Недоліком самого сертифіката Let’s Encrypt
Дані Шифрувати сертифікати довіряють сьогодні великі веб-браузери через ISRG (благодійна організація, яка надає послугу Let Encrypt), але старші системи довіряють Давайте шифрувати через IdenTrust, відносно незрозумілий орган сертифікації, який контролює "DST Root CA X3". Це робить роботу більшості людей, але це не самий надійний корінь у світі. Наприклад, у занедбаної консолі Nintendo WiiU був веб-браузер, очевидно, що Nintendo не доставлятиме оновлення для WiiU, і тому браузер покинутий, він не довіряє Давайте шифруємо.
Давайте шифрувати видають лише сертифікати для веб-серверів PKI - серверів з іменами Інтернету, які використовують протокол SSL / TLS. Отож, це Інтернет очевидно, і ваш IMAP, SMTP, деякі типи VPN-сервера, десятки речей, але не все. Зокрема, Let's Encrypt взагалі не пропонує сертифікати для S / MIME (спосіб шифрування електронної пошти в спокої, а не лише тоді, коли він знаходиться в дорозі), а також для підписання коду чи підпису документа. Якщо ви хочете отримати сертифікати "на одній зупинці", це може бути достатньою причиною не використовувати Let's Encrypt.
Навіть у веб-PKI компанія Let Encrypt пропонує лише сертифікати "DV", тобто будь-які деталі про себе чи свою організацію, окрім FQDN, у сертифікаті не згадуються. Навіть якщо ви записуєте їх у КСВ, вони просто відкидаються. Це може бути блокатором для деяких спеціалізованих програм.
Давайте шифрувати автоматизацію означає, що ви обмежені саме тим, що дозволяє автоматизація, навіть якщо немає інших причин, чому ви не можете щось мати. Нові типи відкритого ключа, нові розширення X.509 та інші доповнення повинні бути чітко ввімкнені програмою Letter Encrypt на їх власній шкалі, і, звичайно, ви не можете просто запропонувати платити додатково, щоб отримати потрібні функції, хоча пожертви вітаються.
Тим не менш, для майже всіх, майже завжди, давайте Шифрувати - це хороший перший вибір для розміщення сертифікатів на ваших TLS-серверах у спосіб пожежі та забуття. Починаючи з припущення, що ви будете використовувати Let's Encrypt - це розумний спосіб підійти до цього рішення.
Якщо вам не потрібен сертифікат для чогось іншого, ніж Інтернет , справжніх недоліків немає , але, безумовно, сприймаються . Хоча проблеми сприймаються лише, оскільки у власника веб-сайту у вас може бути інший вибір, крім їх вирішення (якщо бізнес-інтереси забороняють показувати середній палець).
Наразі найбільшим недоліком є те, що ваш сайт буде дещо неповноцінним, можливо, небезпечним, оскільки на ньому немає гарного зеленого значка, який мають інші сайти. Що означає цей знак? Нічого, насправді. Але це говорить про те, що ваш сайт "захищений" (деякі браузери навіть використовують саме це слово). На жаль, користувачі - це люди, а люди - дурні. Той чи інший сприйматиме ваш сайт як недостовірний (не розуміючи жодного із наслідків) лише тому, що браузер не каже, що він захищений.
Якщо ігнорування цих клієнтів / відвідувачів є дійсною можливістю, без проблем. Якщо ви не можете дозволити собі такий бізнес, вам доведеться витратити гроші. Немає іншого варіанту.
Інша сприйнята проблема - це проблема життя сертифіката. Але це насправді перевага, а не недолік. Коротка термін дії означає, що сертифікати потрібно частіше оновлювати, як на сервері, так і на стороні клієнта.
Що стосується сервера, то це відбувається з cronроботою, тому насправді це менше клопоту і надійніше, ніж зазвичай. Ні в якому разі не можна забути, жодного способу запізнитися, ніякого способу випадково зробити щось не так, не потрібно входити в обліковий запис адміністратора (... не раз). З боку клієнта, що ж. Браузери постійно оновлюють сертифікати, це не є великим. Користувач навіть не знає, що це відбувається. Під час оновлення кожні 3 місяці замість кожні 2 роки має бути трохи більше трафіку, але серйозно ... це це не проблема.
web? Сертифікати letsencrypt для мене були недостатніми, оскільки мені довелося запустити власний сервер електронної пошти
Я додам той, який змусив мого роботодавця частково від Lets Encrypt: обмеження швидкості API. Через короткий термін експлуатації та відсутність підтримки шаблону підстановки, під час звичайних автоматизованих операцій (автоматичне оновлення тощо) дуже легко наблизитись до меж швидкості. Спроба додати новий субдомен може підштовхнути вас до ліміту швидкості, і у LE немає способу вручну змінити ліміт після натискання. Якщо ви не створюєте резервну копію старих сертифікатів (хто б це робив в автоматизованому хмарному середовищі мікросервісів, як, наприклад, LE), всі порушені сайти переходять в офлайн, оскільки LE не видасть сертифікати.
Коли ми зрозуміли, що сталося, настала мить "о $ #! #", Після якої відбувся екстрений реквізит комерційного сертифікату, щоб повернути виробничі майданчики в Інтернеті. Один з більш розумним терміном життя 1 рік. Поки LE не реалізує належну підтримку wildcard (і навіть тоді), ми будемо дуже обережно ставитися до їх пропозицій.
Tl; dr: обмеження обмежених знаків LE + API робить управління чимось складнішим, ніж "Моя особиста домашня сторінка", несподівано складним, і сприяє поганій практиці безпеки на цьому шляху.
Так.
Недостатньо використовувати безкоштовний або Давайте шифруємо сертифікат SSL-
Проблема сумісності - шифруємо сертифікат SSL, сумісний не з усіма платформами. Перейдіть за цим посиланням, щоб знати список несумісних платформ -
Менша термін дії - Давайте шифруємо SSL-сертифікат, який має обмежену термін дії 90 днів. Вам потрібно поновлювати сертифікат SSL кожні 90 днів. Де як платний SSL, як Comodo, він має тривалий термін дії, як 2 роки.
Немає перевірки бізнесу - безкоштовний сертифікат SSL вимагає лише перевірки домену. Немає підтвердження бізнесу чи організації для забезпечення користувачів юридичної особи.
Підходить для малого бізнесу або веб-сайтів блогу - Як я додав в останній точці, безкоштовний або давайте шифруємо SSL-сертифікат можна отримати за допомогою перевірки права власності на домен, що не підходить для веб-сайту бізнесу та електронної комерції, де довіра та безпека є головним фактором для бізнесу.
Немає зеленого адресного рядка - у вас не може бути зеленого адресного рядка з безкоштовним сертифікатом SSL. Сертифікат розширеної валідації SSL - це єдиний спосіб відобразити назву вашої компанії із зеленим адресним рядком у веб-переглядачі.
Ніякої підтримки - Якщо ви затрималися між способом шифрування Let’s, ви можете отримати онлайн-чат або підтримку дзвінків. Ви можете зв’язатися через форуми лише для позбавлення від проблеми.
Додаткові функції безпеки - безкоштовний сертифікат SSL не пропонує жодної додаткової функції, як безкоштовне сканування зловмисного програмного забезпечення, печатка сайту тощо.
Ніякої гарантії - безкоштовне або давайте шифруємо SSL-сертифікат не пропонує жодної гарантійної суми, тоді як платний SSL сертифікат пропонує гарантію від 10 000 до 1,750 000 доларів.
Згідно з новиною , 14 766 Давайте шифруємо SSL-сертифікати, видані на фішинг-сайти PayPal, оскільки для цього потрібна лише перевірка домену
Отже, за моєю рекомендацією, платити за сертифікат SSL дійсно варто.
Після деяких досліджень я з'ясував, що сертифікати Let's Encrypt менш сумісні з браузерами, ніж платні сертифікати. (Джерела: Давайте шифруємо проти Comodo PositiveSSL )