Давайте зашифровать предоставляют бесплатные сертификаты SSL. Есть ли недостатки по сравнению с другими платными сертификатами, например: AWS Certificate Manager?
Чем меньше продолжительность жизни, тем лучше. Просто потому, что отзыв является в основном теоретическим, на практике на него нельзя полагаться (большая слабость в публичной экосистеме PKI).
Без автоматизации: более длительный срок службы удобнее. LE может оказаться невозможным, если вы по какой-либо причине не можете автоматизировать управление сертификатами.
С автоматизацией: срок службы не имеет значения.
Конечные пользователи вряд ли будут иметь какое-либо представление о том или ином.
Letsencrypt обеспечивает только уровень проверки DV.
Покупая сертификат, вы получаете все, за что платите (начиная с DV, с тем же уровнем утверждения, что и с LE).
DV = проверяется только управление доменным именем.
OV = информация о собственнике (организации) проверяется дополнительно.
EV = более полная версия OV, которая традиционно награждена «зеленой полосой» (но «зеленая полоса», похоже, скоро исчезнет).
При использовании LE ваша работа заключается в настройке необходимой автоматизации (в данном контексте для подтверждения контроля домена). Объем этой работы будет зависеть от вашей среды.
При покупке сертификата уровень DV / OV / EV будет определять, сколько ручной работы потребуется для получения сертификата. Для DV это обычно сводится к тому, что мастер оплачивает и копирует / вставляет что-то или что-то щелкает, для OV и EV вы можете в значительной степени рассчитывать на то, что с вами нужно будет связаться отдельно, чтобы выполнить дополнительные шаги для подтверждения вашей личности.
Конечные пользователи, вероятно, узнают текущую «зеленую полосу» EV (которая исчезает), за исключением того, что они не склонны фактически смотреть на содержимое сертификата.
Теоретически, однако, явно более полезен сертификат, в котором указана информация о контролирующем органе. Но браузеры (или другие клиентские приложения) должны начать показывать это в полезной форме, прежде чем это повлияет на обычного пользователя.
Можно делать что-то неправильно, открывая закрытые ключи или подобное. В LE предоставляемый инструментарий основан на разумных методах работы.
Очевидно, что с человеком, который знает, что он делает, шаги, выполняемые вручную, также можно безопасно выполнять.
LE очень рассчитана на автоматизацию всех процессов, их услуги полностью основаны на API, а короткий срок службы также отражает то, как все сосредоточено вокруг автоматизации.
При покупке сертификата даже с CA, который предоставляет API-интерфейсы постоянным клиентам (что на данный момент не является нормой), будет сложно должным образом автоматизировать что-либо, кроме DV, а с DV вы платите по существу то же самое, что предоставляет LE.
Если вы выбираете уровни OV или EV, вы, вероятно, сможете частично автоматизировать процесс.
Если установка выполнена правильно, конечный пользователь, очевидно, не узнает, как это было сделано. Шансы испортить что-то (например, забыть обновить или выполнить установку неправильно при обновлении) меньше при автоматизированном процессе.
Традиционные способы покупки сертификатов особенно полезны, если вам нужны сертификаты OV / EV, вы не автоматизируете управление сертификатами или хотите, чтобы сертификаты использовались в каком-либо другом контексте, кроме HTTPS.
С чисто технической точки зрения:
openssl x509 -in cert.pem -noout -text Расширенное использование ключа X509v3:
Проверка подлинности веб-сервера TLS, проверка подлинности веб-клиента TLS
С точки зрения конечного пользователя:
Я хотел бы предложить несколько контраргументов для аргументов, используемых здесь против Let's Encrypt.
Короткий срок службы
Да, у них короткий срок службы, как описано в часто задаваемых вопросах: https://letsencrypt.org/2015/11/09/why-90-days.html Чтобы процитировать страницу:
Они ограничивают ущерб от компрометации и неправильной выдачи ключей. Похищенные ключи и неправильно выданные сертификаты действительны в течение более короткого периода времени.
Они поощряют автоматизацию, что абсолютно необходимо для простоты использования. Если мы собираемся перевести весь Интернет на HTTPS, мы не можем ожидать, что системные администраторы будут вручную обрабатывать обновления. После того, как выдача и продление будут автоматизированы, более короткие сроки жизни не будут менее удобными, чем более длинные.
Отсутствие электромобиля
Планов по поддержке электромобилей нет. Рассуждение (от https://community.letsencrypt.org/t/plans-for-extended-validation/409) является:
Мы ожидаем, что Let's Encrypt не будет поддерживать EV, потому что процесс EV всегда требует человеческих усилий, а для этого нужно будет кому-то платить. Наша модель заключается в бесплатной выдаче сертификатов, что требует автоматизации уровня, несовместимой с электромобилями.
Кроме того, некоторые считают, что электромобили вредны, например, этот пост в блоге (https://stripe.ian.sh/):
Джеймс Бертон, например, недавно получил сертификат электромобиля для своей компании Identity Verified. К сожалению, пользователи просто не имеют возможности разбираться в нюансах этих сущностей, и это создает значительный вектор для фишинга.
Классический пример из реальной жизни - sslstrip. Сайты гомографов с законно приобретенными сертификатами - это реальная атака, от которой EV в настоящее время не обеспечивает достаточной защиты.
Стоит рассмотреть две группы недостатков.
1. Недостатки использования сервиса Let's Encrypt
Let's Encrypt требует, чтобы точное имя или (под) домен, если вы запрашиваете подстановочный знак, существовали в общедоступном DNS-сервере Интернета. Даже если вы подтвердите контроль над example.com, Let's Encrypt не будет выдавать вам сертификаты для some.other.name.in.example.com, не увидев этого в общедоступном DNS. Названные машины не обязательно должны иметь записи общедоступных адресов, они могут быть отключены брандмауэром или даже физически отключены, но общедоступное DNS-имя должно существовать.
Срок службы сертификатов Let's Encrypt составляет 90 дней, что означает, что вам нужно автоматизировать, потому что ни у кого нет на это времени. Фактически, это цель службы - побудить людей автоматизировать эту важную работу, а не делать это вручную, в то время как они автоматизируют многие более сложные задачи. Но если вы не можете автоматизировать по какой-либо причине, это отрицательно - если у вас есть инструменты, устройства или что-то еще, что автоматизация блоков, считайте любые затраты на коммерческие сертификаты SSL как часть текущих затрат на эти инструменты / устройства / что угодно при планировании затрат. И наоборот, компенсирует экономию от отсутствия необходимости покупать коммерческие сертификаты при ценообразовании новых инструментов / устройств / и т. Д., Которые автоматизируют это (с Let's Encrypt или без)
Доказательство автоматизации управления Let's Encrypt может не соответствовать правилам вашей организации. Например, если у вас есть сотрудники, которым разрешено изменять конфигурацию Apache, но они не должны получать сертификаты SSL для доменных имен компании, тогда Let's Encrypt не подходит. Обратите внимание, что в этом случае просто не использовать их - это неправильная вещь (TM), вы должны использовать CAA для явного отключения Let's Encrypt для ваших доменов.
Если политика Let's Encrypt отказывает вам, единственная «апелляционная инстанция» - это спросить на своих публичных форумах и надеяться, что кто-то из их сотрудников сможет предложить дальнейшие шаги. Это может произойти, если, например, ваш сайт имеет DNS-имя, которое, по мнению их систем, «до степени смешения похоже» на некоторые известные объекты, такие как крупные банки или Google. По разумным причинам точная политика каждого общедоступного центра сертификации в этом отношении не открыта для всеобщего ознакомления, поэтому вы можете понять, что у вас не может быть сертификата Let's Encrypt, только когда вы запросите его и получите ответ «Политика запрещает ...».
2. Недостатки самого сертификата Let's Encrypt
Сертификатам Let's Encrypt сегодня доверяют основные веб-браузеры через ISRG (благотворительная организация, предоставляющая сервис Let's Encrypt), но старые системы доверяют Let's Encrypt через IdenTrust, относительно малоизвестный центр сертификации, который контролирует «DST Root CA X3». Это выполняет свою работу для большинства людей, но это не самый пользующийся наибольшим доверием корень в мире. Например, на заброшенной консоли Nintendo WiiU был веб-браузер, очевидно, Nintendo не будет поставлять обновления для WiiU, поэтому этот браузер заброшен, он не доверяет Let's Encrypt.
Let's Encrypt выдает сертификаты только для Web PKI - серверов с Интернет-именами, которые используют протокол SSL / TLS. Так что это, очевидно, Интернет, и ваш IMAP, SMTP, некоторые типы VPN-серверов, множество вещей, но не все. В частности, Let's Encrypt вообще не предлагает сертификаты для S / MIME (способ шифрования электронной почты в состоянии покоя, а не только во время передачи), ни для подписи кода или подписи документов. Если вам нужен «универсальный магазин» для сертификатов, этого может быть достаточно, чтобы не использовать Let's Encrypt.
Даже в веб-инфраструктуре PKI Let's Encrypt предлагает только сертификаты DV, что означает, что в сертификате не упоминаются никакие сведения о вас или вашей организации, кроме полных доменных имен. Даже если вы запишете их в CSR, от них просто откажутся. Это может быть блокировщиком некоторых специализированных приложений.
Автоматизация Let's Encrypt означает, что вы ограничены именно тем, что позволяет автоматизация, даже если нет других причин, по которым у вас что-то не может быть. Новые типы открытого ключа, новые расширения X.509 и другие дополнения должны быть явно активированы Let's Encrypt на их собственной временной шкале, и, конечно, вы не можете просто предложить доплату, чтобы получить желаемые функции, хотя пожертвования приветствуются.
Тем не менее, почти для всех, почти всегда Let's Encrypt - хороший первый выбор для размещения сертификатов на ваших TLS-серверах в режиме «запустил и забыл». Исходя из предположения, что вы будете использовать Let's Encrypt, это разумный способ подойти к этому решению.
Если вам не нужен сертификат для что-то кроме сети, нет настоящий минусы, но конечно воспринимается ед. Хотя проблемы только кажутся, у вас, как у владельца веб-сайта, может не быть другого выбора, кроме как решать их (если бизнес-интересы запрещают показывать средний палец).
Единственным самым большим недостатком на данный момент является то, что ваш сайт будет отображаться как несколько хуже, может быть опасно потому что на нем нет симпатичного зеленого значка, который есть на некоторых других сайтах. Что означает этот значок? Не важно. Но это так предлагать что ваш сайт "безопасен" (некоторые браузеры даже используют это слово). Увы, пользователи - это люди, а люди - тупые. Один или другой сочтет ваш сайт ненадежным (без понимания каких-либо последствий) только потому, что браузер не сообщает, что он безопасен.
Если игнорирование этих клиентов / посетителей является допустимой возможностью, не проблема. Если вы не можете себе этого позволить с точки зрения бизнеса, вы придется тратить деньги. Другого варианта нет.
Другая предполагаемая проблема связана со сроком службы сертификата. Но на самом деле это преимущество, а не недостаток. Более короткий срок действия означает, что сертификаты нужно обновлять чаще, как на стороне сервера, так и на стороне клиента.
Что касается серверной части, это происходит с cron работа, так что это на самом деле меньше хлопот и более надежный чем обычно. Ни в коем случае нельзя забыть, ни в коем случае не опоздать, ни в каком случае случайно сделать что-то не так, не нужно входить в систему с учетной записью администратора (... более одного раза). На стороне клиента ну и что. Браузеры постоянно обновляют сертификаты, в этом нет ничего страшного. Пользователь даже не знает, что это происходит. При обновлении каждые 3 месяца, а не каждые 2 года, можно получить немного больше трафика, но серьезно ... который это не проблема.
Я добавлю тот, который частично заставил моего работодателя отказаться от Lets Encrypt: ограничение скорости API. Из-за короткого времени жизни и отсутствия поддержки подстановочных знаков очень легко приблизиться к ограничениям скорости во время обычных автоматических операций (автоматическое продление и т. Д.). Попытка добавить новый субдомен может подтолкнуть вас к превышению лимита скорости, и LE не имеет возможности вручную изменить лимит после его достижения. Если вы не создадите резервную копию старых сертификатов (кто будет делать это в автоматизированной среде микросервисов облачного типа, такой как LE envisions?), Все затронутые сайты перейдут в автономный режим, поскольку LE не будет повторно выпускать сертификаты.
Когда мы поняли, что произошло, был момент «ой $ #! #», За которым последовал срочный запрос коммерческого сертификата только для того, чтобы вернуть производственные сайты в оперативный режим. Один с более разумным сроком службы в 1 год. Пока LE не реализует надлежащую поддержку подстановочных знаков (и даже тогда), мы будем очень осторожно относиться к их предложениям.
TL; dr: LE wildcard + ограничения API неожиданно усложняют управление чем-то более сложным, чем «Моя личная домашняя страница», и способствуют снижению уровня безопасности.
Да.
Обратной стороной использования бесплатного SSL-сертификата или Let's encrypt -
Проблема совместимости - Давайте зашифруем SSL-сертификат, совместимый не со всеми платформами. Видеть эта ссылка узнать список несовместимых платформ -
Меньшая достоверность - Сертификат Let's encrypt SSL имеет ограниченный срок действия 90 дней. Вы должны обновлять свой сертификат SSL каждые 90 дней. В то время как платный SSL, такой как Comodo, имеет длительный срок действия, например, 2 года.
Нет бизнес-проверки - Для бесплатного сертификата SSL требуется только проверка домена. Нет проверки бизнеса или организации для проверки пользователей для юридического лица.
Подходит для малого бизнеса или блогов - Как я добавил в последнем пункте, бесплатный SSL-сертификат или сертификат SSL с возможностью шифрования можно получить путем проверки права собственности на домен, что не подходит для бизнес-сайтов или веб-сайтов электронной коммерции, где доверие и безопасность являются основными факторами для бизнеса.
Нет зеленой адресной строки - У вас не может быть зеленой адресной строки с бесплатным сертификатом SSL. SSL-сертификат с расширенной проверкой - единственный способ отобразить название вашей компании в зеленой адресной строке в браузере.
Нет поддержки - Если вы застряли с Let’s encrypt, вы можете связаться с нами в онлайн-чате или позвонить в службу поддержки. Вы можете связаться через форумы только для того, чтобы избавиться от проблемы.
Дополнительные функции безопасности - Бесплатный SSL-сертификат не предлагает никаких дополнительных функций, таких как бесплатное сканирование вредоносных программ, печать сайта и т. Д.
Нет гарантии - SSL-сертификат Free or Let’s encrypt не предполагает никакой гарантии, тогда как платный SSL-сертификат предлагает гарантию от 10 000 до 1 750 000 долларов США.
Согласно новости, 14 766 SSL-сертификатов Let's Encrypt, выданных фишинговым сайтам PayPal, поскольку для этого требуется только проверка домена
Итак, согласно моей рекомендации, платить за сертификат SSL действительно стоит.
После некоторого исследования я обнаружил, что сертификаты Let's Encrypt менее совместимы с браузерами, чем платные сертификаты. (Источники: Давайте зашифровать vs. Comodo PositiveSSL)