Let Encrypt đang cung cấp chứng chỉ SSL miễn phí. Có bất kỳ nhược điểm nào so với các chứng chỉ trả phí khác, ví dụ như Trình quản lý chứng chỉ AWS không?
Câu trả lời:
Tuổi thọ càng ngắn càng tốt. Đơn giản là vì việc thu hồi chủ yếu là lý thuyết, trong thực tế, nó không thể dựa vào (điểm yếu lớn trong hệ sinh thái PKI công cộng).
Không có tự động hóa: Tuổi thọ dài hơn sẽ thuận tiện hơn. LE có thể không khả thi nếu bạn, vì bất kỳ lý do gì, không thể tự động hóa việc quản lý chứng chỉ
Với tự động hóa: Tuổi thọ không thành vấn đề.
Người dùng cuối dường như không có ý tưởng nào bằng cách này hay cách khác.
Letsencrypt chỉ cung cấp mức xác minh DV.
Mua chứng chỉ bạn nhận được bất cứ thứ gì bạn phải trả (bắt đầu từ DV, với cùng mức độ khẳng định như với LE).
DV = chỉ kiểm soát tên miền được xác minh.
Thông tin OV = chủ sở hữu (tổ chức) được xác minh thêm.
EV = phiên bản kỹ lưỡng hơn của OV, theo truyền thống đã được trao tặng "thanh màu xanh lá cây" (nhưng "thanh màu xanh lá cây" dường như sẽ sớm biến mất).
Khi sử dụng LE, công việc bạn đưa vào là thiết lập tự động hóa cần thiết (trong ngữ cảnh này, để chứng minh kiểm soát miền). Bao nhiêu công việc sẽ phụ thuộc vào môi trường của bạn.
Khi mua chứng chỉ, mức DV / OV / EV sẽ xác định số lượng công việc thủ công sẽ được yêu cầu để có được chứng chỉ. Đối với DV, thông thường sẽ thông qua trình hướng dẫn thanh toán và sao chép / dán thứ gì đó hoặc nhấp vào thứ gì đó, đối với OV và EV, bạn có thể tin tưởng vào việc cần phải liên hệ riêng để thực hiện các bước bổ sung để xác nhận danh tính của mình.
Người dùng cuối có thể nhận ra "thanh màu xanh" EV hiện tại (sẽ biến mất), ngoài việc họ không có xu hướng thực sự nhìn vào nội dung chứng chỉ.
Về mặt lý thuyết, mặc dù, rõ ràng là hữu ích hơn với một chứng chỉ ghi thông tin về thực thể kiểm soát. Nhưng các trình duyệt (hoặc các ứng dụng khách khác) cần bắt đầu thực sự hiển thị điều này theo cách hữu ích trước khi điều đó có bất kỳ ảnh hưởng nào đối với người dùng thông thường.
Có thể thực hiện mọi thứ không chính xác theo cách lộ khóa riêng hoặc tương tự. Với LE, công cụ được cung cấp được thiết lập xung quanh các thực tiễn hợp lý.
Với một người biết họ đang làm gì, các bước thủ công rõ ràng cũng có thể được thực hiện một cách an toàn.
LE rất có ý định tự động hóa tất cả các quy trình, dịch vụ của họ hoàn toàn dựa trên API và tuổi thọ ngắn cũng phản ánh cách mọi thứ tập trung vào tự động hóa.
Khi mua một chứng chỉ, ngay cả với một CA cung cấp API cho khách hàng thường xuyên (không thực sự là tiêu chuẩn vào thời điểm này), sẽ rất khó để tự động hóa bất cứ thứ gì khác ngoài DV và với DV bạn đang trả tiền cho cùng một thứ mà LE cung cấp.
Nếu bạn đang đi đến cấp độ OV hoặc EV, có lẽ bạn chỉ có thể tự động hóa một phần quy trình.
Nếu việc cài đặt được thực hiện chính xác, người dùng cuối rõ ràng sẽ không biết nó đã được thực hiện như thế nào. Cơ hội làm hỏng mọi thứ (ví dụ, quên gia hạn hoặc cài đặt không chính xác khi gia hạn) là ít hơn với một quy trình tự động.
Các phương tiện mua certs truyền thống đặc biệt hữu ích nếu bạn muốn certs OV / EV, không tự động hóa quản lý chứng chỉ hoặc muốn certs được sử dụng trong một số bối cảnh khác ngoài HTTPS.
Từ góc độ kỹ thuật thuần túy:
openssl x509 -in cert.pem -noout -text
X509v3 Sử dụng khóa mở rộng:
Xác thực máy chủ web TLS, Xác thực máy khách web TLS
Từ góc độ người dùng cuối:
Tôi muốn cung cấp một số điểm truy cập cho các đối số được sử dụng chống lại Encrypt ở đây.
Cuộc đời ngắn ngủi
Có, họ có thời gian tồn tại ngắn như được giải thích trong faq: https://letsencrypt.org/2015/11/09/why-90-days.html Để trích dẫn trang:
Họ hạn chế thiệt hại từ thỏa hiệp chính và ban hành sai. Khóa bị đánh cắp và chứng chỉ cấp sai có giá trị trong một khoảng thời gian ngắn hơn.
Họ khuyến khích tự động hóa, điều này thực sự cần thiết để dễ sử dụng. Nếu chúng tôi sẽ chuyển toàn bộ Web sang HTTPS, chúng tôi không thể tiếp tục mong đợi các quản trị viên hệ thống xử lý thủ công gia hạn. Khi việc phát hành và gia hạn được tự động hóa, thời gian tồn tại ngắn hơn sẽ không thuận tiện hơn thời gian dài hơn.
Thiếu EV
Không có kế hoạch hỗ trợ EV. Lý do (từ https://community.letsencrypt.org/t/plans-for-extends-validation/409 ) là:
Chúng tôi hy vọng rằng Encrypt sẽ không hỗ trợ EV, vì quy trình EV sẽ luôn đòi hỏi nỗ lực của con người, sẽ yêu cầu phải trả tiền cho ai đó. Mô hình của chúng tôi là cấp giấy chứng nhận miễn phí, yêu cầu tự động hóa mức độ có vẻ không tương thích với EV.
Hơn nữa, có một số người tin rằng EV có hại, như blogpost này ( https://stripe.ian.sh/ ):
James Burton, ví dụ, gần đây đã đạt được chứng chỉ EV cho công ty của mình "Đã xác minh danh tính". Thật không may, người dùng chỉ đơn giản là không được trang bị để đối phó với các sắc thái của các thực thể này và điều này tạo ra một véc tơ đáng kể cho lừa đảo.
Một ví dụ thực tế cổ điển về điều này là sslstrip. Các trang web homograph có chứng chỉ được mua hợp pháp là một cuộc tấn công trong thế giới thực mà EV hiện không cung cấp đủ khả năng phòng thủ.
Có hai nhóm nhược điểm đáng xem xét.
1. Nhược điểm khi sử dụng dịch vụ Let Encrypt
Let Encrypt yêu cầu tên chính xác hoặc tên miền (phụ) nếu bạn yêu cầu ký tự đại diện, tồn tại trong DNS Internet công cộng. Ngay cả khi bạn chứng minh quyền kiểm soát trên example.com, Let Encrypt sẽ không cấp cho bạn chứng chỉ cho some.other.name.in.example.com mà không thấy điều đó trong DNS công khai. Các máy có tên không cần phải có hồ sơ địa chỉ công cộng, chúng có thể bị tắt tường lửa hoặc thậm chí bị ngắt kết nối vật lý, nhưng tên DNS công cộng cần tồn tại.
Hãy mã hóa vòng đời chứng chỉ 90 ngày có nghĩa là bạn cần tự động hóa vì không ai có thời gian cho việc đó. Trên thực tế, đây là mục đích của dịch vụ - để mọi người hướng tới việc tự động hóa công việc thiết yếu này thay vì thực hiện thủ công trong khi họ tự động hóa nhiều nhiệm vụ khó khăn hơn. Nhưng nếu bạn không thể tự động hóa vì bất kỳ lý do gì thì đó là tiêu cực - nếu bạn có công cụ, thiết bị hoặc bất cứ thứ gì ngăn chặn tự động hóa, hãy xem xét bất kỳ chi phí chứng nhận SSL thương mại nào như một phần chi phí liên tục của các công cụ / thiết bị đó / bất cứ điều gì trong kế hoạch chi phí. Ngược lại, tiết kiệm từ việc không cần mua certs thương mại trong việc định giá các công cụ / thiết bị / etcetera mới có thể tự động hóa việc này (với Let Encrypt hay không)
Bằng chứng mã hóa kiểm soát tự động hóa có thể không phù hợp với quy tắc tổ chức của bạn. Ví dụ: nếu bạn có nhân viên được phép cấu hình lại Apache nhưng không nên lấy chứng chỉ SSL cho tên miền công ty thì Let Encrypt là một công cụ kém. Lưu ý rằng trong trường hợp này, không sử dụng chúng là Wrong Thing (TM), bạn nên sử dụng CAA để vô hiệu hóa rõ ràng Let Encrypt cho tên miền của mình.
Nếu chính sách của Encrypt từ chối bạn, "tòa án kháng cáo" duy nhất là hỏi trên các diễn đàn công cộng của nó và hy vọng một trong những nhân viên của họ có thể đưa ra một hướng đi. Điều này có thể xảy ra nếu, ví dụ, trang web của bạn có tên DNS mà hệ thống của họ quyết định là "tương tự một cách khó hiểu" với một số tài sản nổi tiếng như các ngân hàng lớn hoặc Google. Vì các lý do hợp lý, các chính sách chính xác của từng CA công cộng về vấn đề này không được xem xét kỹ lưỡng để bạn chỉ có thể nhận ra rằng bạn không thể có chứng nhận Let Encrypt khi bạn yêu cầu và nhận được phản hồi "Chính sách cấm ...".
2. Nhược điểm của chính chứng chỉ Let Encrypt
Chứng chỉ Encrypt được tin tưởng bởi các trình duyệt web lớn hiện nay thông qua ISRG (tổ chức từ thiện cung cấp dịch vụ Let Encrypt) nhưng các hệ thống cũ tin tưởng Let Encrypt thông qua IdenTrust, Cơ quan cấp chứng chỉ tương đối khó hiểu kiểm soát "DST Root CA X3". Điều này giúp công việc được thực hiện cho hầu hết mọi người, nhưng nó không phải là gốc đáng tin cậy rộng rãi nhất trên thế giới. Ví dụ: bảng điều khiển Nintendo WiiU bị bỏ rơi có trình duyệt web, rõ ràng Nintendo sẽ không gửi các bản cập nhật cho WiiU và do đó trình duyệt bị bỏ rơi, nó không tin vào Let Encrypt.
Hãy mã hóa chỉ cấp chứng chỉ cho PKI Web - máy chủ có tên Internet sử dụng giao thức SSL / TLS. Vì vậy, đó rõ ràng là Web và IMAP, SMTP của bạn, một số loại máy chủ VPN, hàng tá thứ, nhưng không phải là tất cả. Cụ thể, Let Encrypt hoàn toàn không cung cấp chứng chỉ cho S / MIME (một cách để mã hóa email khi nghỉ ngơi, thay vì chỉ khi quá cảnh) cũng như ký mã hoặc ký tài liệu. Nếu bạn muốn "một cửa" cho chứng chỉ, đây có thể là lý do đủ để không sử dụng Encrypt.
Ngay cả trong PKI trên web, Let Encrypt chỉ cung cấp chứng chỉ "DV", nghĩa là mọi chi tiết về bản thân hoặc tổ chức của bạn ngoài FQDN không được đề cập trong chứng chỉ. Ngay cả khi bạn viết chúng vào CSR, chúng vẫn bị loại bỏ. Đây có thể là một trình chặn cho một số ứng dụng chuyên gia.
Hãy tự động mã hóa có nghĩa là bạn bị hạn chế chính xác bởi những gì tự động hóa cho phép ngay cả khi không có lý do nào khác khiến bạn không thể có thứ gì đó. Các loại khóa công khai mới, tiện ích mở rộng X.509 mới và các bổ sung khác phải được Let Encrypt kích hoạt rõ ràng trên dòng thời gian của riêng họ và tất nhiên bạn không thể đề nghị trả thêm tiền để có được các tính năng bạn muốn mặc dù quyên góp được hoan nghênh.
Tuy nhiên, đối với hầu hết mọi người, hầu như luôn luôn, Let Encrypt là lựa chọn đầu tiên tốt để đặt chứng chỉ trên các máy chủ TLS của bạn theo cách dễ quên. Bắt đầu với giả định rằng bạn sẽ sử dụng Let Encrypt là một cách hợp lý để tiếp cận quyết định này.
Trừ khi bạn cần một chứng chỉ cho một cái gì đó ngoài web , không có nhược điểm thực sự , nhưng chắc chắn là những thứ được nhận thức . Mặc dù các vấn đề chỉ được nhận thức, vì là chủ sở hữu của một trang web, bạn có thể không có lựa chọn nào khác ngoài việc giải quyết chúng (nếu lợi ích kinh doanh cấm hiển thị ngón giữa).
Nhược điểm lớn nhất là, hiện tại, trang web của bạn sẽ hiển thị hơi kém, có thể nguy hiểm vì nó không có huy hiệu màu xanh lá cây đẹp mà một số trang web khác có. Huy hiệu đó có ý nghĩa gì? Không có gì thực sự. Nhưng nó gợi ý rằng trang web của bạn "an toàn" (một số trình duyệt thậm chí sử dụng từ chính xác đó). Than ôi, người dùng là người, và người là ngu ngốc. Người này hoặc người kia sẽ coi trang web của bạn là không đáng tin cậy (mà không hiểu bất kỳ hàm ý nào) chỉ vì trình duyệt không cho biết nó an toàn.
Nếu bỏ qua những khách hàng / khách truy cập này là một khả năng hợp lệ, không có vấn đề gì. Nếu bạn không đủ khả năng kinh doanh, bạn sẽ phải chi tiền. Không có lựa chọn khác.
Vấn đề nhận thức khác là vấn đề về tuổi thọ chứng chỉ. Nhưng nó thực sự là một lợi thế, không phải là bất lợi. Hiệu lực ngắn hơn có nghĩa là các chứng chỉ phải được cập nhật thường xuyên hơn, cả phía máy chủ và phía máy khách, đều ổn.
Đối với phía máy chủ, điều này xảy ra với một croncông việc, vì vậy nó thực sự ít rắc rối và đáng tin cậy hơn bình thường. Không có cách nào bạn có thể quên, không có cách nào để bị trễ, không có cách nào để vô tình làm điều gì đó sai, không cần phải đăng nhập bằng tài khoản quản trị (... hơn một lần). Về phía khách hàng, vậy thì sao. Trình duyệt cập nhật chứng chỉ mọi lúc, không có gì to tát. Người dùng thậm chí không biết điều đó xảy ra. Có rất nhẹ hơn giao thông để có được khi cập nhật mỗi 3 tháng thay vì mỗi 2 năm, nhưng nghiêm túc ... mà không phải là một vấn đề.
web? Chứng chỉ letencrypt không đủ cho tôi vì tôi phải chạy máy chủ email của riêng mình
Tôi sẽ thêm một thứ buộc nhà tuyển dụng của tôi tránh xa Lets Encrypt: giới hạn tốc độ API. Do thời gian sử dụng ngắn và thiếu hỗ trợ ký tự đại diện, rất dễ dàng tiến gần đến giới hạn tốc độ trong các hoạt động tự động thông thường (tự động gia hạn, v.v.). Cố gắng thêm một tên miền phụ mới có thể đẩy bạn vượt quá giới hạn tốc độ và LE không có cách nào để ghi đè thủ công giới hạn một lần theo cách thủ công. Nếu bạn không sao lưu các chứng chỉ cũ (ai sẽ làm như vậy trong môi trường microservice tự động, kiểu đám mây như hình dung LE?), Tất cả các trang web bị ảnh hưởng sẽ ngoại tuyến vì LE sẽ không cấp lại chứng chỉ.
Khi chúng tôi nhận ra điều gì đã xảy ra, có một khoảnh khắc "oh $ #! #" Theo sau là một yêu cầu chứng nhận thương mại khẩn cấp chỉ để đưa các trang web sản xuất trở lại trực tuyến. Một với tuổi thọ 1 năm hợp lý hơn. Cho đến khi LE thực hiện hỗ trợ ký tự đại diện thích hợp (và thậm chí sau đó), chúng tôi sẽ rất cảnh giác với các dịch vụ của họ.
Tl; dr: LE wildcard + API giới hạn khiến việc quản lý một cái gì đó phức tạp hơn "Trang chủ cá nhân của tôi" bất ngờ thách thức và thúc đẩy thực tiễn bảo mật kém trên đường đi.
Đúng.
Mặt trái của việc sử dụng Chứng chỉ SSL miễn phí hoặc Hãy mã hóa-
Vấn đề tương thích - Hãy mã hóa Chứng chỉ SSL không tương thích với tất cả các nền tảng. Xem liên kết này để biết danh sách các nền tảng không tương thích -
Ít hiệu lực hơn - Hãy để mã hóa Chứng chỉ SSL đi kèm với hiệu lực hạn chế là 90 ngày. Bạn phải gia hạn Chứng chỉ SSL sau mỗi 90 ngày. Trường hợp như một SSL trả phí như Comodo đi kèm với hiệu lực dài như 2 năm.
Không có xác nhận kinh doanh - Chứng chỉ SSL miễn phí chỉ yêu cầu xác thực tên miền. Không có xác nhận doanh nghiệp hoặc tổ chức để đảm bảo người dùng cho một thực thể kinh doanh hợp pháp.
Thích hợp cho các trang web doanh nghiệp nhỏ hoặc blog - Như tôi đã nói ở điểm cuối, Chứng chỉ SSL miễn phí hoặc hãy mã hóa có thể được sử dụng thông qua xác minh quyền sở hữu tên miền, không phù hợp với trang web kinh doanh hoặc thương mại điện tử trong đó niềm tin và bảo mật là yếu tố chính cho doanh nghiệp.
Không có thanh địa chỉ xanh - Bạn không thể có thanh địa chỉ xanh với Chứng chỉ SSL miễn phí. Chứng chỉ SSL xác thực mở rộng là cách duy nhất để hiển thị tên doanh nghiệp của bạn bằng thanh địa chỉ màu xanh lá cây trên trình duyệt.
Không hỗ trợ - Nếu bạn bị kẹt giữa đường với mã hóa, bạn có thể nhận được hỗ trợ trò chuyện hoặc gọi điện trực tuyến. Bạn chỉ có thể liên hệ qua các diễn đàn để thoát khỏi vấn đề này.
Các tính năng bảo mật bổ sung - Chứng chỉ SSL miễn phí không cung cấp bất kỳ tính năng bổ sung nào như quét phần mềm độc hại miễn phí, đóng dấu trang web, v.v.
Không bảo hành - Chứng chỉ SSL mã hóa miễn phí hoặc Hãy không cung cấp bất kỳ số tiền bảo hành nào trong khi Chứng chỉ SSL trả phí cung cấp bảo hành từ $ 10.000 đến $ 1,750,000.
Theo một tin tức , 14.766 Hãy mã hóa chứng chỉ SSL được cấp cho các trang web lừa đảo PayPal vì nó chỉ yêu cầu xác thực tên miền
Vì vậy, theo khuyến nghị của tôi, trả tiền cho Chứng chỉ SSL là thực sự đáng giá.
Sau một số nghiên cứu, tôi phát hiện ra rằng các chứng chỉ của Encrypt không tương thích với các trình duyệt hơn các chứng chỉ phải trả tiền. (Nguồn: Hãy mã hóa so với Comodo positiveSSL )