Hadi şifreleyin ücretsiz SSL sertifikaları veriyoruz. Ödenmiş diğer sertifikalarla karşılaştırıldığında herhangi bir olumsuz tarafı var mı, örneğin AWS Sertifika Yöneticisi ?
Yanıtlar:
Daha kısa ömür daha iyidir. Basitçe iptal çoğunlukla teorik olduğu için pratikte güvenilemez (halk PKI ekosistemindeki büyük zayıflık).
Otomasyon olmadan: Daha uzun ömür daha uygundur. Hangi nedenle olursa olsun sertifika yönetimini otomatikleştiremiyorsanız LE uygun olmayabilir
Otomasyonla: Ömrü önemli değil.
Son kullanıcılar, bir şekilde veya başka bir şekilde herhangi bir fikir edinme ihtimaline sahip değildir.
Letsencrypt, yalnızca DV doğrulama düzeyi sağlar.
Bir e-posta satın almak için ne kadar ödeme yaparsanız yapın (DV'den başlayarak, LE ile aynı iddiayla).
DV = sadece alan adı kontrolü onaylandı.
OV = işletme sahibi (kuruluş) bilgileri ek olarak doğrulandı.
EV = geleneksel olarak "yeşil çubuk" ile ödüllendirilmiş OV'nin daha kapsamlı bir sürümü (ancak "yeşil çubuk" yakında bitiyor gibi görünüyor).
LE kullanırken, girdiğiniz çalışma gerekli otomasyonu (etki alanı kontrolünü kanıtlamak için) ayarlar. Ne kadar iş yapacağınız ortamınıza bağlı.
Sertifika alırken DV / OV / EV seviyesi, sertifikayı almak için ne kadar manuel çalışmanın gerekli olduğunu belirleyecektir. DV için genellikle bir sihirbazdan geçerek bir şeyi ödeyip kopyalayıp / yapıştırarak ya da bir şeyi tıklatarak kaynatır, OV ve EV için kimliğinizi doğrulamak için ek adımlar atmak için ayrı ayrı iletişim kurulmasına ihtiyaç duyacağınıza güvenebilirsiniz.
Son kullanıcılar muhtemelen sertifika içeriğine bakma eğiliminde olmadıklarından, mevcut EV "yeşil çubuğu" nu (uzaklara gidiyor) tanırlar.
Teorik olarak, kontrol birimi ile ilgili bilgileri belirten bir sertifika ile açıkça daha faydalıdır. Ancak, tarayıcıların (veya diğer istemci uygulamalarının) tipik bir kullanıcı için herhangi bir etkisi olmadan önce bunu faydalı bir şekilde göstermeye başlaması gerekir.
Özel anahtarları veya benzerlerini açığa çıkaran şekillerde yanlış şeyler yapmak mümkündür. LE ile sağlanan takım makul uygulamalar etrafında kurulur.
Ne yaptıklarını bilen birisiyle, manuel adımlar da güvenli bir şekilde yapılabilir.
LE, tüm süreçleri otomatik hale getirmeyi çok amaçlıyor, hizmetleri tamamen API tabanlı ve kısa kullanım ömrü de her şeyin otomasyon etrafında nasıl merkezlendiğini yansıtıyor.
Bir sertifika alırken, düzenli müşterilere API'leri sağlayan bir CA'da bile (bu noktada gerçekten bir norm değil) DV dışında herhangi bir şeyi otomatik olarak otomatikleştirmek zorlaşacaktır ve DV ile LE'nin sağladığı aynı şey için ödeyeceğiniz zor olacaktır.
OV veya EV seviyelerine gidiyorsanız, süreci muhtemelen kısmen otomatik hale getirebilirsiniz.
Kurulum doğru yapılırsa, son kullanıcı nasıl yapıldığını bilmeyecektir. İşleri karıştırmak (örneğin, yenilemeyi unutmak veya tadilatı hatalı şekilde yapmak) unutma) otomatik bir işlemle daha azdır.
Geleneksel satın alma araçları, özellikle OV / EV sertifikalarını arzu ediyorsanız, sertifika yönetimini otomatikleştirmiyorsanız ya da HTTPS'den başka bir bağlamda kullanılan sertifikaları istemiyorsanız kullanışlıdır.
Tamamen teknik bir bakış açısıyla:
openssl x509 -in cert.pem -noout -text
X509v3 Genişletilmiş Anahtar Kullanımı:
TLS Web Sunucusu Kimlik Doğrulama, TLS Web İstemcisi Kimlik Doğrulama
Son kullanıcı bakış açısından:
Let's Encrypt'a karşı kullanılan argümanlar için burada bazı puanlar vermek istiyorum.
Kısa ömür
Evet, sss'te açıklandığı gibi kısa bir ömre sahipler: https://letsencrypt.org/2015/11/09/why-90-days.html Sayfayı alıntılamak için:
Kilit uzlaşma ve yanlış verimden kaynaklanan zararları sınırlandırırlar. Çalınan anahtarlar ve yanlış verilen sertifikalar daha kısa bir süre için geçerlidir.
Kullanım kolaylığı için kesinlikle gerekli olan otomasyonu teşvik ederler. Tüm Web’i HTTPS’ye taşıyacak olursak, sistem yöneticilerinin yenilemeleri manuel olarak işlemesini beklemeye devam edemeyiz. Verme ve yenileme işlemi otomatikleştirildiğinde, daha kısa ömürler daha uzun sürelerden daha az uygun olmaz.
EV eksikliği
EV desteği için bir plan yoktur. Sebep ( https://community.letsencrypt.org/t/plans-for-extended-validation/409 adresinden ):
Let's Encrypt'in EV'yi desteklemeyeceğini umuyoruz, çünkü EV süreci her zaman bir insana para vermeyi gerektiren insan çabasını gerektirir. Modelimiz, EV ile uyumlu görünmeyen seviye otomasyonu gerektiren sertifikaları ücretsiz olarak vermektir.
Ayrıca, EV'nin zararlı olduğuna inanan bazı kişiler var, bu blog yayını gibi ( https://stripe.ian.sh/ ):
Örneğin James Burton kısa bir süre önce "Identity Verified" adlı şirketi için bir EV sertifikası aldı. Ne yazık ki, kullanıcılar bu varlıkların nüanslarıyla başa çıkmak için yeterli donanıma sahip değildir ve bu kimlik avı için önemli bir vektör oluşturur.
Bunun klasik gerçek dünya örneği sslstrip'tir. Yasal olarak satın alınan sertifikalara sahip Homograf siteleri, EV'nin şu anda yeterli bir savunma sağlamadığı gerçek dünyaya yönelik bir saldırıdır.
Düşünmeye değer iki dezavantaj grubu vardır.
1. Let's Encrypt hizmetini kullanmanın olumsuz yanları
Let's Encrypt, genel Internet DNS'sinde tam adın veya joker karakter istiyorsanız (alt) etki alanının olmasını gerektirir. Example.com üzerindeki denetimi kanıtlasanız bile, Let's Encrypt, bunu genel DNS'de görmeden, bazı.other.name.in.example.com için size sertifika vermeyecektir. Adlandırılmış makinelerin genel adres kayıtları olması gerekmez, güvenlik duvarları kapatılabilir veya fiziksel olarak bağlantısı kesilebilir, ancak genel DNS adının bulunması gerekir.
90 günlük sertifika ömürlerini şifreleyelim Diyelim ki otomasyona ihtiyacınız var, çünkü bunun için kimsenin zamanı yok. Bu aslında hizmetin amacıdır - birçok zor işi ortadan kaldırırken insanları el ile yapmaktan ziyade bu temel işi otomatikleştirmek için sürdürebilmek. Ancak, herhangi bir nedenden ötürü otomatikleştiremiyorsanız, bu olumsuz bir şeydir - araçlarınız, cihazlarınız veya blokaj otomasyonunuz varsa, herhangi bir ticari SSL sertifikası maliyetini, bu araçların / cihazların devam eden maliyetinin bir parçası olarak düşünün - maliyet planlamasında ne olursa olsun. Aksine, bunu otomatikleştiren yeni araçların / cihazların / etcetera'nın fiyatlandırılmasında ticari alan satın alma zorunluluğu olmadığı için tasarrufları telafi edin (Let's Encrypt ile veya değil)
Let's Encrypt kontrol otomasyonunun kanıtı kuruluşunuzun kurallarına uygun olmayabilir. Örneğin, Apache'yi yeniden yapılandırma yetkisi olan ancak şirket alan adları için SSL sertifikası almayan çalışanlarınız varsa, Let's Encrypt kötü bir seçimdir. Bu durumda sadece bunları kullanmamanızın Yanlış Şey olduğunu (TM), etki alanlarınız için Let's Encrypt özelliğini açıkça devre dışı bırakmak için CAA kullanmanız gerektiğini unutmayın.
Let's Encrypt politikası sizi reddederse, tek "temyiz mahkemesi" kamuya açık forumlarda sormak ve çalışanlarından birinin ileri bir yol sunabileceğini ummaktır. Bu, örneğin sitenizin, sistemlerinin büyük kararlar veya Google gibi bazı ünlü mülklerle "kafa karıştırıcı şekilde benzer" olduğuna karar verdiği bir DNS adı varsa olabilir. Mantıklı nedenlerden ötürü, her kamu CA'sının bu konudaki politikaları kamuya açık incelemeye açık değildir, bu nedenle talep ettiğinizde ve "Politika yasaklar ..." yanıtı aldığınızda yalnızca bir Let's Encrypt sertifikası alamayacağınızı fark edebilirsiniz.
2. Let's Encrypt sertifikasının kendisinin dezavantajları
Let's Encrypt sertifikaları bugün büyük web tarayıcıları tarafından ISRG (Let's Encrypt hizmetini veren yardım kuruluşu) aracılığıyla güvenilirdir ancak eski sistemler, "DST Root CA X3" ü kontrol eden nispeten belirsiz bir Sertifika Yetkilisi olan IdenTrust aracılığıyla Let's Encrypt'e güvenmektedir. Bu, işin çoğu insan için yapılmasını sağlar, ancak dünyadaki en geniş güvenilen kök değildir. Örneğin, terkedilmiş Nintendo WiiU konsolunun bir web tarayıcısı vardı, açıkçası Nintendo WiiU için güncellemeler göndermeyecek ve bu tarayıcı terk edilmiş, Let's Encrypt'a güvenmiyor.
Let's Encrypt, yalnızca Web PKI'si için sertifikalar yayınlar - SSL / TLS protokolünü kullanan İnternet adlarına sahip sunucular. Açıkçası bu Web ve IMAP, SMTP, bazı VPN sunucu tipleri, düzinelerce şeyler, ama her şey değil. Let's Let's Encrypt, özellikle S / MIME (yalnızca geçiş halindeyken değil, istirahat sırasında e-postayı şifrelemenin bir yolu) veya kod imzalama veya belge imzalama için sertifika sunmaz. Sertifikalar için bir "tek durak" istiyorsanız, Let's Encrypt kullanmamak için yeterli neden olabilir.
Web PKI'sında bile, Let's Encrypt, yalnızca "DV" sertifikaları sunar; bu, kendiniz veya kuruluşunuz hakkında FQDN'ler dışında hiçbir ayrıntıda sertifikada belirtilmediği anlamına gelir. Onları bir CSR'ye yazsanız bile, bunlar atılır. Bu, bazı uzmanlık uygulamaları için bir engelleyici olabilir.
Hadi şifreleyelim otomasyonu, otomasyonun izin verdiği şey ile tamamen sınırlandırıldığınız anlamına gelir, başka bir neden olmamanız için başka bir neden olmasa bile. Yeni ortak anahtar türleri, yeni X.509 uzantıları ve diğer eklemelerin, kendi zaman çizelgelerinde Let's Encrypt tarafından açıkça etkinleştirilmesi gerekir ve tabii ki bağışlar kabul edilse de istediğiniz özellikleri almak için fazladan ödeme yapmayı teklif edemezsiniz.
Bununla birlikte, hemen hemen herkes için, hemen hemen her zaman, Let's Encrypt, TLS sunucularınıza sertifikaları ateşle ve unut yöntemiyle koymak için iyi bir ilk seçimdir. Kullanacağınız varsayımıyla başlayarak Let's Encrypt bu karara varmanın mantıklı bir yoludur.
Web dışındaki bir şey için bir sertifikaya ihtiyaç duymazsanız, gerçek bir dezavantajı yoktur , ama kesinlikle algılananları vardır. Her ne kadar sorunlar yalnızca algılansa da, bir web sitesinin sahibi olarak, bunları ele almaktan başka bir seçeneğiniz olmayabilir (eğer iş ilgisi orta parmağı göstermeyi yasaklarsa).
En büyük tek dezavantajı şu an için sitenizin biraz daha düşük, belki de tehlikeli olacağından, diğer bazı sitelerin sahip olduğu güzel yeşil rozeti olmadığı için. Bu rozet ne anlama geliyor? Gerçekten hiçbir şey. Ama yok önermek sitenizin (bazı tarayıcılar bile tam kelimeyi kullanın) "güvenli" olduğunu. Ne yazık ki, kullanıcılar insandır ve insanlar aptaldır. Biri ya da diğeri, sitenin güvenilir olmadığını (herhangi bir anlama gelmeden), tarayıcı güvenli olduğunu söylemediğinden alacaktır.
Bu müşterileri / ziyaretçileri görmezden gelmek geçerli bir ihtimalse, sorun değil. Eğer bu işi akıllıca karşılayamazsanız, para harcamanız gerekecektir . Başka seçenek yok.
Algılanan bir diğer sorun da sertifikanın kullanım ömrü ile ilgili. Fakat bu aslında bir avantaj, bir dezavantaj değil. Daha kısa geçerlilik, sertifikaların hem sunucu hem de müşteri tarafı olmak üzere daha sık güncellenmesi gerektiği anlamına gelir.
Sunucu tarafı gelince, bu bir croniş ile olur, bu yüzden aslında daha az güçlük ve normalden daha güvenilir . Unutma şansın yok, gecikme yok, kazara yanlış bir şey yapmanın yolu yok, idari bir hesapla giriş yapmana gerek yok (... bir kereden fazla). Müşteri tarafında ne olmuş. Tarayıcılar her zaman sertifikaları günceller, bu bir biggie değildir. Kullanıcı bunun olacağını bile bilmiyor. Orada her 2 yılda yerine her 3 ayda bir güncellerken olduğu için çok biraz daha trafik, ama cidden ... o sorun değil
web? letsencrypt sertifikaları benim için yetersizdi, çünkü kendi e-posta sunucumu çalıştırmak zorunda kaldım
İşverenimi kısmen Lets Encrypt: API oranını sınırlandıran bir yere ekleyeceğim. Kısa ömürleri ve joker karakter desteğinin olmaması nedeniyle, normal otomatik işlemler sırasında (otomatik yenileme vb.) Fiyat sınırlamalarına yaklaşmak çok kolaydır. Yeni bir alt etki alanı eklemeye çalışmak, sizi hız sınırının üzerine çıkarabilir ve LE, bir kere vurulduktan sonra limiti manuel olarak geçersiz kılmanın bir yolu yoktur. Eğer eski sertifikaları yedeklemiyorsanız (bunu LE'nin öngördüğü otomatik, bulut tipi bir mikro hizmet ortamında kim yapar?) Etkilenen sitelerin tümü çevrimdışı olur ve LE sertifikaları yeniden yayınlamaz.
Olanları fark ettiğimizde, bir an önce "oh $ #! #" Ve ardından üretim sahalarını tekrar çevrimiçi hale getirmek için acil bir ticari sertifika talebi geldi. Daha makul 1 yıl ömrü olan biri. LE uygun joker karakter desteği (ve o zaman bile) uygulayana kadar, tekliflerinde çok dikkatli olacağız.
Tl; dr: LE joker karakter + API limitleri beklenmedik bir şekilde zor olan "Kişisel Ana Sayfam" dan daha karmaşık bir şeyi yönetmeyi sağlar ve yol boyunca zayıf güvenlik uygulamalarını teşvik eder.
Evet.
Ücretsiz kullanmanın olumsuz ya da SSL Sertifikasını şifreleyelim-
Uyumluluk Sorunu - Tüm platformlarla uyumlu olmayan SSL Sertifikasını şifreleyelim. Bkz bu bağlantıyı uyumsuz platformların listesini bilmek -
Daha az geçerlilik - SSL Sertifikasını şifreleyelim, 90 gün gibi sınırlı bir geçerlilikle gelir. SSL Sertifikanızı her 90 günde bir yenilemeniz gerekir. Comodo gibi ücretli bir SSL olarak, 2 yıl gibi uzun bir geçerlilik süresi geliyor.
İşletme doğrulaması yok - Ücretsiz bir SSL Sertifikası yalnızca etki alanı doğrulaması gerektirir. Kullanıcıların yasal bir işletme kuruluşu olmasını sağlamak için işletme veya kuruluş doğrulaması yoktur.
Küçük işletmeler veya blog siteleri için uygun - En son noktaya eklediğim gibi, ücretsiz veya en SSL sertifikasını şifreleyelim, etki alanı mülkiyeti doğrulaması yoluyla elde edilebilir; bu, güven ve güvenliğin iş için önemli bir faktör olduğu bir işletme veya e-ticaret web sitesi için uygun değildir.
Yeşil adres çubuğu yok - Ücretsiz bir SSL Sertifikası olan yeşil bir adres çubuğuna sahip olamazsınız. Genişletilmiş bir doğrulama SSL sertifikası, işletme adınızı tarayıcıda yeşil adres çubuğuyla görüntülemenin tek yoludur.
Destek Yok - Hadi şifrelemenin yolu arasına sıkışırsanız, çevrimiçi sohbet veya çağrı desteği alabilirsiniz. Forumlardan sadece konudan kurtulmak için iletişime geçebilirsiniz.
Ek güvenlik özellikleri - Ücretsiz bir SSL Sertifikası, ücretsiz kötü amaçlı yazılım taraması, site mühürlemesi vb. Gibi ekstra bir özellik sunmaz.
Garanti yok - Ücretsiz veya Haydi şifreleyelim SSL Sertifikası herhangi bir garanti miktarı sunmazken, ücretli bir SSL Sertifikası 10,000 ila 1,750,000 ABD Doları arasında bir garanti sunar.
Bir habere göre , 14.766 PayPal Kimlik Avı Sitelerine Verilen SSL Sertifikalarını Şifreleyelim, sadece alan doğrulaması gerekiyor
Bu yüzden benim tavsiyeme göre, bir SSL Sertifikası için ödeme yapmak gerçekten değerli.
Bazı araştırmalardan sonra Let's Encrypt sertifikalarının tarayıcılarla ücretli sertifikalardan daha az uyumlu olduklarını öğrendim. (Kaynaklar: Comodo'ya Karşı Comodo PositiveSSL'yi şifreleyelim )