Namecheap'ten bir SSL sertifikası ödedim, sanırım ComodoSSL tarafından onaylandı. Bana 7 dolara mal oldu, etkinleşmeleri bir hafta sürdü ve sitemin yapılandırma dosyalarını düzenlerken SSH'den kendim yapmak zorunda kaldım.

Sonra bir arkadaşım, sadece ücretsiz SSL sertifikaları vermekle kalmayıp aynı zamanda tek bir komut çalıştırarak da yüklenebilecek olan Let's Encrypt 'ı fark etmemi sağladı .

Burada bir şeyleri özlediğimden eminim, ancak otomatik olarak yenilenmiş kurulum ile kolayca, ücretsiz olarak yüklenebildiğimde neden bir SSL sertifikası için ödeme yapmak isteyeyim?

Bir SSL sertifikası için neden ödeme yapmalıyım?

Çoğu kullanım için, onlar için para ödemenin iyi bir nedeni yoktur.
İstisnaların bir özeti için en alta bakınız.

Geri bir adım atalım ve sertifikaların ne yaptığını ve kabaca nasıl yapılacağını açıklayalım.

Genel olarak "sertifika" olarak adlandırılanlar iki bağlantılı parçadan oluşur:

• Sertifika uygun bir umumi anahtar ve (örneğin, bir alan adı olarak) bir kimlik içerir.
• Özel anahtar yuvası (ve sadece tutucu) dijital olarak yukarıda sertifika kullanılarak doğrulanabilir şekilde bir mesaj giriş sağlar.

Sertifika istiyorsanız yourdomain.com, şunları yapabilirsiniz:

• Bir özel / herkese açık keypair oluşturun ve özel kısmını iyi, gizli tutun.
• Sor için bir sertifika oluşturmak için güvenilir bir üçüncü parti ( "CrediCorp") yourdomain.comgenel anahtarla.
• CrediCorp'a bir şekilde kontrol ettiğinizi kanıtlayın yourdomain.com.
• Özel anahtarı ve alınan sertifikayı sunucunuza yerleştirin ve web sunucusunu kullanacak şekilde yapılandırın.

Ardından, Alice ziyaret ederse yourdomain.com, tarayıcısı sertifikayı web sunucunuzdan ve özel anahtarınız tarafından imzalanmış bir mesajla birlikte alır. Ardından tarayıcısı üç şeyi kontrol eder:

• İmzalı mesajın sertifikanız tarafından doğrulanabildiğini (sadece sahip yourdomain.comolması gereken özel anahtarla imzalandığını ispatlamak ).
• Sertifikanın etki alanı, tarayıcının ziyaret etmeye çalıştığı etki alanıdır ( yourdomain.com).
• Sertifikanın CrediCorp'tan olduğunu.

Bu üç şeyin bir araya gelmesi yourdomain.com, Alice'e gerçekte konuştuğunu ve bazı sahtekârlarla değil , Alice'in CrediCorp'a güvenmesini sağladığını garanti eder .

( Bu özgünlüğü gizliliğe dönüştürmek için bazı kripto vudu dansı izler .)

Nasıl yok Alice CrediCorp güven?

Buradaki asıl mesele bu. Kısacası, bir noktada CrediCorp "Hey, sertifika yapacağız" dedi. Bir çok kuralı takip ederek çok çaba sarf ettikten sonra , bazı insanları CrediCorp'un gerçekten güvenilir olduğuna ve yalnızca doğru sertifikaları vereceklerine ikna etmeyi başardılar.

Özellikle, Firefox’un yapımcılarını ikna etmeyi başardılar. Sonuç olarak, CrediCorp Firefox'un A listesine girdi ve sertifikaları varsayılan olarak Firefox tarafından güveniliyor. Gerçekten, Alice, Firefox’a güveniyor, Firefox, CrediCorp’a güveniyor ve CrediCorp, kontrol ettiğinizi iddia ettiğinizde (doğruladıktan sonra) size güveniyor yourdomain.com. Neredeyse zincir gibi .

Ancak, Firefox yalnızca sertifika vermek için yourdomain.comCrediCorp’a güvenmiyor, herhangi bir etki alanı için CrediCorp sertifikalarına güveniyor . Ve Firefox da herhangi bir alan adının, ShabbyCorp güvenir.

Bunun sonuçları var. Birisi ShabbyCorp'u kontrol ettikleri konusunda ikna etmeyi başarırsa yourdomain.com(çünkü ShabbyCorp çok kapsamlı değildir), yourdomain.comilgili özel anahtarla birlikte bir ShabbyCorp sertifikası alabilir . Ve bu sertifika ile web sunucunuzu taklit edebilirler. Sonuçta, bunun için bir sertifikası (artı anahtarı) yourdomain.comvar, Firefox!

CrediCorp ve ShabbyCorp, Sertifika Yetkilileri , kısaca CA'lar olarak adlandırılır . Gerçek dünyada, ComodoSSL ve Let's Encrypt CA örnekleridir. Ama onlardan çok daha fazlası var; Bu yazı itibariyle, Firefox 154 CA'ya güveniyor .

Vay. Ama bu sorumu nasıl cevaplıyor?

Ben ehm, buna gidiyorum ...

İşte şey. Yukarıda ana hatları çizdiğim mekanikler tüm sertifikalar için geçerlidir. Web siteniz için doğru ve güvenilir bir sertifikanız varsa, çalışır. Brand A sertifikalarına karşı Brand B sertifikalarına karşı özel bir şey yoktur; hepsi aynı CA gereksinimlerine ve aynı şifreleme matematiğine tabidir.

Ve CrediCorp'u daha çok sevseniz bile - çünkü bildiğiniz gibi, çok daha güvenilir görünüyorlar - bunları kullanmak size gerçekten yardımcı olmaz. Bir saldırgan ShabbyCorp'u sitenize sertifika vermeleri için ikna edebilirse, saldırgan sitenizi taklit etmek için, sitenizi taklit etmek için bu sertifikayı kullanabilir.

Firefox ShabbyCorp’a güvendiği sürece, ziyaretçiler farkı görmez. (Evet, ziyaretçiler sertifikayı kaldırabilir ve oradan kazabilir, kimin verdiğini görebilir. Ancak bunu kim yapabilir?) Sertifika sahtekarlığı söz konusu olduğunda, tüm sistemi 150'den fazla CA'nın en zayıf olduğu kadar zayıflatır. Evet, bu neden olan korkutucu ve bu kadar muhtemelen en büyük eleştiri insanların tüm bu planın var. Yine de buna bağlı kaldık.

Demek istediğim, "iyi" sertifikalar vermek için bir CA'ya güvenmiyorsanız, sertifikalarınızı başka bir yere götürmeniz size pek yardımcı olmaz.

Gotcha, her şey eşit derecede mahkumdur. Hiç uyarı yok mu?

Weeeelllll ...

1. Son bölümde belirttiğim noktayı öldürmeye başlayalım. Günümüzde , etki alanınızı DNS-CAA kullanarak yalnızca seçtiğiniz CA'lara kilitlemek mümkündür . Comodo'ya güvendiğinizi ve diğer CA'lara güvenmediğinizi varsayalım, Comodo dışındaki tüm CA'ların etki alanınız için sertifika vermemesini istemek mümkündür. Teoride. (Çünkü DNS-CAA tarayıcılar tarafından kontrol edilmez, yalnızca CA'ları verir. Bu nedenle, tehlikeye atılan bir CA bu korumayı görmezden gelebilir.)

   Bu sorunu yaşamaya istekli iseniz, o zaman soru şu olur: Let's Encrypt aslında daha az güvenilir mi? Ya da daha az güvenli? Güvenilirlik zor bir iştir, bunu nasıl ölçersiniz? Söyleyebileceğim tek şey , benim görüşüme göre Let's Encrypt diğer CA'lardan daha az güvenilir değildir. Doğrulamalarının güvenliğine gelince, ticari CA'ların yaptıklarına çok benzerler (zaten DV sertifikaları için). Ayrıca bu soruya bakınız .

   Buna değer: bu sitenin bir parçası olduğu StackExchange ağı, şu anda Let's Encrypt sertifikalarını kullanıyor. Çoğu insan bunu asla farketmez ve bunu yaparlarsa, kendileri için çok şey ifade edip edemeyeceğinden şüpheliyim.

2. Bir sertifikanın anlamlı olması için, veren CA'ya yazılım satıcıları tarafından güvenilmesi gerekir , aksi halde sertifika kullanılamaz. Firefox'u örnek olarak kullandım, ancak gerçekten CA'nın Firefox, Chrome, Windows, Mac OS X, iOS ve Android sürümlerinin en azından güncel ve biraz daha eski sürümleri tarafından güvenilmesini istiyorsunuz. Ve onlarca küçük oyuncu. Düşünülmeye değer CA'lar (ComodoSSL ve Let's Encrypt dahil) tüm bu kuruluşlar tarafından güvenilir.

3. Bir CA yanlış davranırsa veya güvenilmez olarak ortaya çıkarsa , sertifika sahiplerinin gününü mahvedecek kadar hızlı bir şekilde çeşitli mağazalardan kaldırılır . Bildiğim iki önemli örnek, DigiNotar ve StartCom / WoSign'dir (makalelere bakın, güven dinamikleri hakkında ilginç bilgiler sağlar!). Öyleyse, Let's Encrypt'ın berbat edeceğini veya başka bir sebepten dolayı düşürüleceğini düşünüyorsanız, bunları kullanmamanız, belirli bir düşüşe yakalanmanızı önler.

4. Sertifikalar bazı şifreleme sihirlerini kullanır ; soru hangi kripto matematik büyü ? Ya zayıf sihirse? Bu aslında gerçek bir endişe ve CA'lar da bunu geliştirmek için ayaklarını sürüklediklerini gösterdi. Neyse ki, tarayıcı satıcıları sertifikaları kabul etmek için burada minimumları ayarlayarak gevşemiş. Örneğin, RSA-1024 veya SHA-1 kullanan sertifikalar artık çoğu tarayıcı tarafından reddedilmiştir; bu nedenle pratikte çalışan hiçbir sertifika bu kullanımdan kaldırılmış kripto ilkelerini kullanmaz. Sonuç olarak, artık herhangi bir CA'nın (Let's Encrypt dahil) bu bölümü hayal kırıklığına uğratması oldukça zor .

5. Önceden, az ya da çok, tüm sertifikaların eşit yaratıldığını söyledim. Yalan söyledim değiller. Özellikle, şu ana kadar tartıştığım şey, web sitelerinin büyük çoğunluğunun kullandığı “ Etki Alanı Doğrulandı (DV) sertifikaları” dır. Tarayıcınızın URL çubuğunda gösterdiği alanla gerçekte konuştuğundan emin olmalarını sağlarlar. Ayrıca CA'lardan çok daha ayrıntılı kontroller gerektiren " Onaylı Kuruluş (OV)" ve " Genişletilmiş Doğrulama (EV)" sertifikaları da vardır. Özellikle, yalnızca EV sertifika almak gerekir somebank.comaslında kanıtlamak eğer, / SomeBank Inc. olan SomeBank, Inc.

   EV sertifikaları elde etmek çok daha maliyetlidir (basketbol sahası: yılda yüzlerce EUR / USD) ve tarayıcıda yeşil bir URL çubuğu veya asma kilit ile ödüllendirilebilirler, belki de "SomeBank, Inc." yanı sıra. DV sertifikalarının aksine, web sitesinin gerçekte kime ait olabileceği konusunda da bazı fikirler sunar. Baş, daha yasal görünebilir. Hayal kırıklığı, kullanıcıların nadiren onlara dikkat etmeleridir, bu yüzden etkinlikleri sınırlıdır.

   Sahte bir DV sertifikasına sahip bir saldırgan, bir EV sertifikasının sunabileceği ekstra görsel ipucu olmadan siteyi taklit edebilir ve kullanıcılar genellikle bu farkı görmezler. Aksine, kimlik avını kolaylaştırmak için yanıltıcı bir EV sertifikası almak mümkündür . Sonuç olarak, hem Krom ve Firefox EV sertifikaları onların görsel sallıyor bırakarak olacak ve bazı insanlar inanmak onlar tamamen ortadan kalkar.

   Banka iseniz, muhtemelen hala bir EV sertifikası isteyeceksiniz. Aksi takdirde, çok değil. Eğer Ama eğer yapmak EV ihtiyaç basitçe EV sertifikalarını sunmuyoruz çünkü edelim şifreleme sizin için değil.

6. Sertifikalar yalnızca sınırlı bir süre için geçerlidir . Tipik bir ticari CA'dan alınan sertifikalar bir yıl geçerli olma eğilimindedir, ancak üç aydan üç yıla kadar bir şey gördüm. Let's Encrypt sertifikaları, bu aralığın kısa tarafında bulunan 90 gün boyunca geçerlidir , bu yüzden sık sık yenilemeniz gerekir. Let's Encrypt kullanıcıları için bu genellikle otomatiktir, böylece sertifikalar her 60 günde bir değiştirilir.

   Yaygın olarak kullanılabilen bir yazılımla yenilemeyi otomatikleştirebilmek, aslında yıllıktan daha keyifli Oh kahretsin, sertifikam süresi doldu mu? CA'daki giriş bilgilerim nedir? Bu tekrar nasıl çalışır? çoğu küçük sitenin ticari CA'larda olduğu anlaşılıyor.

7. Önceleri, hepimizin güvenmesi gereken çok sayıda CA olduğu için korkutucu olarak adlandırdım. Yine de birçok CA'ya sahip olmak aynı zamanda, tek bir tanesini güven mağazalarımızdan çıkarmanın kullanıcılar üzerinde sınırlı bir etkiye sahip olması açısından da bir avantajdır. Özellikle, tek bir CA'nın çıkarılması yalnızca bu CA tarafından verilen sertifikaları etkiler. Herkes tek bir CA kullanarak biterse ( bazı insanların Let's Encrypt ile olabileceğinden korkuyor ), tüm güvenimizi orada yoğunlaştırıyoruz ve bu parçalanmanın avantajlarını kaybediyoruz.

8. Son olarak, ticari bir destek veya bir milyon dolarlık SSL garantisi gibi, ücretli bir CA'nın sağlayabileceği başka avantajlar da var . Bu yönlerin her ikisine de çok az inancım var, ancak en Şifrele'nin sunmadığı şeyler.

Başım ağrıyor ... Bir sorum vardı sanırım?

Kendini rahat hissettiğini kullan! DV sertifikaları için, çeşitli CA'ları gerçekten ayıran çok az şey var. Let's Encrypt'ı hem profesyonel hem de özel olarak kullanıyorum ve bundan mutluyum.

Let's Encrypt'tan kaçınmam için gerçekten görmem gereken dört neden var:

• EV (veya OV) sertifikalarına ihtiyacınız varsa.
• Sertifika yenilemeyi otomatikleştirmek istemiyorsanız veya istemiyorsanız ve üç aylık sertifika geçerliliği sizin için çok kısa.
• Let's Encrypt'a güvenmiyorsanız (ancak DNS-CAA gibi diğer önlemleri de göz önünde bulundurduğunuzdan emin olun ve muhtemelen tarayıcınızda Let's Encrypt adlı kullanıcıyı da kara listeye almalısınız).
• Let's Encrypt uygulamasının durdurulacağına veya bir nedenle tarayıcılardan atılacağına inanıyorsanız.

Bunlardan hiçbiri sizin için geçerli değilse, sertifikalarınızın ücretini ödemekten çekinmeyin.

Let's Encrypt, bahsettiğinizler de dahil olmak üzere, birçok yönden üstündür:

1. Bedava. Bunu geçmek zor.
2. Otomatik olarak yenilendi (eminim sadece Let's Encrypt ile özel değil)
3. Kurulumu oldukça kolay.
4. Google, SEO ve güvenlik söz konusu olduğunda çok büyük bir anlaşma olan imzalı bir SSL olarak desteklemektedir.

Ancak, birkaç eksilerini vardır.

1. Sitenin sahibi olmanızın bazı web sitelerinin ev sahipleriyle uyumlu olmadığından emin olmak için üzerinde çalıştığımız doğrulama sistemi, InfinityFree üzerinde Let's Encrypt çalışmasını sağlamak için oldukça fazla baş ağrılarım oldu ve ben sadece kaderi kabul ettim. Yapamayacağımı.
2. Açık kaynak kodlu olduğu için “Bu bozulursa size yardımcı olacağız” diyen herhangi bir sigorta almazsınız, Let's Encrypt işe yaramazsa ya da bir şekilde çatlaksa, kendi başınıza kalırsınız.

LetsEncrypt sertifikaları mükemmeldir. Sertifika almak yerine kendim kullanıyorum. Birkaç dezavantajı var:

• LetsEncrypt sertifikaları sadece 3 aydır. En çok satın alınan sertifikalar bir veya iki yıl için iyidir. Bu, sertifikalarınızı yenilemek için kesinlikle otomatik bir işleme ihtiyaç duyacağınız veya unutulması çok kolay olacağı anlamına gelir.
• LetsEncrypt sadece en düşük onaylama tipi sertifika sunar. Etki Alanı Doğrulama (DV) yalnızca sertifikanın sahibinin etki alanı üzerinde kontrol sahibi olduğunu doğrular. Organizasyon Doğrulama (OV) sertifikaları ayrıca sertifika isteyen kişinin veya şirketin belgelerini de kontrol eder. Genişletilmiş Doğrulama (EV) sertifikaları daha da fazla kontrol gerektirir. Sertifikanız ne kadar iyi olursa, sahte olması zorlaşır ve sitenizin orijinalliği bu nedenle güvenilir olabilir. Uygulamada, tarayıcılar EV sertifikalarına yalnızca görsel bir onay verir ve genellikle adres çubuğunda onlar için yeşil bir şey gösterir. Bu noktaya kadar, çoğu kullanıcı farklı doğrulama seviyelerini bilmez veya önemsemez.
• Wild card sertifikaları, LetsEncrypt'tan edinmek biraz daha zor. Diğer yerlerden genellikle daha fazla para ödersiniz. LetsEncrypt, joker karakterler sertifikaları için DNS doğrulaması gerektirir.

Tarihsel olarak, güvenlik sertifikaları her zaman bir şeylere mal olmuştur. Ücretsiz sertifikalar sunan diğer şirketler geldi ve geçti. Bazı gölgeli şeyler yapana kadar tek bir etki alanı ücretsiz sertifikası sunan StartSSL kullanıyordum ve tarayıcılar sertifikalarına güvenmeyi bıraktılar. LetsEncrypt, önceki ücretsiz sertifika satıcılarından daha az limite sahiptir ve çok daha otomatiktir. Ayrıca EFF, Mozilla, Chrome ve Cisco gibi bazı büyük destekçilere sahiptir. Bkz. Https://letsencrypt.org/sponsors/ Yıllarca sürmesini beklediğimden yeterince iyi görünmüyor.

Her şey otomatik yenilemeyi kullanamaz

CertBot web siteleri için kullanımı kolaylaştırır ... peki ya başka şeyler için sertifika kullanıyorsanız?

Web sitemizin kimliğini doğrulayan bir LDAP sunucumuz var. Güvenli bir bağlantı noktasından geçiyor, ancak çalışması için imzalı bir sertifikaya ihtiyacı var. Ücretsiz bir joker sertifika ile gidebilirim ... ancak bu, sertifikayı her 3 ayda bir PKCS12'ye dönüştürmek anlamına gelir (web sunucuları PEM kullanır) ve ardından yeni sertifikayı alır. Oh, ve ağ güvenlik duvarımız da PKCS12 kullanıyor. Bu ücretsiz bir sürü güçlük.

Bunun basit cevabı birçok web yöneticisinin gereksiz yere zamanlarını boşa harcayan bu şeyleri yapmak istememeleridir. Letsencrypt durumunda kullanımı kolay ve ücretsizdir ancak sertifikayı her 3 ayda bir hatırlayıp yeniden yüklemeniz gerekir. Bunu yapmazsanız veya yapmayı unutursanız, site ziyaretçilerinize ve arama motorlarınıza 404 hatası gösterir.