Let's Encrypt предоставляют бесплатные SSL-сертификаты. Есть ли недостатки по сравнению с другими платными сертификатами, например, AWS Certificate Manager ?
Ответы:
Чем короче продолжительность жизни, тем лучше. Просто потому, что отзыв является в основном теоретическим, на практике на него нельзя положиться (большая слабость в публичной экосистеме PKI).
Без автоматизации: более длительный срок службы более удобен. LE может оказаться невозможным, если вы по какой-либо причине не можете автоматизировать управление сертификатами.
С автоматизацией: срок службы не имеет значения.
Конечные пользователи вряд ли будут иметь какое-либо представление, так или иначе.
Letsencrypt обеспечивает только уровень проверки DV.
Покупая сертификат, вы получаете все, за что платите (начиная с DV, с тем же уровнем подтверждения, что и с LE).
DV = проверен только контроль доменного имени.
OV = информация о собственнике (организации) проверяется дополнительно.
EV = более полная версия OV, которая традиционно была награждена «зеленой полосой» (но «зеленая полоса», похоже, скоро исчезнет).
При использовании LE работа, которую вы выполняете, заключается в настройке необходимой автоматизации (в этом контексте, чтобы доказать контроль домена). Сколько работы это будет зависеть от вашей среды.
При покупке сертификата уровень DV / OV / EV будет определять, сколько ручной работы потребуется для получения сертификата. Для DV это обычно сводится к тому, чтобы пройти через мастера, заплатив и скопировав / вставив что-либо или щелкнув по чему-либо, для OV и EV вы можете в значительной степени рассчитывать на то, что вам нужно будет связаться отдельно, чтобы выполнить дополнительные действия для подтверждения вашей личности.
Конечные пользователи, вероятно, распознают текущую «зеленую полосу» EV (которая исчезает), за исключением того, что они обычно не смотрят на содержимое сертификата.
Теоретически, тем не менее, это явно более полезно с сертификатом, в котором указывается информация о контролирующем объекте. Но браузеры (или другие клиентские приложения) должны начать показывать это полезным способом, прежде чем это окажет какое-либо влияние на типичного пользователя.
Можно сделать что-то неправильно, используя секретные ключи или подобное. С LE предоставляемая оснастка основана на разумных методах.
С человеком, который знает, что они делают, ручные шаги, очевидно, также могут быть выполнены безопасно.
LE очень рассчитан на автоматизацию всех процессов, их сервис полностью основан на API, а короткий срок службы также отражает то, как все сосредоточено вокруг автоматизации.
При покупке сертификата, даже с центром сертификации, который предоставляет API-интерфейсы для постоянных клиентов (на данный момент это не совсем норма), будет трудно правильно автоматизировать что-либо, кроме DV, а с DV вы платите по существу за то же самое, что обеспечивает LE.
Если вы собираетесь на уровни OV или EV, вы можете, вероятно, только частично автоматизировать процесс.
Если установка выполнена правильно, конечный пользователь, очевидно, не будет знать, как это было сделано. Шансы испортить вещи (например, забыть обновить или неправильно выполнить установку при обновлении) меньше с автоматическим процессом.
Традиционные способы покупки сертификатов особенно полезны, если вам нужны сертификаты OV / EV, вы не автоматизируете управление сертификатами или хотите, чтобы сертификаты использовались в каком-то ином контексте, чем HTTPS.
С чисто технической точки зрения:
openssl x509 -in cert.pem -noout -text
Расширенное использование ключа X509v3:
аутентификация веб-сервера TLS, аутентификация веб-клиента TLS
С точки зрения конечного пользователя:
Я хотел бы предложить некоторые контраргументы для аргументов, используемых против Let's Encrypt здесь.
Короткая жизнь
Да, они имеют короткий срок службы, как описано в FAQ: https://letsencrypt.org/2015/11/09/why-90-days.html Цитировать страницу:
Они ограничивают ущерб от компрометации ключа и неправильной выдачи. Украденные ключи и неправильно выданные сертификаты действительны в течение более короткого периода времени.
Они поощряют автоматизацию, которая абсолютно необходима для простоты использования. Если мы собираемся перевести весь Интернет на HTTPS, мы не можем продолжать ожидать, что системные администраторы будут обрабатывать обновления вручную. Как только выдача и продление автоматизированы, более короткие сроки службы не будут менее удобными, чем более продолжительные.
Недостаток EV
Нет никакого плана для поддержки EV. Рассуждения (из https://community.letsencrypt.org/t/plans-for-extended-validation/409 ):
Мы ожидаем, что Let's Encrypt не будет поддерживать EV, потому что процесс EV всегда будет требовать человеческих усилий, что потребует от кого-то оплаты. Наша модель заключается в бесплатной выдаче сертификатов, что требует автоматизации уровня, которая не совместима с EV.
Кроме того, некоторые считают, что EV вреден, например, этот блог ( https://stripe.ian.sh/ ):
Джеймс Бертон, например, недавно получил сертификат EV для своей компании «Identity Verified». К сожалению, пользователи просто не имеют возможности разобраться с нюансами этих объектов, и это создает значительный вектор для фишинга.
Классический реальный пример этого - sslstrip. Гомографические сайты с законно купленными сертификатами являются реальной атакой, для которой EV в настоящее время не обеспечивает достаточной защиты.
Есть две группы недостатков, которые стоит рассмотреть.
1. Недостатки использования сервиса Let's Encrypt
Let's Encrypt требует, чтобы точное имя или (суб) домен, если вы запрашиваете подстановочный знак, существовал в общедоступной DNS Интернета. Даже если вы подтвердите свой контроль над example.com, Let's Encrypt не выдаст вам сертификаты для some.other.name.in.example.com, не увидев их в общедоступном DNS. У названных машин не должно быть записей публичных адресов, они могут быть отключены или даже физически отключены, но публичное DNS-имя должно существовать.
Давайте зашифруем сертификаты с продолжительностью жизни 90 дней, что означает, что вам нужно автоматизировать, потому что на это ни у кого нет времени. На самом деле это и есть цель службы - направлять людей на автоматизацию этой важной работы, а не на извращенное выполнение ее вручную, когда они автоматизируют многие более сложные задачи. Но если вы по какой-либо причине не можете автоматизировать, это отрицательно - если у вас есть инструменты, устройства или что-либо, что блокирует автоматизацию, учитывайте любые коммерческие расходы на сертификацию SSL как часть текущих затрат на эти инструменты / устройства / что угодно в планировании затрат. Наоборот, это компенсирует экономию от того, что не нужно покупать коммерческие сертификаты при оценке новых инструментов / приборов / и так далее, которые автоматизируют это (с Let's Encrypt или нет)
Доказательство автоматизации шифрования Let's Encrypt может не соответствовать правилам вашей организации. Например, если у вас есть сотрудники, которым разрешено переконфигурировать Apache, но не должны получать сертификаты SSL для доменных имен компании, тогда Let's Encrypt плохо подходит. Обратите внимание, что в этом случае просто не использовать их - неправильная вещь (TM), вы должны использовать CAA для явного отключения Let's Encrypt для ваших доменов.
Если политика Let's Encrypt откажет вам, единственный «апелляционный суд» - это спросить на своих публичных форумах и надеяться, что один из их сотрудников сможет предложить путь для продвижения вперед. Это может произойти, если, например, ваш сайт имеет DNS-имя, которое, по мнению их систем, «схоже до степени смешения» с некоторыми известными свойствами, такими как крупные банки или Google. По понятным причинам точные политики каждого общедоступного центра сертификации в этом отношении не открыты для публичного контроля, поэтому вы можете понять, что не можете получить сертификат Let's Encrypt, когда запросите его и получите ответ «Политика запрещает ...».
2. Недостатки самого сертификата Let's Encrypt
Сегодня сертификатам Let's Encrypt доверяют основные веб-браузеры через ISRG (благотворительная организация, предоставляющая услугу Let's Encrypt), но старые системы доверяют Let's Encrypt через IdenTrust, относительно неясный центр сертификации, который контролирует «DST Root CA X3». Это делает работу для большинства людей, но это не самый широко доверенный корень в мире. Например, на заброшенной консоли Nintendo WiiU был установлен веб-браузер, очевидно, Nintendo не будет поставлять обновления для WiiU, поэтому браузер заброшен и не доверяет Let's Encrypt.
Let's Encrypt выдает только сертификаты для веб-PKI-серверов с интернет-именами, которые используют протокол SSL / TLS. Так что, очевидно, это Интернет, и ваш IMAP, SMTP, некоторые типы VPN-серверов, десятки вещей, но не все. В частности, Let's Encrypt вообще не предлагает сертификатов для S / MIME (способ шифрования электронной почты в состоянии покоя, а не только во время передачи), а также для подписи кода или подписи документа. Если вам нужен «универсальный магазин» для сертификатов, это может быть достаточной причиной, чтобы не использовать Let's Encrypt.
Даже в веб-PKI Let's Encrypt предлагает только сертификаты «DV», что означает, что в сертификате не упоминаются никакие подробности о вас или вашей организации, кроме полных доменных имен. Даже если вы записываете их в CSR, они просто отбрасываются. Это может быть блокиратором для некоторых специализированных приложений.
Давайте зашифруем автоматизацию означает, что вы ограничены именно тем, что позволяет автоматизация, даже если нет других причин, по которым у вас ничего не может быть. Новые типы открытого ключа, новые расширения X.509 и другие дополнения должны быть явно разрешены Let's Encrypt на их собственной временной шкале, и, конечно, вы не можете просто доплатить, чтобы получить нужные вам функции, хотя пожертвования приветствуются.
Тем не менее, почти для всех, почти всегда, Let's Encrypt - хороший выбор для размещения сертификатов на ваших серверах TLS. Начнем с предположения, что вы будете использовать Let's Encrypt - разумный способ приблизиться к этому решению.
Если вам не нужен сертификат для чего-то другого, кроме Интернета , нет никаких реальных недостатков, но они наверняка воспринимаются . Хотя проблемы воспринимаются только как владелец веб-сайта, у вас может не быть другого выбора, кроме как решить их (если деловые интересы запрещают указывать средний палец).
Единственным большим недостатком является то, что ваш сайт покажет себя несколько хуже, может быть и опасно, потому что у него нет отличного зеленого значка, который есть у некоторых других сайтов. Что означает этот значок? Не важно. Но это говорит о том, что ваш сайт "безопасен" (некоторые браузеры даже используют это точное слово). Увы, пользователи это люди, а люди тупые. Тот или иной признает ваш сайт ненадежным (без понимания каких-либо последствий) только потому, что браузер не говорит, что он безопасен.
Если игнорирование этих клиентов / посетителей является действительной возможностью, нет проблем. Если вы не можете себе это позволить, вам придется тратить деньги. Нет другого варианта.
Другая предполагаемая проблема связана с временем жизни сертификата. Но на самом деле это преимущество, а не недостаток. Более короткий срок действия означает, что сертификаты должны обновляться чаще, как на стороне сервера, так и на стороне клиента, хорошо.
Что касается серверной стороны, это происходит с cronработой, так что это на самом деле меньше хлопот и надежнее, чем обычно. Ни один способ забыть, ни один способ опоздать, ни один случайный случай не может сделать что-то не так, нет необходимости входить в систему с учетной записью администратора (... более одного раза). На стороне клиента, ну и что. Браузеры постоянно обновляют сертификаты, это не важно. Пользователь даже не знает, что это происходит. Там очень немного больше трафика , который будет иметься при обновлении каждые 3 месяца , а не каждые 2 года, но серьезно ... что это не проблема.
web? Сертификаты letsencrypt были недостаточны для меня, потому что я должен был запустить свой собственный почтовый сервер
Я добавлю один, который заставил моего работодателя частично отказаться от Lets Encrypt: ограничение скорости API. Из-за короткого срока службы и отсутствия поддержки подстановочных знаков очень легко приблизиться к ограничениям скорости при обычных автоматических операциях (автоматическое обновление и т. Д.). Попытка добавить новый поддомен может привести к превышению предела скорости, и LE не сможет вручную отменить ограничение после нажатия. Если вы не создадите резервную копию старых сертификатов (кто будет делать это в автоматизированной облачной среде микросервисов, как предполагает LE?), Все затронутые сайты перейдут в автономный режим, поскольку LE не будет переиздавать сертификаты.
Когда мы поняли, что произошло, наступил момент «о $ #! #», За которым последовала экстренная коммерческая заявка на получение сертификата, чтобы вернуть производственные площадки в оперативный режим. Один с более разумной продолжительностью жизни 1 год. Пока LE не внедрит надлежащую поддержку подстановочных знаков (и даже тогда), мы будем очень осторожно относиться к их предложениям.
Ограничения Tl; dr: LE wildcard + API делают управление чем-то более сложным, чем «Моя личная домашняя страница», неожиданно сложными и способствуют плохой практике безопасности на этом пути.
Да.
Недостаток использования бесплатного или зашифрованного SSL-сертификата
Проблема совместимости. Давайте зашифруем SSL-сертификат, несовместимый со всеми платформами. Смотрите эту ссылку, чтобы узнать список несовместимых платформ -
Меньше срока действия - давайте зашифруем SSL-сертификат с ограниченным сроком действия 90 дней. Вы должны обновлять свой SSL-сертификат каждые 90 дней. Где в качестве платного SSL, как Comodo, срок действия составляет 2 года.
Нет проверки бизнеса - Бесплатный сертификат SSL требует только проверки домена. Нет проверки бизнеса или организации, чтобы гарантировать пользователей для юридического лица.
Подходит для сайтов малого бизнеса или блогов. Как я добавил в последнем пункте, можно получить бесплатный или зашифрованный SSL-сертификат через подтверждение владения доменом, что не подходит для веб-сайта бизнеса или электронной коммерции, где доверие и безопасность являются основным фактором для бизнеса.
Нет зеленой адресной строки - у вас не может быть зеленой адресной строки с бесплатным сертификатом SSL. Сертификат SSL расширенной проверки - это единственный способ отобразить название вашей компании в зеленой адресной строке в браузере.
Нет поддержки - если вы застряли между прочим с помощью Let's encrypt, вы можете получить онлайн-чат или позвонить в службу поддержки. Вы можете связаться через форумы только, чтобы избавиться от проблемы.
Дополнительные функции безопасности - бесплатный сертификат SSL не предлагает никаких дополнительных функций, таких как бесплатное сканирование на наличие вредоносных программ, печать сайтов и т. Д.
Никаких гарантий - Бесплатный SSL-сертификат или сертификат «Зашифруем» не предоставляет никаких гарантийных сумм, в то время как платный SSL-сертификат предоставляет гарантию от 10 000 до 1 750 000 долларов.
Согласно сообщению , на фишинговых сайтах PayPal выдано 14 766 SSL-сертификатов Let's Encrypt, поскольку для этого требуется только проверка домена
Так что, согласно моей рекомендации, платить за SSL-сертификат действительно стоит.
После некоторых исследований я обнаружил, что сертификаты Let's Encrypt менее совместимы с браузерами, чем платные сертификаты. (Источники: давайте зашифруем против Comodo PositiveSSL )