มีเหตุผลในการใช้ใบรับรอง SSL อื่นที่ไม่ใช่ SSL ฟรีของ Encrypt หรือไม่


141

Let's Encryptกำลังให้บริการใบรับรอง SSL ฟรี มีข้อเสียใด ๆ เมื่อเทียบกับคนอื่น ๆ จ่ายใบรับรองเช่นผู้จัดการ AWS รับรอง ?


1
ฉันได้ลบความคิดเห็นส่วนใหญ่เกี่ยวกับการถกเถียงที่ไม่มีจุดหมายถ้า LE นั้นมีความน่าเชื่อถือน้อยกว่าโดยธรรมชาติเนื่องจากเป็นอิสระ
สเวน

คำตอบ:


126

อายุการใช้งานใบรับรอง

ความปลอดภัย

อายุการใช้งานที่สั้นกว่าจะดีกว่า เพียงเพราะการเพิกถอนเป็นส่วนใหญ่ตามทฤษฎีในทางปฏิบัติไม่สามารถพึ่งพาได้ (จุดอ่อนใหญ่ในระบบนิเวศ PKI สาธารณะ)

การจัดการ

ไม่มีระบบอัตโนมัติ: อายุการใช้งานอีกต่อไปจะสะดวกกว่า LE อาจเป็นไปไม่ได้หากคุณไม่สามารถจัดการใบรับรอง
โดยอัตโนมัติไม่ว่าด้วยเหตุผลใดก็ตามด้วยระบบอัตโนมัติ: อายุการใช้งานไม่สำคัญ

ความประทับใจของผู้ใช้

ผู้ใช้ปลายทางไม่น่าจะมีความคิดใด ๆ ไม่ทางใดก็ทางหนึ่ง

ระดับการตรวจสอบ

ความปลอดภัย

Letsencrypt ให้การตรวจสอบระดับ DV เท่านั้น
ซื้อใบรับรองคุณจะได้รับทุกสิ่งที่คุณจ่าย (เริ่มต้นที่ DV พร้อมการยืนยันในระดับเดียวกับ LE)

DV = ตรวจสอบการควบคุมชื่อโดเมนเท่านั้น
ข้อมูล OV = เจ้าขององค์กร (องค์กร) ได้รับการตรวจสอบเพิ่มเติม
EV = เวอร์ชั่น OV ที่ละเอียดยิ่งขึ้นซึ่งได้รับรางวัลแบบดั้งเดิมด้วย "แถบสีเขียว" (แต่แถบ "แถบสีเขียว" จะหายไปในไม่ช้า)

การจัดการ

เมื่อใช้ LE งานที่คุณใส่คือตั้งค่าระบบอัตโนมัติที่จำเป็น (ในบริบทนี้เพื่อพิสูจน์การควบคุมโดเมน) การทำงานที่ขึ้นอยู่กับสภาพแวดล้อมของคุณ

เมื่อซื้อใบรับรองระดับ DV / OV / EV จะกำหนดปริมาณงานที่ต้องทำด้วยตนเองเพื่อให้ได้ใบรับรอง สำหรับ DV โดยทั่วไปแล้วจะต้องผ่านตัวช่วยสร้างการจ่ายเงินและคัดลอก / วางบางสิ่งบางอย่างหรือคลิกอะไรบางอย่างสำหรับ OV และ EV คุณสามารถวางใจได้ว่าต้องได้รับการติดต่อแยกต่างหากเพื่อทำขั้นตอนเพิ่มเติมเพื่อยืนยันตัวตนของคุณ

ความประทับใจของผู้ใช้

ผู้ใช้อาจจำ EV "แถบสีเขียว" ปัจจุบัน (ซึ่งกำลังจะหายไป) นอกเหนือจากที่พวกเขามักจะไม่ดูเนื้อหาใบรับรองจริง ๆ
ในทางทฤษฎีแล้วมันมีประโยชน์ชัดเจนกว่ากับใบรับรองที่ระบุข้อมูลเกี่ยวกับเอนทิตีที่ควบคุม แต่เบราว์เซอร์ (หรือแอปพลิเคชันไคลเอนต์อื่น ๆ ) จะต้องเริ่มต้นแสดงสิ่งนี้ด้วยวิธีที่มีประโยชน์ก่อนที่จะมีผลกระทบใด ๆ ต่อผู้ใช้ทั่วไป

การติดตั้ง

ความปลอดภัย

เป็นไปได้ที่จะทำสิ่งต่าง ๆ อย่างไม่ถูกต้องในรูปแบบที่เปิดเผยกุญแจส่วนตัวหรือสิ่งที่คล้ายกัน ด้วย LE เครื่องมือที่ให้มานั้นถูกตั้งค่าตามหลักปฏิบัติที่สมเหตุสมผล
เมื่อมีคนที่รู้ว่ากำลังทำอะไรขั้นตอนที่ต้องทำด้วยตนเองสามารถทำได้อย่างปลอดภัย

การจัดการ

LE มีความตั้งใจอย่างยิ่งที่จะให้กระบวนการทั้งหมดเป็นไปโดยอัตโนมัติบริการของพวกเขานั้นเป็นไปตาม API ทั้งหมดและอายุการใช้งานสั้นยังสะท้อนให้เห็นว่าทุกอย่างอยู่ตรงกลางรอบระบบอัตโนมัติ

เมื่อซื้อใบรับรองแม้จะมี CA ที่ให้บริการ API ให้กับลูกค้าทั่วไป (ไม่ใช่มาตรฐานในตอนนี้) มันจะยากที่จะดำเนินการอัตโนมัติอย่างอื่นนอกเหนือจาก DV และ DV ที่คุณจ่ายสำหรับสิ่งเดียวกันกับที่ LE ให้
หากคุณกำลังจะไปสู่ระดับ OV หรือ EV คุณสามารถทำได้โดยอัตโนมัติเพียงบางส่วน

ความประทับใจของผู้ใช้

หากการติดตั้งเสร็จสิ้นอย่างถูกต้องผู้ใช้ปลายทางจะไม่ทราบวิธีการใช้งาน โอกาสในการเลอะสิ่งต่าง ๆ (เช่นการลืมที่จะต่ออายุหรือทำการติดตั้งอย่างไม่ถูกต้องเมื่อต่ออายุ) จะน้อยกว่าด้วยกระบวนการอัตโนมัติ

Adj] ทั้งหมด, รวมทั้งหมด, รวมทั้งสิ้น

วิธีการซื้อใบรับรองแบบดั้งเดิมนั้นมีประโยชน์อย่างยิ่งหากคุณต้องการใบรับรอง OV / EV ไม่ใช่การจัดการใบรับรองอัตโนมัติหรือต้องการใช้ใบรับรองในบริบทอื่นนอกเหนือจาก HTTPS


3
ในบางกรณีมีการประกันด้านในกรณีของการประนีประนอมด้าน CA
John Keates

22
คุณมีแหล่งที่มาเกี่ยวกับ EV หายไปหรือไม่?
jamesbtate

4
@Puddingfox จุดที่ดี ฉันจะต้องค้นหาสถานะปัจจุบันและอาจมีคุณสมบัติมากกว่านี้หากจำเป็น ที่กล่าวว่าไม่ใช่ EV certs ที่กำลังจะหายไป แต่ตัวบ่งชี้ UI ของแถบสีเขียวที่เกี่ยวข้อง
Håkan Lindqvist

5
จากประสบการณ์ของฉันคุณสามารถใช้ Lets Encrypt เพื่อส่งเมลได้ดังนั้นจึงมีความยืดหยุ่นเพียงพอสำหรับวัตถุประสงค์ดังกล่าว
Manngo

10
@kloddant Huh คุณจะเรียกใช้สคริปต์มากกว่าหนึ่งครั้งต่อระยะเวลาการต่ออายุและแน่นอนเช่นเดียวกับกระบวนการอัตโนมัติอื่น ๆ ก็ต้องมีการตรวจสอบ (ซึ่งก่อให้เกิดก่อนที่ใบรับรองหมดอายุ)
Jonas Schäfer

76

จากมุมมองทางเทคนิคอย่างหมดจด:

  • ความจริงที่ว่าใบรับรองจะใช้ได้เพียง 3 เดือน สามารถสร้างความรำคาญให้กับการบำรุงรักษาทั้งนี้ขึ้นอยู่กับกระบวนการจัดการการเปลี่ยนแปลงและโครงสร้างพื้นฐานของคุณ
  • จุดประสงค์ของใบรับรอง Let's Encrypt มี จำกัด คุณไม่สามารถใช้มันสำหรับอีเมลของคุณการเซ็นชื่อโค้ดหรือการประทับเวลา
    ตรวจสอบกับ: openssl x509 -in cert.pem -noout -text

    การใช้งาน X509v3 Extended Key: การ
    ตรวจสอบความถูกต้องของเซิร์ฟเวอร์เว็บ TLS, การตรวจสอบสิทธิ์ไคลเอ็นต์เว็บ TLS

จากมุมมองของผู้ใช้:


23
โปรดทราบว่า Chrome กำลังเคลื่อนไปสู่การแสดงอะไรที่พิเศษสำหรับ HTTPS เลยและ OSX และ iOS รุ่นถัดไปที่สำคัญจะเห็น Safari ไม่แสดงอะไรเป็นพิเศษสำหรับ EV ดูเหมือนว่าผู้ค้าเบราว์เซอร์รายใหญ่เคลื่อนตัวออกห่างจาก EV เว็บไซต์ยอดนิยมหลายแห่งไม่ได้ใช้งาน
เกร็ก W

18
สำหรับประเด็นที่เกี่ยวกับการจัดการการเปลี่ยนแปลงแนวคิดเบื้องหลังอายุ 3 เดือนก็คือกระบวนการในการรับและต่ออายุใบรับรองนั้นเป็นกระบวนการอัตโนมัติทั้งหมด นั่นคือถ้าใช้ตามที่ตั้งใจไว้การเปลี่ยนแปลงจะเป็นการตั้งค่าระบบอัตโนมัตินั้นไม่ใช่ติดตั้งใบรับรองซ้ำ ๆ กันด้วยตนเอง แต่ถ้ามีนโยบายต่อต้านการทำสิ่งนั้นโดยอัตโนมัติ
Håkan Lindqvist

8
การตรวจสอบความถูกต้องของเซิร์ฟเวอร์เว็บ TLS นั้นเพียงพอสำหรับการรักษาความปลอดภัยเช่นเซิร์ฟเวอร์ SMTP, IMAP, POP3 แม้ว่ามันจะไม่ถูกต้องสำหรับ S / MIME
Michael Hampton

5
สำหรับผู้แสดงความคิดเห็น - โปรดทราบว่าข้อมูลข้างต้นเป็นวิกิชุมชนที่ตั้งใจให้แก้ไขโดยใครก็ตาม
HBruijn

12
@ ripper234 คุณหมายถึงต้องการเว็บไซต์ร้ายแรง / ผู้ใช้ที่เว็บไซต์ serverfault.com คุณอยู่ในขณะนี้? ไซต์นี้ไม่ใช้ใบรับรอง EV ไม่ใช่ google.com หรือ microsoft.com หรือ cisco.com และเบราว์เซอร์ก็ค่อยๆยุติแถบสีเขียว หากใบรับรอง EV เป็นสิ่งสำคัญสำหรับคุณโดยทั้งหมดจ่ายให้ แต่แน่นอนว่ามีจำนวนมากที่สำคัญและไซต์ที่ผู้ใช้หันมาหาข้อสรุปที่แตกต่างกันเกี่ยวกับคุณค่าของมัน
Zach Lipton

30

ฉันต้องการเสนอจุดโต้กลับสำหรับอาร์กิวเมนต์ที่ใช้กับ Let's Encrypt ที่นี่

อายุการใช้งานสั้น

ใช่พวกเขามีอายุสั้นตามที่อธิบายไว้ในคำถามที่พบบ่อย: https://letsencrypt.org/2015/11/09/why-90-days.htmlเพื่ออ้างถึงหน้า:

  1. พวกเขาจำกัดความเสียหายจากการประนีประนอมหลักและการออกผิด กุญแจที่ถูกขโมยและใบรับรองที่ออกโดยไม่ถูกต้องสามารถใช้ได้ในช่วงเวลาที่สั้นกว่า

  2. พวกเขาสนับสนุนระบบอัตโนมัติซึ่งจำเป็นอย่างยิ่งสำหรับการใช้งานง่าย หากเราจะย้ายเว็บทั้งหมดไปที่ HTTPS เราไม่สามารถคาดหวังได้ว่าผู้ดูแลระบบจะจัดการการต่ออายุด้วยตนเอง เมื่อการออกและต่ออายุนั้นเป็นแบบอัตโนมัติอายุการใช้งานที่สั้นลงจะไม่สะดวกกว่าการใช้งานที่ยาวนานกว่า

การขาด EV

ไม่มีแผนรองรับ EV เหตุผล (จากhttps://community.letsencrypt.org/t/plans-for-extended-validation/409 ) คือ:

เราคาดหวังว่า Let's Encrypt จะไม่สนับสนุน EV เพราะกระบวนการ EV จะต้องใช้ความพยายามของมนุษย์เสมอซึ่งจะต้องมีการจ่ายเงินให้ใครบางคน แบบจำลองของเราคือการออกใบรับรองโดยไม่เสียค่าใช้จ่ายซึ่งต้องการระบบอัตโนมัติระดับที่ดูเหมือนจะไม่เข้ากันกับ EV

นอกจากนี้ยังมีบางส่วนที่เชื่อว่า EV เป็นอันตรายเช่นบล็อกนี้ ( https://stripe.ian.sh/ ):

ตัวอย่างเช่น James Burton เพิ่งได้รับใบรับรอง EV สำหรับ บริษัท ของเขา "Identity Verified" น่าเสียดายที่ผู้ใช้ไม่พร้อมที่จะจัดการกับความแตกต่างของเอนทิตีเหล่านี้และสิ่งนี้สร้างเวกเตอร์ที่สำคัญสำหรับฟิชชิ่ง

ตัวอย่างของโลกแห่งความเป็นจริงที่คลาสสิคนี้คือ sslstrip ไซต์ที่มีการ Homograph ซึ่งมีใบรับรองที่ซื้อมาอย่างถูกกฎหมายนั้นเป็นการโจมตีในโลกแห่งความจริงซึ่ง EV ไม่ได้ให้การป้องกันที่เพียงพอในขณะนี้


6

มีข้อเสียสองกลุ่มที่ควรพิจารณา

1. ปฏิเสธการใช้บริการ Let's Encrypt

Let's Encrypt กำหนดให้ชื่อที่แน่นอนหรือโดเมน (sub-) หากคุณต้องการใช้ wildcard ใน DNS อินเทอร์เน็ตสาธารณะ แม้ว่าคุณจะพิสูจน์ควบคุม example.com แล้ว Let's Encrypt จะไม่ออกใบรับรองให้คุณ some.other.name.in.example.com โดยไม่เห็นสิ่งนั้นใน DNS สาธารณะ เครื่องที่ชื่อไม่จำเป็นต้องมีบันทึกที่อยู่สาธารณะพวกเขาสามารถปิดไฟร์วอลล์หรือแม้กระทั่งการตัดการเชื่อมต่อทางกายภาพ แต่ต้องมีชื่อ DNS สาธารณะ

ลองเข้ารหัสอายุการใช้งานของใบรับรอง 90 วันหมายความว่าคุณต้องดำเนินการอัตโนมัติเพราะไม่มีใครมีเวลาทำ นี่คือความตั้งใจในการให้บริการ - สำหรับคนที่มีต่อการทำสิ่งที่จำเป็นนี้โดยอัตโนมัติแทนที่จะทำด้วยตนเองอย่างดื้อรั้นในขณะที่พวกเขาทำงานโดยอัตโนมัติให้หนักขึ้น แต่ถ้าคุณไม่สามารถทำให้เป็นอัตโนมัติได้ไม่ว่าด้วยเหตุผลใดก็ตามมันเป็นลบ - หากคุณมีเครื่องมือเครื่องใช้หรือสิ่งใดก็ตามที่บล็อกการทำงานอัตโนมัติให้พิจารณาค่าใช้จ่ายใบรับรอง SSL เชิงพาณิชย์ซึ่งเป็นส่วนหนึ่งของค่าใช้จ่ายอย่างต่อเนื่องของเครื่องมือ / เครื่องใช้เหล่านั้น Contrariwise offset ออมจากการไม่จำเป็นต้องซื้อ certs เชิงพาณิชย์ในการกำหนดราคาของเครื่องมือ / appliances / etcetera ใหม่ที่เป็นแบบอัตโนมัติ (ด้วย Let's Encrypt หรือไม่)

หลักฐานการเข้ารหัสอัตโนมัติของระบบควบคุม Let's Encrypt อาจไม่สอดคล้องกับกฎขององค์กรของคุณ ตัวอย่างเช่นหากคุณมีพนักงานที่ได้รับอนุญาตให้กำหนดค่า Apache ใหม่ แต่ไม่ควรรับใบรับรอง SSL สำหรับชื่อโดเมนของ บริษัท Let's Encrypt นั้นเหมาะสม โปรดทราบว่าในกรณีนี้การไม่ใช้สิ่งนั้นคือ Wrong Thing (TM) คุณควรใช้ CAA เพื่อปิดการใช้งาน Let's Encrypt สำหรับโดเมนของคุณอย่างชัดเจน

หาก Let's Encrypt ปฏิเสธนโยบายของคุณ "ศาลแห่งการอุทธรณ์" เพียงอย่างเดียวคือถามในฟอรัมสาธารณะและหวังว่าพนักงานคนหนึ่งของพวกเขาจะสามารถนำเสนอหนทางข้างหน้าได้ สิ่งนี้อาจเกิดขึ้นหากเว็บไซต์ของคุณมีชื่อ DNS ว่าระบบของพวกเขาตัดสินใจว่า "คล้ายกันอย่างสับสน" กับอสังหาริมทรัพย์ที่มีชื่อเสียงบางแห่งเช่นธนาคารใหญ่หรือ Google ด้วยเหตุผลที่สมเหตุสมผลนโยบายที่แน่นอนของ CA สาธารณะแต่ละแห่งในเรื่องนี้จะไม่เปิดให้มีการตรวจสอบสาธารณะดังนั้นคุณอาจรู้ว่าคุณไม่สามารถมีใบรับรองการเข้ารหัสของ Let's Encrypt เมื่อคุณร้องขอและได้รับการตอบสนอง "นโยบายห้าม ... "

2. ลดขนาดลงใน Let's Encrypt certificate

Let's Encrypt ใบรับรองได้รับความไว้วางใจจากเว็บเบราว์เซอร์รายใหญ่ในปัจจุบันผ่าน ISRG (องค์กรการกุศลที่ให้บริการ Let's Encrypt) แต่ระบบเก่าเชื่อใจ Let's Encrypt ผ่าน IdenTrust ผู้ออกใบรับรองที่ค่อนข้างคลุมเครือซึ่งควบคุม "DST Root CA X3" นี่เป็นงานที่ทำเพื่อคนส่วนใหญ่ แต่มันไม่ใช่รากที่เชื่อถือได้ในวงกว้างที่สุดในโลก ตัวอย่างเช่นคอนโซล Nintendo WiiU ที่ถูกทอดทิ้งมีเว็บเบราว์เซอร์แน่นอนว่า Nintendo จะไม่ส่งการอัปเดตสำหรับ WiiU และเบราว์เซอร์นั้นถูกทอดทิ้งก็ไม่เชื่อใจ Let's Encrypt

Let's เข้ารหัสเท่านั้นออกใบรับรองสำหรับ Web PKI - เซิร์ฟเวอร์ที่มีชื่ออินเทอร์เน็ตซึ่งใช้โปรโตคอล SSL / TLS นั่นคือเว็บและ IMAP, SMTP ของคุณ, เซิร์ฟเวอร์ VPN บางประเภท, หลายสิบสิ่ง แต่ไม่ใช่ทุกอย่าง โดยเฉพาะอย่างยิ่ง Let's Encrypt ไม่ได้เสนอใบรับรองเลยสำหรับ S / MIME (วิธีการเข้ารหัสอีเมลที่เหลือมากกว่าตอนที่อยู่ระหว่างการขนส่ง) หรือสำหรับการเซ็นชื่อรหัสหรือการเซ็นเอกสาร หากคุณต้องการ "ร้านค้าครบวงจร" สำหรับใบรับรองนี่อาจเป็นเหตุผลเพียงพอที่จะไม่ใช้ Let's Encrypt

แม้แต่ใน Web PKI Let's Let's เข้ารหัสมีเฉพาะใบรับรอง "DV" ซึ่งหมายถึงรายละเอียดใด ๆ เกี่ยวกับตัวคุณหรือองค์กรอื่นที่ไม่ใช่ FQDNs ที่ไม่ได้กล่าวถึงในใบรับรอง แม้ว่าคุณจะเขียนลงใน CSR พวกเขาก็แค่ทิ้ง นี่อาจเป็นตัวบล็อกสำหรับแอปพลิเคชันผู้เชี่ยวชาญบางตัว

Let's Encrypt automation หมายถึงคุณถูก จำกัด อย่างแน่นอนจากสิ่งที่ระบบอัตโนมัติอนุญาตแม้ว่าจะไม่มีเหตุผลอื่นใดที่ทำให้คุณไม่มีอะไร รหัสสาธารณะประเภทใหม่ส่วนขยาย X.509 ใหม่และส่วนเพิ่มเติมอื่น ๆ จะต้องเปิดใช้งานอย่างชัดเจนโดย Let's Encrypt ในไทม์ไลน์ของพวกเขาเองและแน่นอนคุณไม่สามารถเสนอเงินพิเศษเพื่อรับคุณลักษณะที่คุณต้องการได้แม้ว่าจะยินดีรับการบริจาค

อย่างไรก็ตามสำหรับเกือบทุกคนเกือบตลอดเวลา Let's Encrypt เป็นตัวเลือกแรกที่ดีสำหรับการวางใบรับรองบนเซิร์ฟเวอร์ TLS ของคุณในลักษณะที่ถูกต้องและลืม เริ่มต้นด้วยสมมติฐานที่ว่าคุณจะใช้ Let's Encrypt เป็นวิธีที่สมเหตุสมผลในการตัดสินใจ


3
ฉันสงสัยว่าถ้าไม่สนับสนุน Nintendo WiiU เป็นเรื่องใหญ่พิจารณาว่ามีกี่เว็บไซต์ที่เบราว์เซอร์สามารถแสดงได้อย่างถูกต้อง
Dmitry Grigoryev

คุณพูดถึงข้อเสียของ "หลักฐานการควบคุมอัตโนมัติ" แต่จากประสบการณ์ของฉันใบรับรอง DV ใด ๆ จะได้รับการตรวจสอบด้วยรูปแบบที่คล้ายกันอยู่แล้ว ตัวอย่างเช่นต่อไปนี้เป็นวิธีการที่ Comodo นำเสนอซึ่งรวมถึงวิธีการที่ใช้ HTTP ซึ่งคล้ายกับ ACME การป้องกันการลงทะเบียนปลอมอาจเป็นวิธีที่ดีที่สุดในการจัดการโดยการตรวจสอบบันทึกความโปร่งใสของใบรับรอง
IMSoP

การดูจอมอนิเตอร์ CT เป็นความคิดที่ดีในสถานการณ์ประเภทนี้และใช่มีเพียงวิธีการรับพรสิบประการ (ซึ่งในความเป็นจริงแล้วในปัจจุบันฉันคิดว่า 8 หรือ 9 วิธีการจริง) ดังนั้นจาก CA หนึ่งไปอีกที่คุณกำลังจะไป เห็นการผสมผสานของวิธีการที่แตกต่างกันและความหลากหลายในวิธีการทำงาน อย่างไรก็ตามความแตกต่างในวิธีการที่นำเสนอมีความเป็นไปได้ที่จะมีข้อผูกพันตามสัญญาที่จะใช้วิธีการที่คุณต้องการและแม้แต่ความคิดทางเทคนิคเช่นการเพิ่มเขตข้อมูล CAA เพื่อแสดงให้เห็นว่าวิธีการใดที่ได้รับอนุญาตจะแตกต่างกันไปโดย CA มาเข้ารหัสกันเถอะ
tialaramex

ตัวอย่างที่เป็นรูปธรรม: Facebook มีสัญญากับ CA เชิงพาณิชย์ขนาดใหญ่ ตอนนี้พวกเขาใช้ CAA เพื่อระบุว่า CA เท่านั้นที่สามารถออกใบรับรองสำหรับโดเมนหลักของพวกเขาเช่น facebook.com และ fb.com เงื่อนไขสัญญาทำให้มั่นใจได้ว่าทีมรักษาความปลอดภัยด้านเทคนิคของ Facebook ต้องล้างใบรับรองใหม่ทุกใบ แคลิฟอร์เนียยังคงต้องใช้หนึ่งในสิบวิธีการจำเริญ แต่สัญญาต้องให้พวกเขายังเรียกความปลอดภัยของ Facebook
tialaramex

5

ยกเว้นกรณีที่คุณต้องผ่านการรับรองสำหรับสิ่งอื่นที่ไม่ใช่เว็บไม่มีจริงข้อเสีย แต่แน่นอนการรับรู้ของคน แม้ว่าปัญหาจะรับรู้เฉพาะในฐานะเจ้าของเว็บไซต์คุณอาจไม่มีทางเลือกอื่นนอกจากต้องจัดการกับปัญหาเหล่านั้น (หากผลประโยชน์ทางธุรกิจห้ามแสดงนิ้วกลาง)

ข้อเสียที่ใหญ่ที่สุดเพียงอย่างเดียวคือในขณะนี้เว็บไซต์ของคุณจะแสดงค่อนข้างด้อยกว่าอาจเป็นอันตรายเพราะไม่มีป้ายเขียวที่ดีที่บางเว็บไซต์มี ป้ายนั้นหมายความว่าอะไร ไม่มีอะไรจริงๆ. แต่แนะนำว่าเว็บไซต์ของคุณ "ปลอดภัย" (เบราว์เซอร์บางตัวใช้คำที่แน่นอนนั้น) อนิจจาผู้ใช้เป็นคนและคนโง่ อย่างใดอย่างหนึ่งจะใช้เว็บไซต์ของคุณเป็นที่ไม่น่าเชื่อถือ (โดยไม่เข้าใจความหมายใด ๆ ) เพียงเพราะเบราว์เซอร์ไม่ได้บอกว่ามันปลอดภัย

หากเพิกเฉยต่อลูกค้า / ผู้เข้าชมเหล่านี้เป็นไปได้ที่ถูกต้องจะไม่มีปัญหา หากคุณไม่สามารถจ่ายให้กับธุรกิจที่ชาญฉลาดคุณจะต้องใช้จ่ายเงิน ไม่มีตัวเลือกอื่น

ปัญหาที่รับรู้อื่น ๆ คือปัญหาเกี่ยวกับอายุการใช้งานใบรับรอง แต่จริงๆแล้วมันเป็นข้อดีไม่ใช่ข้อเสีย ความถูกต้องที่สั้นกว่าหมายความว่าใบรับรองต้องได้รับการปรับปรุงบ่อยขึ้นทั้งฝั่งเซิร์ฟเวอร์และฝั่งไคลเอ็นต์ไม่เป็นไร
สำหรับฝั่งเซิร์ฟเวอร์สิ่งนี้เกิดขึ้นกับcronงานดังนั้นจึงเป็นเรื่องยุ่งยากน้อยลงและเชื่อถือได้มากกว่าปกติ ไม่มีทางที่คุณจะลืมไม่มีทางที่จะมาสายไม่มีทางที่จะทำสิ่งผิดพลาดโดยไม่ตั้งใจไม่จำเป็นต้องลงชื่อเข้าใช้ด้วยบัญชีผู้ดูแลระบบ (... มากกว่าหนึ่งครั้ง) บนฝั่งไคลเอ็นต์ดังนั้นอะไร เบราว์เซอร์อัปเดตใบรับรองตลอดเวลาไม่ใช่เรื่องใหญ่ ผู้ใช้ไม่ได้รู้ว่ามันเกิดขึ้น มีมากน้อยการจราจรที่จะมีการอัปเดตเมื่อทุก 3 เดือนแทนทุก 2 ปี แต่อย่างจริงจัง ... ว่า ไม่ใช่ปัญหา


2
@ HåkanLindqvist: นั่นเป็นปัญหาที่แน่นอน ฉันสามารถตั้งค่าเว็บไซต์มัลแวร์และใช้จ่าย $ 5.99 และผู้ใช้โดยเฉลี่ยจะเชื่อถือเนื้อหามัลแวร์ของฉันเพราะระบุว่า "ปลอดภัย" ผู้ใช้รายเดียวกันจะไม่เชื่อถือไซต์ที่ถูกต้องตามกฎหมายและไม่อันตรายของคุณทั้งหมดด้วยใบรับรองการเข้ารหัส เพราะดีก็ไม่ปลอดภัย แต่อนิจจาสิ่งเหล่านี้เป็นสิ่งที่คุณไม่สามารถเปลี่ยนแปลงได้
เดมอน

10
LE Cert เป็นเพียงตัวอย่างของใบรับรอง DV (ซึ่งน่าจะเป็นทั้งหมดที่คุณจะได้รับเพียง $ 5.99) LE certs แสดงเป็น "ปลอดภัย" ในเบราว์เซอร์ปัจจุบัน
Håkan Lindqvist

1
คุณจะพิจารณาการใช้เซิร์ฟเวอร์อีเมลเป็นส่วนหนึ่งของweb? ใบรับรอง letencrypt ไม่เพียงพอสำหรับฉันเพราะฉันต้องเรียกใช้เซิร์ฟเวอร์อีเมลของฉันเอง
hanshenrik

7
@ hanshenrik คุณสามารถใช้ LE ได้ดีกับเมลเซิร์ฟเวอร์ ตัวอย่างเช่นฉันใช้github.com/hlandau/acme Let's Encrypt ไคลเอนต์ไม่เพียง แต่สำหรับ HTTPS ของฉัน แต่สำหรับ TLS ใน SMTP, IMAP, POP3, XMPP ...
Matija Nalis

4
@hanshenrik - ผมใช้ใบรับรอง LE สำหรับเซิร์ฟเวอร์อีเมลของฉัน: ปัญหาที่ทุกคน
วอร์เรน

5

ฉันจะเพิ่มที่บังคับให้นายจ้างของฉันบางส่วนอยู่ห่างจาก Lets Encrypt: การ จำกัด อัตรา API เนื่องจากอายุการใช้งานสั้นและขาดการสนับสนุนไวด์การ์ดจึงเป็นเรื่องง่ายมากที่จะเข้าใกล้ขีด จำกัด อัตราระหว่างการดำเนินการอัตโนมัติตามปกติ (การต่ออายุอัตโนมัติ ฯลฯ ) การพยายามเพิ่มโดเมนย่อยใหม่สามารถผลักคุณเกินขีด จำกัด อัตราและ LE ไม่มีวิธีการแทนที่ขีด จำกัด ด้วยตนเองเมื่อกด หากคุณไม่ได้สำรองใบรับรองเก่า (ใครจะทำเช่นนั้นในสภาพแวดล้อมไมโครไซต์ประเภทคลาวด์โดยอัตโนมัติอย่าง LE envisions?) ไซต์ที่ได้รับผลกระทบทั้งหมดจะออฟไลน์เนื่องจาก LE จะไม่ออกใบรับรองอีกครั้ง

เมื่อเราตระหนักถึงสิ่งที่เกิดขึ้นมีช่วงเวลาหนึ่งของ "oh $ #! #" ตามด้วยการขอใบรับรองเชิงพาณิชย์ฉุกเฉินเพียงเพื่อให้ไซต์การผลิตกลับมาออนไลน์ เป็นหนึ่งเดียวกับอายุการใช้งาน 1 ปีที่สมเหตุสมผลมากขึ้น จนกว่า LE จะใช้การสนับสนุนตัวแทนที่เหมาะสม (และแม้กระทั่งในภายหลัง) เราจะต้องระมัดระวังข้อเสนอของพวกเขา

Tl; dr: ขีด จำกัด LE wildcard + API ทำให้การจัดการบางอย่างมีความซับซ้อนมากกว่า "หน้าแรกส่วนตัวของฉัน" ท้าทายโดยไม่คาดคิด


-1

ใช่.

ข้อเสียของการใช้ฟรีหรือเข้ารหัสใบรับรอง SSL กันเถอะ

ปัญหาความเข้ากันได้ -ลองเข้ารหัสใบรับรอง SSL ไม่สามารถใช้งานได้กับทุกแพลตฟอร์ม ดูลิงค์นี้เพื่อทราบรายชื่อของแพลตฟอร์มที่เข้ากันไม่ได้ -

ความถูกต้องน้อยลง -การเข้ารหัสใบรับรอง SSL มาพร้อมกับความถูกต้อง จำกัด เป็น 90 วัน คุณต้องต่ออายุใบรับรอง SSL ของคุณในทุก ๆ 90 วัน ที่ไหนที่จ่าย SSL เช่น Comodo มาพร้อมกับความถูกต้องยาวนานเช่น 2 ปี

ไม่มีการตรวจสอบธุรกิจ -ใบรับรอง SSL ฟรีจำเป็นต้องมีการตรวจสอบความถูกต้องของโดเมนเท่านั้น ไม่มีการตรวจสอบธุรกิจหรือองค์กรเพื่อให้แน่ใจว่าผู้ใช้สำหรับนิติบุคคลธุรกิจ

เหมาะสำหรับธุรกิจขนาดเล็กหรือไซต์บล็อก -ตามที่ฉันได้กล่าวไว้ในตอนท้ายใบรับรอง SSL ที่เข้ารหัสหรือฟรีสามารถใช้ประโยชน์ได้ผ่านการตรวจสอบความเป็นเจ้าของโดเมนมันไม่เหมาะสำหรับเว็บไซต์ธุรกิจหรืออีคอมเมิร์ซที่ความน่าเชื่อถือและความปลอดภัยเป็นปัจจัยสำคัญสำหรับธุรกิจ

ไม่มีแถบที่อยู่สีเขียว -คุณไม่สามารถมีแถบที่อยู่สีเขียวที่มีใบรับรอง SSL ฟรี ใบรับรอง SSL การตรวจสอบเพิ่มเติมเป็นวิธีเดียวที่จะแสดงชื่อธุรกิจของคุณด้วยแถบที่อยู่สีเขียวบนเบราว์เซอร์

ไม่มีการสนับสนุน -หากคุณติดขัดระหว่างทางด้วย Let's เข้ารหัสคุณสามารถรับการแชทออนไลน์หรือโทรหาฝ่ายสนับสนุน คุณสามารถติดต่อผ่านฟอรัมเท่านั้นเพื่อกำจัดปัญหา

คุณสมบัติความปลอดภัยเพิ่มเติม -ใบรับรอง SSL ฟรีไม่มีคุณสมบัติพิเศษใด ๆ เช่นการสแกนมัลแวร์ฟรีตราไซต์เป็นต้น

ไม่มีการรับประกัน -ใบรับรอง SSL ที่เข้ารหัสฟรีหรือของเราไม่มีการรับประกันใด ๆ ในขณะที่ใบรับรอง SSL ที่ชำระเงินจะให้การรับประกันตั้งแต่ $ 10,000 ถึง $ 1,750,000

จากข่าวพบว่า 14,766 Let's เข้ารหัสใบรับรอง SSL ที่ออกให้กับเว็บไซต์ฟิชชิ่งของ PayPal เพราะต้องการการตรวจสอบความถูกต้องของโดเมนเท่านั้น

ดังนั้นตามคำแนะนำของฉันการจ่ายใบรับรอง SSL นั้นคุ้มค่าจริงๆ


5
(1) LE ไม่รองรับระบบเก่าเท่านั้น (2) ช่วงเวลาที่มีผลบังคับใช้จะไม่มีปัญหาเนื่องจากระบบอัตโนมัติ (3) การตรวจสอบความถูกต้องเหมือนกับ DV รับรองอื่น ๆ (4) LE cert เหมาะสำหรับองค์กรประเภทใดก็ได้ (5) แถบสีเขียวมีไว้สำหรับ EV certs เท่านั้น (และจะหายไปในอนาคตอันใกล้) (6) ฉันไม่ทราบว่าผู้ขายใบรับรองรายใดที่ทำการสแกนมัลแวร์และตราประทับของเว็บไซต์ที่ควรมีส่วนร่วมคืออะไร (7) ใบรับรองใดที่ผู้รับประกันจะต้องออกใบรับรอง? (8) CA ที่ร่มรื่นจ่ายขาย certs สำหรับไซต์ฟิชชิ่งด้วย (9) ลิงก์ที่คุณอ้างถึงกล่าวถึงใบรับรองที่ลงนามด้วยตนเองซึ่งไม่เกี่ยวข้อง
BlueCacti

1
เมื่อรายการ "ระบบที่เข้ากันไม่ได้" นั้นเป็นสิ่งที่เหมือนกับรุ่น Android ก่อน 2.3.6, Nintendo 3DS และ Windows XP ที่เร็วกว่า SP3 นั่นไม่ใช่ข้อกังวลสำหรับคน 99.999% ที่ต้องการใบรับรอง SSL นอกจากนี้ลิงก์ "ทำไมคุณไม่ควร ... " ที่ด้านล่างของโพสต์เป็นเพียง SSL ที่ลงชื่อด้วยตนเองเท่านั้นมันไม่ได้พูดอะไรเกี่ยวกับ Let's Encrypt certificate การใช้ลิงก์นั้นไม่ถูกต้องตามจริงแล้ว
- extrinsic

-6

หลังจากการวิจัยพบว่าใบรับรอง Let's Encrypt เข้ากันได้กับเบราว์เซอร์น้อยกว่าใบรับรองที่ชำระเงิน (ที่มา: Let's Encrypt vs. Comodo PositiveSSL )


ลิงก์ที่สองเสีย
iamnotmaynard

5
คุณสนใจอะไรเกี่ยวกับเบราว์เซอร์และแพลตฟอร์มที่มีอายุสิบปีไม่สนับสนุนอะไร
วอร์เรน

1
@warren ชอบหรือไม่ แต่อุปกรณ์และคอมพิวเตอร์จำนวนมากโดยเฉพาะอย่างยิ่งองค์กรขนาดใหญ่ยังคงใช้ Windows XP หรือระบบปฏิบัติการที่มีอายุใกล้เคียงกันและอาจต้องใช้ (ควบคุมอย่างเข้มงวดไฟร์วอลล์และผู้รับมอบฉันทะจำนวนมาก) อินเทอร์เน็ตเพื่อสื่อสารกับผู้อื่น . คิดว่าขั้วมือถือพูดคุยหรือซุ้ม Heck ฉันกำลังเขียนเซิร์ฟเวอร์ของระบบที่คุยกับอุปกรณ์อายุ 15 ปีผ่าน https / ssl ในขณะที่ลูกค้าส่วนใหญ่ได้อัพเกรดเป็นอุปกรณ์ใหม่บางคนยังไม่ได้
jwenting
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.