Czy istnieje powód, aby użyć certyfikatu SSL innego niż bezpłatny SSL Let's Encrypt?

141

Let's Encrypt zapewnia bezpłatne certyfikaty SSL. Czy są jakieś wady w porównaniu do innych płatnych certyfikatów, np. AWS Certificate Manager ?

ripper234
źródło
1
Usunąłem większość komentarzy dotyczących bezsensownej debaty, jeśli LE jest z natury mniej wiarygodne ze względu na swoją swobodę.
Sven

Odpowiedzi:

126

Okres ważności certyfikatu

Bezpieczeństwo

Krótsza żywotność jest lepsza. Ponieważ odwołanie jest głównie teoretyczne, w praktyce nie można na nim polegać (duża słabość publicznego ekosystemu PKI).

Zarządzanie

Bez automatyzacji: dłuższa żywotność jest wygodniejsza. LE może nie być wykonalne, jeśli z jakiegokolwiek powodu nie możesz zautomatyzować zarządzania certyfikatami
Z automatyzacją: Długość życia nie ma znaczenia.

Wrażenie użytkownika końcowego

Użytkownicy końcowi raczej nie będą mieli żadnych pomysłów w ten czy inny sposób.

Poziom weryfikacji

Bezpieczeństwo

Letsencrypt zapewnia tylko poziom weryfikacji DV.
Kupując certyfikat, otrzymujesz wszystko, za co płacisz (od DV, z takim samym poziomem potwierdzenia, jak w przypadku LE).

DV = weryfikowana jest tylko kontrola nazwy domeny.
OV = informacje o podmiocie właściciela (organizacji) są dodatkowo weryfikowane.
EV = dokładniejsza wersja OV, która tradycyjnie była nagradzana „zielonym paskiem” (ale „zielony pasek” wydaje się wkrótce znikać).

Zarządzanie

Podczas korzystania z LE praca, którą wkładasz, polega na skonfigurowaniu niezbędnej automatyzacji (w tym kontekście, aby udowodnić kontrolę domeny). Ile to będzie zależeć od twojego środowiska.

Przy zakupie certyfikatu poziom DV / OV / EV określa, ile pracy fizycznej będzie wymagało uzyskanie certyfikatu. W przypadku DV zwykle sprowadza się to do przejścia przez kreatora płacenia i kopiowania / wklejania czegoś lub klikania czegoś, w przypadku OV i EV możesz liczyć na to, że będziesz musiał skontaktować się osobno, aby wykonać dodatkowe kroki w celu potwierdzenia Twojej tożsamości.

Wrażenie użytkownika końcowego

Użytkownicy końcowi prawdopodobnie rozpoznają obecny „zielony pasek” EV (który odchodzi), poza tym, że nie patrzą faktycznie na zawartość certyfikatu.
Teoretycznie jednak jest to bardziej pomocne w przypadku certyfikatu zawierającego informacje o jednostce kontrolującej. Ale przeglądarki (lub inne aplikacje klienckie) muszą zacząć pokazywać to w przydatny sposób, zanim będzie to miało wpływ na typowego użytkownika.

Instalacja

Bezpieczeństwo

Możliwe jest niepoprawne wykonywanie czynności w sposób ujawniający klucze prywatne lub podobne. W przypadku LE dostępne narzędzia są konfigurowane wokół rozsądnych praktyk.
W przypadku osoby, która wie, co robią, ręczne kroki można oczywiście wykonać bezpiecznie.

Zarządzanie

LE ma bardzo zautomatyzować wszystkie procesy, ich obsługa jest całkowicie oparta na API, a krótki okres użytkowania odzwierciedla również to, jak wszystko koncentruje się wokół automatyzacji.

Kupując certyfikat, nawet z urzędem certyfikacji, który zapewnia interfejsy API zwykłym klientom (w tym momencie tak naprawdę nie jest to norma), trudno będzie odpowiednio zautomatyzować coś innego niż DV, a za DV płacisz za zasadniczo to samo, co zapewnia LE.
Jeśli wybierasz poziomy OV lub EV, prawdopodobnie możesz tylko częściowo zautomatyzować ten proces.

Wrażenie użytkownika końcowego

Jeśli instalacja zostanie wykonana poprawnie, użytkownik końcowy oczywiście nie będzie wiedział, jak to zrobiono. Szanse na zepsucie rzeczy (np. Zapomnienie o odnowieniu lub niepoprawne wykonanie instalacji podczas odnawiania) są mniejsze w przypadku procesu automatycznego.

Ogólny

Tradycyjne sposoby kupowania certyfikatów są szczególnie przydatne, jeśli potrzebujesz certyfikatów OV / EV, nie automatyzujesz zarządzania certyfikatami lub chcesz certyfikatów używanych w innym kontekście niż HTTPS.

Håkan Lindqvist
źródło
3
W niektórych przypadkach istnieje aspekt ubezpieczeniowy, na wypadek kompromisu po stronie urzędu certyfikacji.
John Keates,
22
Czy masz źródło o EV, które odchodzi?
jamesbtate,
4
@Puddingfox Dobra uwaga. Będę musiał sprawdzić aktualny status i w razie potrzeby zakwalifikować go bardziej. To powiedziawszy, nie znikną certyfikaty EV, ale odpowiedni wskaźnik interfejsu przeglądarki „zielonego paska”.
Håkan Lindqvist,
5
Z mojego doświadczenia wynika, że ​​możesz także używać funkcji Lets Encrypt dla poczty, więc jest ona wystarczająco elastyczna w tym celu.
Manngo,
10
@kloddant Huh. Skrypt byłby uruchamiany więcej niż raz na okres odnowienia i oczywiście, jak każdy inny zautomatyzowany proces, wymaga monitorowania (który uruchamia się przed wygaśnięciem certyfikatu).
Jonas Schäfer
76

Z czysto technicznego punktu widzenia:

  • Fakt, że certyfikaty są ważne tylko przez 3 miesiące. Może być uciążliwy w utrzymaniu w zależności od procedur zarządzania zmianami i infrastruktury.
  • Cel certyfikatów Let's Encrypt jest ograniczony. Nie można ich używać do wysyłania wiadomości e-mail, podpisywania kodu ani znaczników czasu.
    Sprawdź z: openssl x509 -in cert.pem -noout -text

    X509v3 Rozszerzone użycie klucza:
    Uwierzytelnianie serwera WWW TLS, Uwierzytelnianie klienta WWW TLS

Z perspektywy użytkownika końcowego:

HBruijn
źródło
23
Pamiętaj, że Chrome aktywnie dąży do tego, aby w ogóle nie pokazywać niczego specjalnego dla HTTPS, a następne główne wydanie OSX i iOS sprawi, że Safari nie pokaże niczego specjalnego dla EV. Wygląda na to, że główni producenci przeglądarek odchodzą od EV. Wiele z najlepszych stron internetowych nawet z niego nie korzysta.
Greg W
18
Jeśli chodzi o punkt dotyczący zarządzania zmianami, idea trzymiesięcznego okresu użytkowania polega na tym, że proces uzyskiwania i odnawiania certyfikatów powinien być całkowicie zautomatyzowany. Tzn., Jeśli zostanie użyta zgodnie z przeznaczeniem, zmiana polegałaby na skonfigurowaniu tej automatyzacji, bez ciągłego instalowania certyfikatów ręcznie. Ale jeśli istnieje polityka przeciw zautomatyzowaniu tego, prawdopodobnie nie byłoby to możliwe.
Håkan Lindqvist
8
Uwierzytelnianie serwera WWW TLS jest wystarczające do zabezpieczenia, np. Serwerów SMTP, IMAP, POP3. Nie dotyczy to jednak S / MIME.
Michael Hampton
5
Komentatorom - pamiętaj, że powyższe jest wiki społecznościowym, które może być edytowane przez każdego
HBruijn
12
@ ripper234 Masz na myśli poważną stronę użytkownika serverfault.com, na której jesteś teraz? Ta strona nie używa certyfikatu EV. Podobnie jak google.com. Lub microsoft.com. Lub cisco.com. Przeglądarki wycofują zielony pasek. Jeśli certyfikat EV jest dla Ciebie ważny, z całą pewnością za niego zapłać, ale z pewnością wiele ważnych witryn zorientowanych na użytkownika doszło do innego wniosku na temat jego wartości.
Zach Lipton,
30

Chciałbym zaoferować kilka kontrapunktów za argumenty użyte przeciwko Let's Encrypt tutaj.

Krótka żywotność

Tak, mają krótki okres użytkowania, jak wyjaśniono w często zadawanych pytaniach : https://letsencrypt.org/2015/11/09/why-90-days.html Aby zacytować stronę:

  1. Ograniczają szkody wynikające z kompromisu i nieprawidłowego wydania. Skradzione klucze i błędnie wydane certyfikaty są ważne przez krótszy okres.

  2. Zachęcają do automatyzacji, która jest absolutnie niezbędna dla łatwości użytkowania. Jeśli zamierzamy przenieść całą sieć na HTTPS, nie możemy oczekiwać, że administratorzy systemu będą ręcznie obsługiwać odnowienia. Po zautomatyzowaniu wydawania i odnawiania krótsze okresy użytkowania nie będą mniej wygodne niż dłuższe.

Brak EV

Nie ma planu wsparcia EV. Argumentacja (z https://community.letsencrypt.org/t/plans-for-extended-validation/409 ) jest następująca:

Oczekujemy, że Let's Encrypt nie będzie obsługiwał EV, ponieważ proces EV zawsze będzie wymagał ludzkiego wysiłku, co wymagać będzie zapłacenia komuś. Nasz model wydaje certyfikaty bezpłatnie, co wymaga automatyzacji poziomu, która nie wydaje się kompatybilna z EV.

Ponadto są tacy, którzy uważają, że EV jest szkodliwy, na przykład ten blog ( https://stripe.ian.sh/ ):

Na przykład James Burton niedawno otrzymał certyfikat EV dla swojej firmy „Identity Verified”. Niestety użytkownicy po prostu nie są przygotowani do radzenia sobie z niuansami tych podmiotów, a to tworzy znaczący wektor phishingu.

Klasycznym tego przykładem jest sslstrip. Witryny homograficzne z legalnie zakupionymi certyfikatami są atakiem w świecie rzeczywistym, dla którego EV nie zapewnia obecnie wystarczającej ochrony.

użytkownik483794
źródło
6

Warto rozważyć dwie grupy wad.

1. Wady korzystania z usługi Let's Encrypt

Let's Encrypt wymaga, aby dokładna nazwa lub (pod-) domena, jeśli żądasz znaku wieloznacznego, istniała w publicznym internetowym DNS. Nawet jeśli udowodnisz, że masz kontrolę nad example.com, Let's Encrypt nie wystawi Ci certyfikatów dla nazwy innej.nazwy.in.przyklad.com, nie widząc tego w publicznym DNS. Wymienione maszyny nie muszą mieć rekordów adresu publicznego, mogą być zapory ogniowej, a nawet fizycznie odłączone, ale publiczna nazwa DNS musi istnieć.

Czas szyfrowania certyfikatów 90 dni oznacza, że ​​musisz zautomatyzować, ponieważ nikt nie ma na to czasu. Taki jest właśnie cel usługi - gromadzenie ludzi w kierunku automatyzacji tej niezbędnej pracy zamiast przewrotnego wykonywania jej ręcznie, podczas gdy automatyzują oni wiele trudniejszych zadań. Ale jeśli nie możesz zautomatyzować z jakiegokolwiek powodu, jest to negatywne - jeśli masz narzędzia, urządzenia lub cokolwiek, co blokuje automatyzację, weź pod uwagę wszelkie komercyjne koszty certyfikatów SSL jako część bieżących kosztów tych narzędzi / urządzeń / czegokolwiek w planowaniu kosztów. Przeciwnie, zrekompensuj oszczędności wynikające z braku konieczności kupowania komercyjnych certyfikatów w wycenie nowych narzędzi / urządzeń / etcetera, które to automatyzują (z Let's Encrypt lub nie)

Dowód automatyzacji kontroli Let's Encrypt może nie odpowiadać regułom Twojej organizacji. Na przykład, jeśli masz pracowników, którzy mogą zmienić konfigurację Apache, ale nie powinni otrzymywać certyfikatów SSL dla firmowych nazw domen, Let's Encrypt jest źle dopasowany. Zauważ, że w tym przypadku po prostu ich nie używanie jest Wrong Thing (TM), powinieneś użyć CAA, aby jawnie wyłączyć Let's Encrypt dla swoich domen.

Jeśli polityka Let's Encrypt odrzuci cię, jedynym „sądem apelacyjnym” jest zapytanie na forach publicznych i mam nadzieję, że jeden z ich pracowników będzie w stanie zaoferować dalsze działania. Może się tak zdarzyć, jeśli na przykład witryna ma nazwę DNS, którą systemy uznają za „myląco podobną” do niektórych znanych obiektów, takich jak duże banki lub Google. Z uzasadnionych powodów dokładne zasady każdego publicznego urzędu certyfikacji w tym zakresie nie są otwarte dla publicznej kontroli, więc możesz zdać sobie sprawę, że nie możesz mieć certyfikatu Let's Encrypt, kiedy o to poprosisz i otrzymasz odpowiedź „Zabrania zasad ...”.

2. Minusy do samego certyfikatu Let's Encrypt

Certyfikaty Let's Encrypt są dziś zaufane przez główne przeglądarki internetowe za pośrednictwem ISRG (organizacja charytatywna świadcząca usługę Let's Encrypt), ale starsze systemy ufają Let's Encrypt poprzez IdenTrust, stosunkowo niejasny urząd certyfikacji, który kontroluje „DST Root CA X3”. Wykonuje to pracę dla większości ludzi, ale nie jest to najbardziej zaufany root na świecie. Na przykład porzucona konsola Nintendo WiiU miała przeglądarkę internetową, oczywiście Nintendo nie będzie wysyłała aktualizacji dla WiiU, a więc przeglądarka jest porzucona, nie ufa Let's Encrypt.

Let's Encrypt wystawia tylko certyfikaty dla Web PKI - serwerów z nazwami internetowymi, które używają protokołu SSL / TLS. Więc to oczywiście Internet i twój IMAP, SMTP, niektóre typy serwerów VPN, dziesiątki rzeczy, ale nie wszystko. W szczególności Let's Encrypt w ogóle nie oferuje certyfikatów dla S / MIME (sposób szyfrowania wiadomości e-mail w spoczynku, a nie tylko podczas przesyłania) ani do podpisywania kodu lub podpisywania dokumentów. Jeśli potrzebujesz „jednego okienka” dla certyfikatów, może to być wystarczający powód, aby nie używać Let's Encrypt.

Nawet w Web PKI Let's Encrypt oferuje tylko certyfikaty „DV”, co oznacza, że ​​żadne szczegóły dotyczące Ciebie lub Twojej organizacji poza FQDN nie są wymienione w certyfikacie. Nawet jeśli zapisujesz je w raporcie CSR, są one po prostu odrzucane. Może to być bloker dla niektórych specjalistycznych aplikacji.

Let's Encrypt automation oznacza, że ​​jesteś dokładnie ograniczony przez to, na co pozwala automatyzacja, nawet jeśli nie ma innych powodów, dla których nie możesz mieć czegoś. Nowe typy klucza publicznego, nowe rozszerzenia X.509 i inne dodatki muszą być wyraźnie włączone przez Let's Encrypt na ich własnej osi czasu, i oczywiście nie możesz po prostu zaoferować dodatkowej opłaty, aby uzyskać pożądane funkcje, chociaż darowizny są mile widziane.

Niemniej jednak dla prawie wszystkich, prawie zawsze, Let's Encrypt to dobry pierwszy wybór do umieszczania certyfikatów na serwerach TLS w sposób ogniowy i niezapominalny. Począwszy od założenia, że ​​będziesz używać Let's Encrypt, to rozsądny sposób na podjęcie tej decyzji.

tialaramex
źródło
3
Zastanawiam się, czy nie obsługa Nintendo WiiU to wielka sprawa, biorąc pod uwagę, ile stron internetowych ta przeglądarka może poprawnie wyświetlać.
Dmitrij Grigoryjew
Wspominasz o wadach „automatyzacji kontroli”, ale z mojego doświadczenia wynika, że ​​każdy certyfikat DV zostanie zweryfikowany przy użyciu bardzo podobnych schematów. Na przykład, oto metody oferowane przez Comodo , które obejmują podejście oparte na HTTP bardzo podobne do ACME. Najlepszym sposobem ochrony przed nieuczciwymi rejestracjami byłoby monitorowanie dzienników przejrzystości certyfikatów.
IMSoP,
Oglądanie monitora CT jest dobrym pomysłem w tego typu sytuacjach, i tak, istnieje tylko dziesięć błogosławionych metod (które w rzeczywistości obecnie myślę, że 8 lub 9 rzeczywistych metod), więc od jednego CA do drugiego będziesz tylko zobacz inną mieszankę metod i pewne różnice w ich dokładnym działaniu. Różnica między oferowanymi metodami, potencjalne zobowiązania umowne do korzystania z preferowanej metody, a nawet pomysły techniczne, takie jak dodanie pola CAA, aby pokazać, które metody są dozwolone, różnią się w zależności od CA i może to oznaczać, że nie ma sensu używać Szyfrujmy.
tialaramex
Jako konkretny przykład: Facebook ma umowę z dużym komercyjnym urzędem certyfikacji. Teraz używają CAA do określenia, że ​​tylko ten CA może wystawiać certyfikaty dla swoich głównych domen, takich jak facebook.com i fb.com; warunki umowy gwarantują, że wewnętrzny zespół ds. bezpieczeństwa technicznego Facebooka musi wyczyścić każdy nowy certyfikat. Właściwy organ musi nadal korzystać z jednej z dziesięciu błogosławionych metod, ale umowa wymaga od nich również połączenia z Facebook Security.
tialaramex
5

O ile nie potrzebujesz certyfikatu dla czegoś innego niż sieć , nie ma prawdziwych wad, ale na pewno dostrzegane . Chociaż problemy są postrzegane tylko jako właściciel strony internetowej, możesz nie mieć innego wyjścia, jak tylko je rozwiązać (jeśli interesy biznesowe zabraniają pokazywania środkowego palca).

Największym minusem jest na razie to, że Twoja witryna będzie nieco gorsza, być może niebezpieczna, ponieważ nie ma ładnej zielonej plakietki, którą mają niektóre inne witryny. Co oznacza ta odznaka? Nic takiego. Sugeruje to jednak , że witryna jest „bezpieczna” (niektóre przeglądarki nawet używają tego słowa). Niestety, użytkownicy to ludzie, a ludzie są głupi. W ten czy inny sposób witryna zostanie uznana za niewiarygodną (bez zrozumienia jakichkolwiek konsekwencji) tylko dlatego, że przeglądarka nie twierdzi, że jest bezpieczna.

Jeśli zignorowanie tych klientów / gości jest prawidłową możliwością, nie ma problemu. Jeśli nie możesz sobie pozwolić, że biznes-mądry, to będzie musiał wydać pieniądze. Żadna inna opcja.

Innym postrzeganym problemem jest okres ważności certyfikatu. Ale w rzeczywistości jest to zaleta, a nie wada. Krótsza ważność oznacza, że ​​certyfikaty muszą być częściej aktualizowane, zarówno po stronie serwera, jak i po stronie klienta, w porządku.
Jeśli chodzi o serwer, dzieje się tak z cronzadaniem, więc jest to mniej kłopotliwe i bardziej niezawodne niż zwykle. Nie możesz zapomnieć, nie możesz się spóźnić, nie możesz przypadkowo zrobić czegoś złego, nie musisz logować się na konto administracyjne (... więcej niż jeden raz). Po stronie klienta, więc co. Przeglądarki cały czas aktualizują certyfikaty, to nie jest wielka sprawa. Użytkownik nawet nie wie, że to się dzieje. Aktualizacje co 3 miesiące zamiast co 2 lata wymagają nieco więcej ruchu, ale poważnie ... tego nie jest problemem.

Damon
źródło
2
@ HåkanLindqvist: Właśnie taki jest problem. Mogę założyć witrynę ze złośliwym oprogramowaniem i wydać 5,99 USD, a przeciętny użytkownik będzie ufał zawartości mojego złośliwego oprogramowania, ponieważ mówi „bezpieczny”. Ten sam użytkownik nie będzie ufał twojej całkowicie nieszkodliwej, legalnej witrynie z certyfikatem let-encrypt. Ponieważ to nie jest bezpieczne . Ale niestety, są to rzeczy, których po prostu nie można zmienić.
Damon,
10
Certyfikat LE jest jednak tylko przykładem certyfikatu DV (który najprawdopodobniej dostaniesz za jedyne 5,99 USD). Certyfikaty LE pokazują się jako „Bezpieczne” w obecnych przeglądarkach.
Håkan Lindqvist,
1
czy uważasz, że serwery e-mail są częścią web? certyfikaty letsencrypt były dla mnie niewystarczające, ponieważ musiałem uruchomić własny serwer e-mail
hanshenrik
7
@hanshenrik możesz używać LE w porządku z serwerami pocztowymi. Na przykład używam klienta github.com/hlandau/acme Let's Encrypt nie tylko dla mojego HTTPS, ale także dla TLS w SMTP, IMAP, POP3, XMPP ...
Matija Nalis
4
@hanshenrik - Prowadzę certyfikaty LE dla mojego serwera pocztowego: żadnych problemów
warren
5

Dodam taki, który zmusił mojego pracodawcę do częściowego oddalenia się od Lets Encrypt: ograniczenie szybkości API. Ze względu na krótki czas życia i brak obsługi symboli wieloznacznych bardzo łatwo jest zbliżyć się do limitów prędkości podczas normalnych operacji automatycznych (automatyczne odnawianie itp.). Próba dodania nowej subdomeny może spowodować przekroczenie limitu prędkości, a LE nie ma możliwości ręcznego zastąpienia limitu po trafieniu. Jeśli nie utworzysz kopii zapasowej starych certyfikatów (kto zrobiłby to w zautomatyzowanym środowisku mikrousług typu chmurowego, takim jak wizje LE?), Wszystkie dotknięte witryny przejdą w tryb offline, ponieważ LE nie będzie ponownie wystawiać certyfikatów.

Kiedy zdaliśmy sobie sprawę z tego, co się wydarzyło, nastąpiła chwila „oh $ #! #”, A następnie awaryjne zapotrzebowanie na certyfikaty handlowe, aby przywrócić strony produkcyjne do trybu online. Jeden z bardziej rozsądnym okresem użytkowania wynoszącym 1 rok. Dopóki LE nie wdroży właściwego wsparcia symboli wieloznacznych (i nawet wtedy), będziemy bardzo uważać na ich oferty.

Tl; dr: LE symbol wieloznaczny + limity API sprawiają, że zarządzanie czymś bardziej złożonym niż „Moja osobista strona główna” jest nieoczekiwanie trudne i promuje słabą praktykę bezpieczeństwa po drodze.

madscientist159
źródło
-1

Tak.

Minusem korzystania z darmowego lub Let's Encrypt SSL Certificate-

Problem ze zgodnością - Zaszyfrujmy certyfikat SSL nie jest kompatybilny ze wszystkimi platformami. Zobacz ten link, aby poznać listę niekompatybilnych platform -

Mniejsza ważność - Zaszyfrujmy certyfikat SSL ma ograniczoną ważność wynoszącą 90 dni. Musisz odnawiać certyfikat SSL co 90 dni. Gdzie jako płatny SSL, taki jak Comodo, jest ważny przez 2 lata.

Brak sprawdzania poprawności biznesowej - bezpłatny certyfikat SSL wymaga tylko sprawdzania poprawności domeny. Brak weryfikacji firmy lub organizacji w celu zapewnienia użytkownikom legalnej firmy.

Odpowiedni dla małych firm lub witryn blogowych - jak dodałem w ostatnim punkcie, darmowy lub szyfrujmy certyfikat SSL można uzyskać poprzez weryfikację własności domeny, nie jest odpowiedni dla witryny biznesowej lub e-commerce, w której zaufanie i bezpieczeństwo są ważnym czynnikiem dla biznesu.

Brak zielonego paska adresu - Nie możesz mieć zielonego paska adresu z bezpłatnym certyfikatem SSL. Certyfikat SSL z rozszerzoną weryfikacją jest jedynym sposobem na wyświetlenie nazwy firmy za pomocą zielonego paska adresu w przeglądarce.

Brak wsparcia - jeśli utkniesz w drodze z Let's encrypt, możesz uzyskać czat online lub zadzwonić do wsparcia. Możesz się kontaktować za pośrednictwem forów, aby pozbyć się problemu.

Dodatkowe funkcje bezpieczeństwa - bezpłatny certyfikat SSL nie oferuje żadnych dodatkowych funkcji, takich jak bezpłatne skanowanie w poszukiwaniu złośliwego oprogramowania, pieczęć witryny itp.

Brak gwarancji - darmowy lub Let's encrypt SSL Certificate nie oferuje żadnej kwoty gwarancji, podczas gdy płatny certyfikat SSL oferuje gwarancję od 10 000 USD do 1 750 000 USD.

Według wiadomości , 14 766 Szyfrujmy certyfikaty SSL wydawane na stronach phishingowych PayPal, ponieważ wymaga to tylko weryfikacji domeny

Tak więc, zgodnie z moją rekomendacją, opłacenie certyfikatu SSL jest naprawdę warte.

Sanjay B.
źródło
5
(1) LE jest niezgodny tylko ze starszymi systemami. (2) Okres ważności nie stanowi problemu ze względu na automatyzację. (3) Walidacja jest taka sama jak w przypadku każdego innego certyfikatu DV. (4) Certyfikat LE jest odpowiedni dla każdego rodzaju organizacji. (5) Zielony pasek dotyczy tylko certyfikatów EV (i zniknie w najbliższej przyszłości). (6) Nie znam żadnego dostawcy certyfikatów, który wykonuje skanowanie w poszukiwaniu złośliwego oprogramowania i do czego służy pieczęć witryny ?. (7) Jaki warunek będzie musiał złożyć certyfikat? (8) Podejrzane płatne urzędy certyfikacji sprzedają również certyfikaty dla witryn phishingowych (9) Odnośnik, do którego się odwołujesz, omawia certyfikaty z
podpisem
1
Gdy lista „niekompatybilnych systemów” zawiera takie wersje Androida jak 2.3.6, Nintendo 3DS i Windows XP wcześniejsze niż SP3, nie stanowi to problemu dla 99,999% osób potrzebujących certyfikatów SSL. Ponadto link „Dlaczego nie powinieneś ...” na dole Twojego posta dotyczy TYLKO samopodpisanego protokołu SSL, nie mówi nic o certyfikatach Let's Encrypt, użycie tego linku jest nieprawidłowe.
pół-zewnętrzny zewnętrzny
-6

Po kilku badaniach dowiedziałem się, że certyfikaty Let's Encrypt są mniej kompatybilne z przeglądarkami niż certyfikaty płatne. (Źródła: Let's Encrypt vs. Comodo PositiveSSL )

S. Schneider
źródło
Drugi link jest zepsuty.
iamnotmaynard,
5
co ci zależy na przeglądarkach i platformach, które dekadę nie obsługują?
warren
1
@ warren się to podoba, czy nie, ale wiele urządzeń i komputerów w szczególnie dużych organizacjach nadal korzysta z systemu Windows XP lub systemów operacyjnych w podobnym wieku i może wymagać (ściśle kontrolowanego, wielu zapór ogniowych i serwerów proxy) dostępu do Internetu, aby komunikować się ze sobą . Pomyśl o poręcznych terminalach rozmawiających lub kioskach. Heck, obecnie piszę na serwerze systemu, który komunikuje się z 15-letnimi urządzeniami przez https / ssl. Chociaż większość klientów dokonała aktualizacji na nowe urządzenia, niektórzy nie.
jwenting