Dlaczego warto płacić za certyfikat SSL?

62

Zapłaciłem za certyfikat SSL od Namecheap, myślę, że został on certyfikowany przez ComodoSSL. Kosztowało mnie to 7 $, aktywacja zajęła im tydzień, a ja musiałem to zrobić z SSH podczas edycji plików konfiguracyjnych mojej witryny.

Wtedy znajomy uświadomił mi, że Let's Encrypt, który nie tylko rozdaje darmowe certyfikaty SSL, ale można je zainstalować, uruchamiając jedno polecenie.

Jestem pewien, że coś tu brakuje, ale dlaczego miałbym płacić za certyfikat SSL, skoro mogę go łatwo zainstalować, bezpłatnie, z automatyczną konfiguracją odnawiania?

Osiem
źródło
2
Pojawiło się to niedawno i jest to w większości to samo pytanie: security.stackexchange.com/questions/45491/ ... Poprzednio zweryfikowana odpowiedź, ostatnio zaktualizowana, nadal pozostaje w większości. Ale we wszystkich odpowiedziach z przykrością widzę, że nikt nie tłumaczy różnic między cenami a kosztami a ceną a wartością (powiązane gwarancje i ubezpieczenia - należy wierzyć lub nie itd.)
Patrick Mevzek
Widzę płacenie za taką, w której istnieje uzasadnienie biznesowe dla przedłużonej weryfikacji, itp., Aby obok nazwy kłódki była nazwa firmy itp. Z technicznego punktu widzenia nie ma prawdziwego powodu.
ivanivan
Całą odpowiedź można podsumować jednym zdaniem z odpowiedzi Marcelma: „Aby certyfikat miał znaczenie, wystawcy urzędu certyfikacji muszą ufać dostawcy oprogramowania, w przeciwnym razie certyfikat jest bezużyteczny”. Cały certyfikat jest szyfrowany, sprawdzany przez trzecią przyjęcie. Jeśli uważasz, że Let's Encrypt nigdy nie spieprzy i nigdy nie zostanie zhakowany, zyskasz na tym. Ale powodem, dla którego ludzie płacą, jest to, że są prawdziwymi innymi CA. Proste.
JakeGould
„Cały certyfikat jest szyfrowany, potwierdzony przez stronę trzecią” jest bez znaczenia. Certyfikat nie jest szyfrowany, na początek jest podpisany . @JakeGould
user207421
Dziwi mnie, że nikt jeszcze tego nie powiedział: „aby przekazać coś jako uzasadnionego, gdy atakuje się przedsiębiorstwa, które traktują letsencrypt podejrzliwie”.
Alec Teal

Odpowiedzi:

82

Dlaczego warto płacić za certyfikat SSL?

W przypadku większości zastosowań nie ma dobrego powodu, aby za nie płacić.
Podsumowanie wyjątków znajduje się na samym dole.

Cofnijmy się i wyjaśnijmy, co robią certyfikaty i w przybliżeniu jak.

To, co jest powszechnie nazywane „certyfikatem”, składa się z dwóch połączonych elementów:

  • Zaświadczenie właściwego , który zawiera klucz publiczny i trochę identyfikację (taką jak nazwa domeny).
  • Klucz prywatny , który umożliwia posiadaczowi (i tylko właściciel) do cyfrowego podpisywania wiadomości w taki sposób, że mogą one zostać zweryfikowane przy użyciu powyższego certyfikatu.

Jeśli chcesz uzyskać certyfikat yourdomain.com, możesz:

  • Utwórz klucz prywatny / publiczny i zachowaj część prywatną, no cóż, prywatną.
  • Poproś zaufaną stronę trzecią („CrediCorp”) o utworzenie certyfikatu dla yourdomain.comswojego klucza publicznego.
  • Udowodnij w jakiś sposób CrediCorp, który kontrolujesz yourdomain.com.
  • Umieść klucz prywatny i uzyskany certyfikat na serwerze i skonfiguruj serwer WWW, aby ich używał.

Następnie, jeśli Alice odwiedzi yourdomain.com, jej przeglądarka pobierze certyfikat z twojego serwera internetowego, wraz z wiadomością podpisaną przez twój klucz prywatny. Następnie jej przeglądarka sprawdza trzy rzeczy:

  • Że podpisana wiadomość może zostać zweryfikowana za pomocą certyfikatu (dowód, że została podpisana odpowiednim kluczem prywatnym, który yourdomain.compowinien mieć tylko ).
  • Domeną certyfikatu jest domena, którą przeglądarka próbuje odwiedzić ( yourdomain.com).
  • Że certyfikat pochodzi od CrediCorp.

Połączenie tych trzech rzeczy gwarantuje Alice, z którą faktycznie rozmawia yourdomain.com, a nie jakimś oszustom ... Pod warunkiem, że Alice ufa CrediCorp .

(Istnieje również trochę tańca voodoo z krypto, aby zmienić tę autentyczność w poufność).

W jaki sposób Alice ufa CrediCorp?

To jest prawdziwy sedno tutaj. Krótko mówiąc, w pewnym momencie CrediCorp powiedział: „Hej, zrobimy certyfikaty”. Po włożeniu wielu wysiłków w przestrzeganie wielu zasad udało im się przekonać niektórych ludzi, że CrediCorp jest rzeczywiście godny zaufania i będą wydawać certyfikaty tylko poprawnie.

W szczególności udało im się przekonać twórców, powiedzmy, Firefox. W rezultacie CrediCorp znajduje się na liście A Firefoksa, a ich certyfikaty są domyślnie zaufane przez Firefox. Tak więc naprawdę, Alice ufa Firefoxowi, Firefox ufa CrediCorp, a CrediCorp ufa (po weryfikacji), gdy twierdzisz, że kontrolujesz yourdomain.com. To prawie jak łańcuch .

Ale Firefox nie tylko ufa CrediCorp w wydawaniu certyfikatów yourdomain.com, ale ufa certyfikatom CrediCorp dla dowolnej domeny. A Firefox także ufa ShabbyCorp dla dowolnej domeny.

Ma to konsekwencje. Jeśli komuś uda się przekonać ShabbyCorp, że kontroluje yourdomain.com(ponieważ ShabbyCorp nie jest bardzo dokładny), może uzyskać certyfikat ShabbyCorp dla yourdomain.comodpowiedniego klucza prywatnego. Za pomocą tego certyfikatu mogą podszyć się pod Twój serwer WWW. W końcu mają certyfikat (plus klucz) yourdomain.com, któremu zaufało Firefox!

CrediCorp i ShabbyCorp to, co nazywa urzędy certyfikacji , CAS za krótki. W prawdziwym świecie ComodoSSL i Let's Encrypt są przykładami urzędów certyfikacji. Ale jest ich o wiele więcej; od tego momentu Firefox ufa 154 urzędom certyfikacji .

Whoa. Ale jak to odpowiada na moje pytanie?

Ehm, dochodzę do tego ...

To jest ta rzecz. Mechanika opisana powyżej dotyczy wszystkich certyfikatów. Jeśli masz poprawny, zaufany certyfikat dla swojej witryny, zadziała. Nie ma nic specjalnego w certyfikatach marki A w porównaniu do certyfikatów marki B; wszystkie podlegają tym samym wymogom urzędu certyfikacji i tej samej matematyce kryptograficznej.

I nawet jeśli bardziej lubisz CrediCorp - bo wiesz, brzmią one o wiele bardziej godne zaufania - korzystanie z nich naprawdę Ci nie pomoże. Jeśli atakujący może przekonać ShabbyCorp do nadania mu certyfikatu dla Twojej witryny, może on użyć tego certyfikatu do podszywania się pod Twoją witrynę, niezależnie od tego, skąd ją masz.

Dopóki Firefox ufa ShabbyCorp, odwiedzający nie zauważą różnicy. (Tak, odwiedzający mogą wyciągnąć certyfikat i przekopać się przez niego, zobaczyć, kto go wydał. Ale kto to robi?) Jeśli chodzi o fałszowanie certyfikatów, cały system jest tak słaby, jak najsłabszy z ponad 150 urzędów certyfikacji. Dlaczego tak, to jest przerażające i jest to prawdopodobnie największa krytyka tego całego programu. Mimo to utknęliśmy.

Chodzi o to, że jeśli nie ufasz urzędowi certyfikacji w zakresie wydawania „dobrych” certyfikatów, zdobycie certyfikatów w innym miejscu niewiele ci pomoże.

Gotcha, wszystko jest równie skazane. Brak ostrzeżeń?

Weeeelllll ...

  1. Zacznijmy od zabicia punktu, który zrobiłem w ostatniej sekcji. Obecnie można zablokować domenę tylko wybranym przez siebie urzędom certyfikacji za pomocą DNS-CAA . Załóżmy, że ufasz Comodo i nie ufasz innym urzędom certyfikacji, możesz poprosić wszystkie urzędy certyfikacji inne niż Comodo o nie wydawanie certyfikatów dla twojej domeny. W teorii. (Ponieważ DNS-CAA nie jest sprawdzany przez przeglądarki, tylko przez wydawanie urzędów certyfikacji. Tak więc przejęty urząd certyfikacji może zignorować to zabezpieczenie).

    Jeśli chcesz przejść przez ten problem, powstaje pytanie: czy Let's Encrypt faktycznie jest mniej godny zaufania? Czy mniej bezpieczny? Wiarygodność jest trudna, jak to oszacować? Mogę tylko powiedzieć, że moim zdaniem Let's Encrypt jest nie mniej wiarygodny niż inne CA. Jeśli chodzi o bezpieczeństwo ich sprawdzania poprawności, są one bardzo podobne do tego, co robią komercyjne urzędy certyfikacji (w przypadku certyfikatów DV). Zobacz także to pytanie .

    Za to, co jest warte: sieć StackExchange, której częścią jest ta strona, obecnie używa certyfikatów Let's Encrypt. Większość ludzi nigdy tego nie zauważy, a jeśli tak, szczerze wątpię, czy to by dla nich wiele znaczyło.

  2. Aby certyfikat miał znaczenie, wystawcy urzędu certyfikacji muszą zaufać dostawcy oprogramowania , w przeciwnym razie certyfikat jest bezużyteczny. Użyłem Firefoksa jako przykładu, ale tak naprawdę chcesz, aby CA zaufało przynajmniej aktualnym i nieco starszym wersjom Firefox, Chrome, Windows, Mac OS X, iOS i Android. I dziesiątki mniejszych graczy. Warto rozważyć CA (w tym ComodoSSL i Let's Encrypt), którym ufają wszystkie te podmioty.

  3. Jeśli urząd certyfikacji źle się zachowa lub zostanie ujawniony jako niewiarygodny, zostanie usunięty z różnych magazynów zaufania wystarczająco szybko, aby zrujnować dzień właścicieli certyfikatów. Dwa znane mi przykłady to DigiNotar i StartCom / WoSign (sprawdź artykuły, dostarczają one ciekawych informacji na temat dynamiki zaufania!). Więc jeśli uważasz, że Let's Encrypt spieprzy się lub zostanie upuszczony z innego powodu, nieużywanie ich zapobiegnie wpadnięciu w ten konkretny wypadek.

  4. Certyfikaty wykorzystują trochę magii kryptograficznej ; pytanie brzmi, który Crypto matematyczne magii ? Co jeśli to słaba magia? Jest to w rzeczywistości poważny problem, a urzędy certyfikacji wykazały, że również starają się ją ulepszyć. Na szczęście dostawcy przeglądarek poprawili luki, ustawiając tutaj minimum dla akceptacji certyfikatów. Na przykład certyfikaty używające RSA-1024 lub SHA-1 są teraz odrzucane przez większość przeglądarek, więc żaden certyfikat, który działa w praktyce, nie używa tych przestarzałych prymitywów kryptograficznych. Rezultatem jest to, że trudno jest jakiemukolwiek CA (Let's Encrypt wliczony w cenę) rozczarować się z tej strony.

  5. Wcześniej mniej więcej powiedziałem, że wszystkie certyfikaty są sobie równe. Kłamałem, nie są. W szczególności do tej pory omawiałem „certyfikaty walidowane przez domenę (DV)”, z których korzysta ogromna większość stron internetowych. Zapewniają one pewność, że przeglądarka faktycznie komunikuje się z domeną wyświetlaną na pasku adresu URL. Istnieją również certyfikaty „Organization Validated (OV)” i „ Extended Validation (EV)”, które wymagają znacznie bardziej szczegółowych kontroli od urzędów certyfikacji. W szczególności powinieneś być w stanie uzyskać certyfikat EV dla somebank.com/ SomeBank Inc., jeśli możesz udowodnić, że jesteś SomeBank, Inc.

    Zdobycie certyfikatów EV jest znacznie bardziej kosztowne (ballpark: setki EUR / USD rocznie) i mogą zostać nagrodzone zielonym paskiem URL lub kłódką w przeglądarce, być może wyświetlającym „SomeBank, Inc.” także. W przeciwieństwie do certyfikatów DV, oferują również pewne pojęcie, do kogo strona internetowa może faktycznie należeć. Plusem jest to, że mogą wyglądać bardziej legalnie. Rozczarowanie polega na tym, że użytkownicy rzadko zwracają na nie uwagę, więc ich skuteczność jest ograniczona.

    Osoba atakująca z sfałszowanym certyfikatem DV może nadal podszyć się pod witrynę, tylko bez dodatkowych wskazówek wizualnych, jakie może zaoferować certyfikat EV, a użytkownicy na ogół nie zauważają tego rozróżnienia. I odwrotnie, możliwe jest uzyskanie wprowadzającego w błąd certyfikatu EV, aby ułatwić phishing. W rezultacie zarówno Chrome , jak i Firefox będą rzucać swoje skinienia wzrokowe na certyfikaty EV, a niektórzy uważają, że odejdą całkowicie.

    Jeśli jesteś bankiem, prawdopodobnie nadal potrzebujesz certyfikatu EV. W przeciwnym razie nie tak bardzo. Ale jeśli zrobić trzeba EV, Szyfrowanie niech nie jest dla ciebie, bo po prostu nie oferują certyfikaty EV.

  6. Certyfikaty są ważne tylko przez ograniczony czas . Certyfikaty typowego komercyjnego urzędu certyfikacji zachowują ważność przez jeden rok, ale widziałem coś od trzech miesięcy do trzech lat. Certyfikaty Let's Encrypt są ważne przez 90 dni , co znajduje się na krótkim odcinku tego zakresu, więc będziesz musiał często je odnawiać. W przypadku użytkowników Let's Encrypt jest to zwykle zautomatyzowane, dzięki czemu certyfikaty są wymieniane co 60 dni.

    Możliwość zautomatyzowania odnowienia za pomocą powszechnie dostępnego oprogramowania jest w rzeczywistości przyjemniejsza niż coroczne. O kurwa, mój certyfikat wygasł? Jaki jest mój login w urzędzie certyfikacji? Jak to znowu działa? rytuał, którym wydaje się, że większość małych witryn kończy się w komercyjnych urzędach certyfikacji.

  7. Wcześniej nazwałam to przerażającym, że istnieje tak wiele urzędów certyfikacji, którym wszyscy musimy ufać. Posiadanie wielu urzędów certyfikacji jest również zaletą, ponieważ usunięcie jednego z naszych zaufanych sklepów ma ograniczony wpływ na użytkowników. W szczególności wydalenie jednego urzędu certyfikacji wpłynie tylko na certyfikaty wydane przez ten jeden urząd certyfikacji. Jeśli wszyscy ostatecznie skorzystają z jednego urzędu certyfikacji (czego niektórzy obawiają się, że może się zdarzyć z Let's Encrypt ), skoncentrujemy tam całe nasze zaufanie i stracimy zalety tej fragmentacji.

  8. I wreszcie, są inne korzyści, które może zaoferować płatny urząd certyfikacji, takie jak wsparcie komercyjne lub gwarancja SSL za milion dolarów . Nie wierzę w oba te aspekty, ale są to rzeczy, których Let's Encrypt nie oferuje.

Boli mnie głowa ... Myślę, że miałem pytanie?

Używaj tego, z czym czujesz się komfortowo! W przypadku certyfikatów DV niewiele różni się w rzeczywistości między różnymi urzędami certyfikacji. Używam Let's Encrypt zarówno profesjonalnie, jak i prywatnie i jestem z tego zadowolony.

Są naprawdę tylko cztery potencjalne powody, dla których unikam Let's Encrypt:

  • Jeśli potrzebujesz certyfikatów EV (lub OV).
  • Jeśli nie możesz lub nie chcesz zautomatyzować odnawiania certyfikatu, a ważność certyfikatu na trzy miesiące jest dla Ciebie za krótka.
  • Jeśli nie ufasz Let's Encrypt (ale pamiętaj o rozważeniu również innych środków, takich jak DNS-CAA, i prawdopodobnie powinieneś również umieścić na czarnej liście Let's Encrypt w przeglądarce).
  • Jeśli uważasz, że Let's Encrypt zostanie z jakiegoś powodu wycofane lub usunięte z przeglądarek.

Jeśli żadna z nich Cię nie dotyczy, możesz nie płacić za swoje certyfikaty.

marcelm
źródło
17
Pamiętaj, że certyfikaty EV nie są już uważane za przydatne, ponieważ użytkownicy je ignorują; przeglądarki, zwłaszcza Chrome i urządzenia mobilne, usuwają lub grzebią zielony tekst i wyświetlanie nazwy.
simpleuser
8
Pamiętaj, że nie prosisz wiarygodnej strony trzeciej o utworzenie certyfikatu dla twojego klucza prywatnego, ale dla odpowiedniego klucza publicznego. Drobny nitpick, ale ważny. Twój klucz prywatny nigdy nie opuszcza twojego systemu.
MechMK1
Oba dobre punkty; Starałem się zarządzać poziomem szczegółowości, jednocześnie zachowując poprawność w dużym widoku, ale powinienem był jaśniej zrozumieć te dwie rzeczy. Zaktualizowałem odpowiedź, aby, mam nadzieję, lepiej odzwierciedlić te fakty.
marcelm
4
Mówiąc ściślej, od Chrome v77 (obecnie v67) Chrome nie będzie już wyświetlać bezpośrednio certyfikatów EV. Firefox (obecnie 68) planuje zrobić to samo, co w wersji 70.
knallfrosch
1
Aby dodać trzeci komentarz na temat certyfikatów EV, Troy Hunt (re) napisał dobry artykuł wyjaśniający, dlaczego tak naprawdę nie żyją: troyhunt.com/…
Neyt
7

Let's Encrypt jest lepszy pod wieloma względami, w tym o których wspomniałeś, takich jak:

  1. Jest wolne. Trudno to ominąć.
  2. Ma automatyczne odnawianie (jestem pewien, że nie jest to WYŁĄCZNIE wyłącznie w Let's Encrypt)
  3. Jest dość łatwy w konfiguracji.
  4. Google obsługuje go jako podpisany protokół SSL, co jest ogromną sprawą, jeśli chodzi o SEO i bezpieczeństwo.

Istnieje jednak kilka wad.

  1. System weryfikacji, na którym działa, aby upewnić się, że jesteś właścicielem strony, nie jest kompatybilny z niektórymi gospodarzami strony, miałem sporo bólu głowy, próbując sprawić, by Let's Encrypt działał na InfinityFree i właśnie zaakceptowałem los że nie mogłem tego zrobić.
  2. Nie dostajesz żadnego ubezpieczenia, które mówi: „Jeśli to się zepsuje, pomożemy ci”, ponieważ jest to oprogramowanie typu open source, jesteś sam, jeśli Let's Encrypt nie działa lub jest w jakiś sposób pęknięty.
Esmoothy
źródło
„System weryfikacji, który działa” Jest to standardowy mechanizm, zarówno HTTP-01, jak i DNS-01, zgodnie z wymaganiami IETF i CAB Forum. Wszystkie urzędy certyfikacji są powiązane dokładnie z tym samym dla certyfikatów DV.
Patrick Mevzek
10
„ponieważ jest to oprogramowanie typu open source” Jest bezpłatne (jak w piwie), a nie typu open source. Interfejs API jest standardowy (patrz ACME w IETF) i istnieją klienci open source (i może serwery).
Patrick Mevzek
4
„Ma automatyczne odnawianie” To nie jest Let's Encrypt by tiself. Ty, jako właściciel certyfikatu, musisz się z nimi skontaktować, aby poprosić o odnowienie. Nie przekazują ci tego automatycznie. Jest to efekt uboczny używania zautomatyzowanego protokołu, takiego jak ACME, do wydawania certyfikatów.
Patrick Mevzek,
„Google obsługuje go jako podpisany protokół SSL”, nie tylko Google i prawdopodobnie chciałeś powiedzieć, że obsługuje go (Let's Encrypt) jako „w pełni zaufany urząd certyfikacji” („podpisany protokół SSL” nie ma znaczenia). Zobacz letsencrypt.org/2018/08/06/…
Patrick Mevzek
Jeśli chodzi o ubezpieczenie certyfikatów X.509 używanych do komunikacji HTTPS, patrz także security.stackexchange.com/questions/179415/... i scotthelme.co.uk/…
Patrick Mevzek
4

Certyfikaty LetsEncrypt są świetne. Używam ich osobiście zamiast kupować certyfikaty. Istnieje kilka wad:

  • Certyfikaty LetsEncrypt działają tylko przez 3 miesiące. Większość zakupionych certyfikatów jest ważna przez jeden lub dwa lata. Oznacza to, że absolutnie potrzebujesz zautomatyzowanego procesu odnowienia certyfikatów, w przeciwnym razie zbyt łatwo będzie zapomnieć.
  • LetsEncrypt oferuje tylko najniższy typ sprawdzania poprawności certyfikatu. Sprawdzanie poprawności domeny (DV) sprawdza tylko, czy właściciel certyfikatu ma kontrolę nad domeną. Certyfikaty sprawdzania poprawności organizacji (OV) sprawdzają również dokumentację osoby lub firmy wnioskującej o certyfikat. Certyfikaty Extended Validation (EV) wymagają jeszcze dalszych kontroli. Im lepszy certyfikat, tym trudniej go sfałszować i tym bardziej można zaufać autentyczności witryny. W praktyce przeglądarki pokazują jedynie wizualnie skinienie na certyfikaty EV, zwykle pokazując im coś na zielono w pasku adresu. Do tego momentu większość użytkowników nie wie ani nie przejmuje się różnymi poziomami sprawdzania poprawności.
  • Certyfikaty wieloznaczne są nieco trudniejsze do uzyskania z LetsEncrypt. Z innych miejsc zazwyczaj po prostu płacisz więcej pieniędzy. LetsEncrypt wymaga weryfikacji DNS certyfikatów wieloznacznych.

Historycznie certyfikaty bezpieczeństwa zawsze coś kosztowały. Inne firmy, które oferowały bezpłatne certyfikaty, przyszły i zniknęły. Kiedyś korzystałem ze StartSSL, który oferował jeden darmowy certyfikat dla jednej domeny, dopóki nie zrobił trochę podejrzanych rzeczy, a przeglądarki przestały ufać swoim certyfikatom. LetsEncrypt ma mniej limitów niż poprzednie bezpłatne certyfikaty i jest znacznie bardziej zautomatyzowany. Ma także kilku wielkich zwolenników, takich jak EFF, Mozilla, Chrome i Cisco. Zobacz https://letsencrypt.org/sponsors/ Wydaje się, że jest wystarczająco dobrze uruchomiony, że spodziewam się, że będzie dostępny przez lata.

Stephen Ostermiller
źródło
1
Czy jest jakaś faktyczna różnica funkcjonalna między DV a OF / EV? Czy to dosłownie tylko dokładniejsza kontrola?
Osiem
4
„Certyfikaty LetsEncrypt działają tylko przez 3 miesiące”. odbywa się to celowo i nie jest postrzegane jako wada, ale w rzeczywistości jest czymś pozytywnym.
Patrick Mevzek,
1
@ Osiem Różne kontrole i różne wyniki końcowe: certyfikat DV identyfikuje nazwę hosta, certyfikat OV / EV identyfikuje podmiot. Również wymagania CAB Forum nakładają różne ograniczenia, nie możesz mieć EV przez 3 lata, na przykład, ani symboli wieloznacznych.
Patrick Mevzek,
5
„LetsEncrypt oferuje tylko najniższy typ sprawdzania poprawności certyfikatu. [..] Im lepszy certyfikat, tym bardziej można ufać witrynie.” Jest to ogromnie kwestia osobistych preferencji, a nie uniwersalnej prawdy. I w większości przypadków nie ma to znaczenia, ponieważ obecna publiczna infrastruktura kluczy publicznych to bezpieczeństwo najniższego zabezpieczonego ośrodka certyfikacji w magazynie zaufania, który określa bezpieczeństwo całego ekosystemu ... dopóki wszyscy nie użyją CAA + DNSSEC w swoich domenach, a wszystkie CA będą używać w najmniej DNSSEC podczas walidacji i wiele punktów obserwacyjnych.
Patrick Mevzek,
2
„Do tej pory większość użytkowników nie zna różnych poziomów weryfikacji ani nie dba o nie”. - Co czyni ich całkiem bezcelowymi. Jeśli użytkownicy nie rozróżniają certyfikatów EV / DV, osoba atakująca, która uzyska ważny certyfikat DV dla niektórych domen, może przeprowadzać ataki MITM na tę domenę, nawet jeśli oryginalna witryna ma certyfikat EV.
marcelm
0

Nie wszystko może korzystać z automatycznego odnawiania

CertBot ułatwia korzystanie ze stron internetowych ... ale co, jeśli używasz certyfikatów do innych celów?

Mamy serwer LDAP, z którym uwierzytelnia się nasza strona internetowa. Działa przez bezpieczny port, ale do działania potrzebuje podpisanego certyfikatu. Mógłbym skorzystać z bezpłatnego certyfikatu wieloznacznego ... ale to oznacza konwersję certyfikatu do PKCS12 co 3 miesiące (serwery WWW używają PEM), a następnie importowanie nowego certyfikatu. Aha, a nasza zapora sieciowa również używa PKCS12. To dużo kłopotów za darmo.

Machavity
źródło
1
Jeśli masz takie skłonności, możesz także zautomatyzować tę konwersję; działa już cronjob certbot/ acmetool/ co możesz odnowić certyfikat, możesz dodać taki, który wywołuje opensslkonwersję.
marcelm
-1

Prosta odpowiedź na to pytanie: wielu webmasterów po prostu nie chce robić rzeczy, które niepotrzebnie pochłaniają ich cenny czas. W przypadku letsencrypt jest łatwy w użyciu i bezpłatny, ale musisz pamiętać i ponownie instalować certyfikat co 3 miesiące. Jeśli tego nie zrobisz lub po prostu zapomnisz, witryna wyświetli błąd 404 użytkownikom i wyszukiwarkom.

Paweł
źródło
10
„musisz pamiętać” Nie, musisz wprowadzić niezbędną automatyzację i pozwolić jej wykonać swoją pracę bez konieczności pamiętania. Musisz także monitorować.
Patrick Mevzek
14
„wtedy witryna wyświetli błąd 404” Na pewno nie. Wygasły certyfikat spowoduje niepowodzenie uzgadniania TLS i nic nie osiągnie poziomu HTTP. Klienci zobaczą duże ostrzeżenie w przeglądarce z tekstem (którego w zasadzie nie zrozumieją) i przyciskiem z pytaniem, czy chcą przejść, czy nie.
Patrick Mevzek
Wiele witryn hostingowych sprawia, że ​​letsencrypt jest naciśnięciem przycisku bez dodatkowych opłat. Dosłownie wystarczy kliknąć przycisk w panelu konfiguracji witryny, który mówi „Chcę!” i wszystko dzieje się automatycznie od tego momentu, w tym odnawianie.
James K Polk
1
Jako profesjonalny administrator dla ~ 100 domen, mogę powiedzieć, że zdecydowanie wolę Let's Encrypt z automatycznym odnawianiem niż odnawianie certyfikatów ręcznie każdego roku, tak jak to robiłem wcześniej z naszym poprzednim CA.
marcelm
Użycie acme.shdo zainstalowania certyfikatów Let's Encrypt powoduje również zainstalowanie odnowienia. Więcej pracy to nie robić.
Colin 't Hart