Vamos criptografar estão fornecendo certificados SSL gratuitos. Existem desvantagens em comparação com outros certificados pagos, por exemplo, o AWS Certificate Manager ?
Respostas:
Vida útil mais curta é melhor. Simplesmente porque a revogação é principalmente teórica, na prática não pode ser invocada (grande fraqueza no ecossistema público de PKI).
Sem automação: vida útil mais longa é mais conveniente. O LE pode não ser viável se você, por qualquer motivo, não puder automatizar o gerenciamento de certificados.
Com automação: a vida útil não importa.
É improvável que os usuários finais tenham alguma idéia de uma maneira ou de outra.
Letsencrypt fornece apenas o nível de verificação de DV.
Ao comprar um certificado, você obtém o que paga (a partir do DV, com o mesmo nível de asserção do LE).
DV = somente o controle de nome de domínio é verificado.
OV = informações da entidade proprietária (organização) também são verificadas.
EV = versão mais completa do OV, tradicionalmente premiada com a "barra verde" (mas a "barra verde" parece estar desaparecendo em breve).
Ao usar o LE, o trabalho realizado é a configuração da automação necessária (neste contexto, para provar o controle do domínio). Quanto trabalho dependerá do seu ambiente.
Ao comprar um certificado, o nível DV / OV / EV definirá quanto trabalho manual será necessário para obter o certificado. Para DV, normalmente se resume a passar por um assistente que paga e copia / cola algo ou clica em algo, para OV e EV, você pode contar com a necessidade de ser contatado separadamente para executar etapas adicionais para confirmar sua identidade.
Os usuários finais provavelmente reconhecem a atual "barra verde" do EV (que está desaparecendo), exceto que eles não tendem a realmente observar o conteúdo do certificado.
Teoricamente, porém, é claramente mais útil com um certificado que declara informações sobre a entidade controladora. Mas os navegadores (ou outros aplicativos clientes) precisam começar a mostrar isso de uma maneira útil antes que isso tenha algum efeito para o usuário típico.
É possível fazer coisas incorretamente de maneira a expor chaves privadas ou similares. Com o LE, as ferramentas fornecidas são configuradas em torno de práticas razoáveis.
Com uma pessoa que sabe o que está fazendo, as etapas manuais também podem, obviamente, ser realizadas com segurança.
O objetivo do LE é ter todos os processos automatizados, seu serviço é inteiramente baseado em API e a curta vida útil também reflete como tudo está centrado na automação.
Ao comprar um certificado, mesmo com uma CA que fornece APIs para clientes regulares (não é realmente a norma neste momento), será difícil automatizar adequadamente qualquer coisa que não seja DV e com DV você paga essencialmente pela mesma coisa que a LE fornece.
Se você optar por níveis de OV ou EV, provavelmente poderá automatizar apenas parcialmente o processo.
Se a instalação for feita corretamente, o usuário final obviamente não saberá como foi feito. As chances de estragar tudo (por exemplo, esquecer de renovar ou fazer a instalação incorretamente ao renovar) são menores com um processo automatizado.
Os meios tradicionais de compra de certificados são particularmente úteis se você deseja certificados OV / EV, não está automatizando o gerenciamento de certificados ou deseja que certificados sejam usados em algum outro contexto além do HTTPS.
De uma perspectiva puramente técnica:
openssl x509 -in cert.pem -noout -text
Uso estendido da chave X509v3:
autenticação de servidor Web TLS, autenticação de cliente Web TLS
Da perspectiva do usuário final:
Eu gostaria de oferecer alguns contrapontos para os argumentos usados contra o Let's Encrypt aqui.
Vida útil curta
Sim, eles têm uma vida útil curta, conforme explicado no FAQ: https://letsencrypt.org/2015/11/09/why-90-days.html Para citar a página:
Eles limitam os danos causados por comprometimentos importantes e erros de emissão. Chaves roubadas e certificados emitidos incorretamente são válidos por um período mais curto.
Eles incentivam a automação, que é absolutamente essencial para a facilidade de uso. Se vamos mudar a Web inteira para HTTPS, não podemos continuar esperando que os administradores de sistema manejem manualmente as renovações. Depois que a emissão e a renovação são automatizadas, as vidas úteis mais curtas não serão menos convenientes que as mais longas.
Falta de EV
Não há plano para suporte a VE. O raciocínio (em https://community.letsencrypt.org/t/plans-for-extended-validation/409 ) é:
Esperamos que o Let's Encrypt não ofereça suporte a EV, porque o processo de EV sempre exigirá esforço humano, o que exigirá o pagamento de alguém. Nosso modelo é emitir certificados gratuitamente, o que requer uma automação de nível que não parece compatível com o EV.
Além disso, alguns acreditam que o VE é prejudicial, como este post do blog ( https://stripe.ian.sh/ ):
James Burton, por exemplo, obteve recentemente um certificado EV para sua empresa "Identity Verified". Infelizmente, os usuários simplesmente não estão preparados para lidar com as nuances dessas entidades, e isso cria um vetor significativo para o phishing.
Um exemplo clássico do mundo real é o sslstrip. Sites de homografia com certificados adquiridos legitimamente são um ataque do mundo real para o qual o VE não oferece uma defesa suficiente atualmente.
Vale a pena considerar dois grupos de desvantagens.
1. Desvantagens do uso do serviço Let's Encrypt
Vamos Criptografar exige que o nome exato, ou o (sub-) domínio, se você estiver solicitando um curinga, exista no DNS público da Internet. Mesmo se você provar o controle sobre o example.com, o Let's Encrypt não emitirá certificados para some.name.in.example.com sem ver isso no DNS público. As máquinas nomeadas não precisam ter registros de endereço público, podem ser protegidas por firewall ou até desconectadas fisicamente, mas o nome DNS público precisa existir.
Vamos criptografar a vida útil do certificado de 90 dias, significa que você precisa automatizar, porque ninguém tem tempo para isso. De fato, essa é a intenção do serviço - reunir pessoas para automatizar esse trabalho essencial, em vez de executá-lo perversamente manualmente, enquanto automatizam muitas tarefas mais difíceis. Porém, se você não pode automatizar por qualquer motivo, isso é negativo - se você possui ferramentas, dispositivos ou qualquer outra automação de blocos, considere qualquer custo comercial de certificado SSL como parte do custo contínuo dessas ferramentas / dispositivos / qualquer que seja o planejamento de custos. Contrariamente, compensar as economias de não precisar comprar certificados comerciais na precificação de novas ferramentas / equipamentos / etcetera que automatizam isso (com Let's Encrypt ou não)
A prova de automação de controle de criptografia Let's Encrypt pode não se adequar às regras da sua organização. Por exemplo, se você tem funcionários que têm permissão para reconfigurar o Apache, mas não devem receber certificados SSL para nomes de domínio da empresa, o Let's Encrypt não é adequado. Observe que, neste caso, não usá-los é o Wrong Thing (TM), você deve usar o CAA para desativar explicitamente o Let's Encrypt para seus domínios.
Se a política do Let's Encrypt recusar, o único "tribunal de apelação" é pedir em seus fóruns públicos e esperar que um de seus funcionários seja capaz de oferecer um caminho a seguir. Isso pode acontecer se, por exemplo, seu site tiver um nome DNS que seus sistemas decidem ser "confundidamente semelhantes" a certas propriedades famosas, como grandes bancos ou Google. Por razões sensatas, as políticas exatas de cada CA pública a esse respeito não estão abertas ao escrutínio público; portanto, você só pode perceber que não pode ter um certificado Let's Encrypt quando solicitá-lo e obtém uma resposta "Política proibida ...".
2. Desvantagens de um certificado Let's Encrypt
Atualmente, os certificados Let's Encrypt são confiáveis pelos principais navegadores da web via ISRG (a instituição de caridade que fornece o serviço Let's Encrypt), mas os sistemas mais antigos confiam no Let's Encrypt via IdenTrust, uma autoridade de certificação relativamente obscura que controla "DST Root CA X3". Isso faz o trabalho para a maioria das pessoas, mas não é a raiz mais amplamente confiável do mundo. Por exemplo, o console abandonado do Nintendo WiiU tinha um navegador da Web, obviamente a Nintendo não enviará atualizações para o WiiU e, portanto, o navegador é abandonado e não confia no Let's Encrypt.
Vamos criptografar apenas emite certificados para os servidores da Web PKI com nomes da Internet que usam o protocolo SSL / TLS. Então essa é a Web, obviamente, e seu IMAP, SMTP, alguns tipos de servidor VPN, dezenas de coisas, mas não tudo. Em particular, o Let's Encrypt não oferece certificados para S / MIME (uma maneira de criptografar e-mails em repouso, e não apenas quando está em trânsito), nem para assinatura de código ou documento. Se você deseja um "balcão único" para certificados, isso pode ser motivo suficiente para não usar o Let's Encrypt.
Mesmo na PKI da Web, o Let's Encrypt oferece apenas certificados "DV", o que significa que detalhes sobre você ou sua organização que não sejam FQDNs não são mencionados no certificado. Mesmo se você os gravar em um CSR, eles serão descartados. Isso pode ser um bloqueador para algumas aplicações especializadas.
Vamos criptografar a automação significa que você está restrito exatamente pelo que a automação permite, mesmo que não haja outras razões pelas quais você não pode ter algo. Novos tipos de chave pública, novas extensões X.509 e outras adições precisam ser explicitamente ativadas pelo Let's Encrypt em sua própria linha do tempo, e é claro que você não pode oferecer apenas um pagamento extra para obter os recursos que deseja, embora as doações sejam bem-vindas.
No entanto, para quase todos, quase sempre, o Let's Encrypt é uma boa primeira opção para colocar certificados nos seus servidores TLS de uma maneira simples. Começando com a suposição de que você usará o Let's Encrypt é uma maneira sensata de abordar essa decisão.
A menos que você precise de um certificado para algo que não seja a web , não há desvantagens reais , mas certamente percebidas . Embora os problemas sejam percebidos apenas, como proprietário de um site, você pode ter outra opção a não ser resolvê-los (se o interesse comercial proibir a exibição do dedo do meio).
A maior desvantagem é que, por enquanto, seu site será um pouco inferior, talvez perigoso, porque não possui o emblema verde bonito de alguns outros sites. O que esse emblema significa? Nada realmente. Mas isso sugere que seu site é "seguro" (alguns navegadores usam essa palavra exata). Infelizmente, os usuários são pessoas, e as pessoas são estúpidas. Um ou outro considerará seu site não confiável (sem entender nenhuma das implicações) apenas porque o navegador não diz que é seguro.
Se ignorar esses clientes / visitantes é uma possibilidade válida, não há problema. Se você não puder pagar pelos negócios, precisará gastar dinheiro. Nenhuma outra opção.
O outro problema percebido é aquele sobre a vida útil do certificado. Mas é realmente uma vantagem, não uma desvantagem. Validade mais curta significa que os certificados precisam ser atualizados com mais freqüência, tanto do lado do servidor quanto do lado do cliente.
Quanto ao lado do servidor, isso acontece com um crontrabalho, por isso é menos problemático e mais confiável do que o habitual. De jeito nenhum você pode esquecer, de se atrasar, de acidentalmente fazer algo errado, de fazer login com uma conta administrativa (... mais de uma vez). No lado do cliente, e daí. Navegadores atualizam certificados o tempo todo, não é nada demais. O usuário nem sabe que isso acontece. Há um pouco mais de tráfego durante a atualização a cada 3 meses em vez de a cada 2 anos, mas sério ... isso não é um problema.
web? letsencrypt certificados eram insuficientes para mim, porque eu tive que correr o meu próprio servidor de e-mail
Vou adicionar um que forçou meu empregador a se afastar parcialmente do Lets Encrypt: o limite de taxa da API. Devido à vida útil curta e à falta de suporte a caracteres curinga, é muito fácil chegar perto dos limites de taxa durante operações automatizadas normais (renovação automática, etc.). Tentar adicionar um novo subdomínio pode ultrapassar o limite da taxa, e o LE não tem como substituir manualmente o limite uma vez atingido. Se você não fizer backup dos certificados antigos (quem faria isso em um ambiente automatizado de microsserviços do tipo nuvem, como o LE prevê?), Todos os sites afetados ficarão offline, pois o LE não voltará a emitir os certificados.
Quando percebemos o que aconteceu, houve um momento de "oh $ #! #" Seguido de uma requisição de certificado comercial de emergência apenas para colocar os sites de produção online novamente. Um com uma vida útil mais razoável de 1 ano. Até que o LE implemente o suporte adequado a curingas (e mesmo assim), teremos muito cuidado com as ofertas deles.
Os limites curinga Tl; dr: LE + API tornam o gerenciamento de algo mais complexo do que "Minha página pessoal" inesperadamente desafiador e promove práticas de segurança ruins ao longo do caminho.
Sim.
A desvantagem de usar um certificado SSL gratuito ou Vamos criptografar
Problema de compatibilidade - Vamos criptografar o certificado SSL não compatível com todas as plataformas. Consulte este link para conhecer a lista de plataformas incompatíveis -
Menos validade - um certificado SSL vamos criptografar vem com uma validade limitada em 90 dias. Você precisa renovar seu certificado SSL a cada 90 dias. Onde como um SSL pago como o Comodo vem com uma validade longa como 2 anos.
Sem validação comercial - um certificado SSL gratuito requer apenas validação de domínio. Nenhuma validação de empresa ou organização para garantir aos usuários uma entidade comercial legal.
Adequado para pequenas empresas ou sites de blog - Como acrescentei no último ponto, um Certificado SSL gratuito ou criptografado pode ser utilizado através da verificação da propriedade do domínio, não é apropriado para sites de negócios ou comércio eletrônico em que a confiança e a segurança sejam um fator importante para os negócios.
Nenhuma barra de endereço verde - Você não pode ter uma barra de endereço verde com um certificado SSL gratuito. Um certificado SSL de validação estendida é a única maneira de exibir o nome da sua empresa com a barra de endereço verde no navegador.
Sem suporte - Se você ficou no caminho com o Let's encrypt, pode obter bate-papo on-line ou ligar para o suporte. Você pode entrar em contato através dos fóruns apenas para se livrar do problema.
Recursos adicionais de segurança - Um certificado SSL gratuito não oferece nenhum recurso extra, como verificação gratuita de malware, selo do site etc.
Sem garantia - Um certificado SSL gratuito ou Vamos criptografar não oferece nenhum valor de garantia, enquanto um certificado SSL pago oferece garantia de US $ 10.000 a US $ 1.750.000.
Segundo uma notícia , 14.766 Vamos criptografar certificados SSL emitidos em sites de phishing do PayPal, pois exige apenas a validação de domínio
Portanto, de acordo com minha recomendação, vale a pena pagar por um certificado SSL.
Após algumas pesquisas, descobri que os certificados Let's Encrypt são menos compatíveis com os navegadores do que os certificados pagos. (Fontes: Let's Encrypt vs. Comodo PositiveSSL )