Let's Encrypt menyediakan sertifikat SSL gratis. Apakah ada kelemahan dibandingkan dengan sertifikat berbayar lainnya, misalnya AWS Certificate Manager ?
Let's Encrypt menyediakan sertifikat SSL gratis. Apakah ada kelemahan dibandingkan dengan sertifikat berbayar lainnya, misalnya AWS Certificate Manager ?
Jawaban:
Umur yang lebih pendek lebih baik. Hanya karena pencabutan sebagian besar teoretis, dalam praktiknya pencabutan tidak dapat diandalkan (kelemahan besar dalam ekosistem PKI publik).
Tanpa otomatisasi: Umur yang lebih panjang lebih nyaman. LE mungkin tidak layak jika Anda, untuk alasan apa pun, tidak dapat mengotomatisasi manajemen sertifikat
Dengan otomatisasi: Masa pakai tidak penting.
Pengguna akhir tidak mungkin memiliki ide dengan satu atau lain cara.
Letsencrypt hanya menyediakan level verifikasi DV.
Membeli sertifikat, Anda mendapatkan apa pun yang Anda bayar (mulai dari DV, dengan tingkat penegasan yang sama dengan LE).
DV = hanya kontrol nama domain yang diverifikasi.
OV = informasi entitas pemilik (organisasi) diverifikasi sebagai tambahan.
EV = versi OV yang lebih menyeluruh, yang secara tradisional telah dianugerahi "bilah hijau" (tetapi "bilah hijau" tampaknya akan segera hilang).
Saat menggunakan LE, pekerjaan yang Anda lakukan adalah mengatur otomatisasi yang diperlukan (dalam konteks ini, untuk membuktikan kontrol domain). Berapa banyak pekerjaan yang akan tergantung pada lingkungan Anda.
Saat membeli sertifikat, level DV / OV / EV akan menentukan berapa banyak pekerjaan manual yang diperlukan untuk mendapatkan sertifikat tersebut. Untuk DV biasanya bermuara melalui penyihir membayar dan menyalin / menempelkan sesuatu atau mengklik sesuatu, untuk OV dan EV Anda dapat mengandalkan dihubungi secara terpisah untuk melakukan langkah-langkah tambahan untuk mengkonfirmasi identitas Anda.
Pengguna akhir mungkin mengenali EV "bilah hijau" saat ini (yang akan hilang), selain itu mereka tidak cenderung melihat isi sertifikat.
Secara teoritis, meskipun, jelas lebih membantu dengan sertifikat yang menyatakan informasi tentang entitas pengendali. Tetapi browser (atau aplikasi klien lainnya) harus mulai benar-benar menunjukkan ini dengan cara yang bermanfaat sebelum itu memiliki efek untuk pengguna biasa.
Dimungkinkan untuk melakukan hal-hal yang salah dengan cara yang membuka kunci privat atau serupa. Dengan LE, perangkat yang disediakan diatur seputar praktik yang wajar.
Dengan seseorang yang tahu apa yang mereka lakukan, langkah-langkah manual jelas juga dapat dilakukan dengan aman.
LE sangat dimaksudkan untuk memiliki semua proses otomatis, layanan mereka sepenuhnya berbasis API dan umur pendek juga mencerminkan bagaimana semuanya berpusat di sekitar otomatisasi.
Ketika membeli sertifikat, bahkan dengan CA yang menyediakan API untuk pelanggan reguler (tidak benar-benar norma pada saat ini) akan sulit untuk mengotomatisasi apa pun selain DV dan dengan DV yang Anda bayar untuk hal yang sama seperti yang disediakan LE.
Jika Anda ingin level OV atau EV, Anda mungkin hanya dapat mengotomatisasi sebagian proses.
Jika instalasi dilakukan dengan benar, pengguna akhir jelas tidak akan tahu bagaimana melakukannya. Kemungkinan mengacaukan segalanya (misalnya, lupa untuk memperbarui atau melakukan instalasi yang salah ketika memperbarui) kurang dengan proses otomatis.
Cara tradisional untuk membeli sertifikat sangat berguna jika Anda menginginkan sertifikat OV / EV, tidak mengotomatisasi manajemen sertifikat atau menginginkan sertifikat yang digunakan dalam beberapa konteks lain selain HTTPS.
Dari sudut pandang murni teknis:
openssl x509 -in cert.pem -noout -text
X509v3 Penggunaan Kunci Diperpanjang:
Otentikasi Server Web TLS, Otentikasi Klien Web TLS
Dari perspektif pengguna akhir:
Saya ingin menawarkan beberapa poin balasan untuk argumen yang digunakan terhadap Let's Encrypt di sini.
Seumur hidup yang singkat
Ya, masa pakainya singkat seperti yang dijelaskan di faq: https://letsencrypt.org/2015/11/09/why-90-days.html Untuk mengutip halaman:
Mereka membatasi kerusakan dari kompromi kunci dan kesalahan penerbitan. Kunci yang dicuri dan sertifikat yang dikeluarkan salah berlaku untuk periode waktu yang lebih singkat.
Mereka mendorong otomatisasi, yang sangat penting untuk kemudahan penggunaan. Jika kami akan memindahkan seluruh Web ke HTTPS, kami tidak dapat terus mengharapkan administrator sistem untuk secara manual menangani pembaruan. Setelah penerbitan dan pembaruan diotomatiskan, masa hidup yang lebih pendek tidak akan lebih nyaman daripada yang lebih lama.
Kekurangan EV
Tidak ada rencana untuk dukungan EV. Alasannya (dari https://community.letsencrypt.org/t/plans-for-extended-validation/409 ) adalah:
Kami berharap Let's Encrypt tidak akan mendukung EV, karena proses EV akan selalu membutuhkan upaya manusia, yang akan membutuhkan pembayaran seseorang. Model kami adalah mengeluarkan sertifikat gratis, yang membutuhkan otomatisasi tingkat yang tampaknya tidak kompatibel dengan EV.
Selain itu ada beberapa yang percaya bahwa EV berbahaya, seperti posting blog ini ( https://stripe.ian.sh/ ):
James Burton, misalnya, baru-baru ini memperoleh sertifikat EV untuk perusahaannya "Identity Verified". Sayangnya, pengguna sama sekali tidak diperlengkapi untuk menghadapi nuansa entitas ini, dan ini menciptakan vektor yang signifikan untuk phishing.
Contoh dunia nyata klasik dari ini adalah sslstrip. Situs homograf dengan sertifikat yang dibeli secara sah adalah serangan dunia nyata yang EV saat ini tidak memberikan pertahanan yang memadai.
Ada dua kelompok kerugian yang patut dipertimbangkan.
1. Kerugian untuk menggunakan layanan Let's Encrypt
Let's Encrypt mengharuskan nama yang tepat, atau domain (sub-) jika Anda meminta wildcard, ada di DNS Internet publik. Bahkan jika Anda membuktikan kendali atas example.com, Let's Encrypt tidak akan mengeluarkan sertifikat untuk some.other.name.in.example.com tanpa melihatnya di DNS publik. Mesin-mesin yang dinamai tidak perlu memiliki catatan alamat publik, mereka dapat dipadamkan, atau bahkan secara fisik terputus, tetapi nama DNS publik perlu ada.
Mari Mengenkripsi masa berlaku sertifikat selama 90 hari berarti Anda harus mengotomatisasi karena tidak ada yang punya waktu untuk itu. Ini sebenarnya maksud dari layanan ini - untuk menggiring orang-orang ke arah mengotomatiskan pekerjaan penting ini daripada melakukannya secara manual sementara mereka mengotomatiskan banyak tugas yang lebih sulit. Tetapi jika Anda tidak dapat mengotomatisasi karena alasan apa pun itu negatif - jika Anda memiliki alat, peralatan, atau apa pun yang menghalangi otomatisasi, anggap biaya sertifikasi SSL komersial sebagai bagian dari biaya berkelanjutan dari alat / perangkat tersebut / apa pun dalam perencanaan biaya. Sebaliknya, mengimbangi penghematan dari tidak perlu membeli sertifikat komersial dalam penetapan harga alat / peralatan baru / dan sebagainya yang mengotomatisasi ini (dengan Let's Enkripsi atau tidak)
Bukti Let's Encrypt otomatisasi kontrol mungkin tidak sesuai dengan aturan organisasi Anda. Misalnya, jika Anda memiliki karyawan yang diizinkan mengkonfigurasi ulang Apache tetapi tidak boleh mendapatkan sertifikat SSL untuk nama domain perusahaan, maka Let's Encrypt tidak cocok. Perhatikan bahwa dalam hal ini tidak menggunakannya adalah Wrong Thing (TM), Anda harus menggunakan CAA untuk secara eksplisit menonaktifkan Let's Encrypt untuk domain Anda.
Jika kebijakan Let's Encrypt menolak Anda, satu-satunya "pengadilan banding" adalah bertanya di forum publiknya dan berharap salah satu staf mereka dapat menawarkan jalan ke depan. Ini dapat terjadi jika, misalnya, situs Anda memiliki nama DNS yang diputuskan sistem mereka "mirip secara mirip" dengan properti terkenal tertentu seperti bank besar atau Google. Untuk alasan yang masuk akal kebijakan yang tepat dari masing-masing CA publik dalam hal ini tidak terbuka untuk pengawasan publik sehingga Anda hanya dapat menyadari bahwa Anda tidak dapat memiliki sertifikat Let's Encrypt ketika Anda memintanya dan mendapatkan respons "Kebijakan melarang ...".
2. Kerugian pada sertifikat Let's Encrypt itu sendiri
Sertifikat Let's Encrypt dipercaya oleh browser web utama hari ini melalui ISRG (badan amal yang menyediakan layanan Let's Encrypt) tetapi sistem yang lebih lama mempercayai Let's Encrypt melalui IdenTrust, Otoritas Sertifikat yang relatif tidak jelas yang mengendalikan "DST Root CA X3". Ini menyelesaikan pekerjaan bagi kebanyakan orang, tetapi itu bukan akar yang paling tepercaya di dunia. Misalnya konsol Nintendo WiiU yang ditinggalkan memiliki peramban web, jelas Nintendo tidak akan mengirimkan pembaruan untuk WiiU dan karena peramban itu ditinggalkan, ia tidak mempercayai Let's Encrypt.
Mari Enkripsi hanya mengeluarkan sertifikat untuk PKI Web - server dengan nama Internet yang menggunakan protokol SSL / TLS. Jadi itu jelas Web, dan IMAP Anda, SMTP, beberapa jenis server VPN, puluhan hal, tetapi tidak semuanya. Secara khusus Let's Encrypt sama sekali tidak menawarkan sertifikat untuk S / MIME (cara mengenkripsi email saat istirahat, bukan hanya ketika sedang transit) atau untuk penandatanganan kode atau penandatanganan dokumen. Jika Anda menginginkan "one stop shop" untuk sertifikat, ini mungkin menjadi alasan yang cukup untuk tidak menggunakan Let's Encrypt.
Bahkan di Web PKI, Let's Encrypt hanya menawarkan sertifikat "DV", yang berarti rincian tentang diri Anda atau organisasi Anda selain FQDN tidak disebutkan dalam sertifikat. Bahkan jika Anda menuliskannya dalam CSR mereka hanya dibuang. Ini mungkin pemblokir untuk beberapa aplikasi spesialis.
Let's Encrypt automation berarti Anda dibatasi oleh apa yang diizinkan oleh otomasi bahkan jika tidak ada alasan lain mengapa Anda tidak dapat memiliki sesuatu. Jenis kunci publik baru, ekstensi X.509 baru dan tambahan lainnya harus diaktifkan secara eksplisit oleh Let's Encrypt pada timeline mereka sendiri, dan tentu saja Anda tidak bisa hanya menawarkan untuk membayar ekstra untuk mendapatkan fitur yang Anda inginkan meskipun sumbangan diterima.
Namun demikian, untuk hampir semua orang, hampir selalu, Let's Encrypt adalah pilihan pertama yang baik untuk meletakkan sertifikat pada server TLS Anda dengan cara api-dan-lupa. Dimulai dengan asumsi bahwa Anda akan menggunakan Let's Encrypt adalah cara yang masuk akal untuk mendekati keputusan ini.
Kecuali Anda membutuhkan sertifikat untuk sesuatu selain web , tidak ada kerugian nyata , tetapi yang dirasakan . Meskipun masalah hanya dirasakan, sebagai pemilik situs web Anda mungkin tidak punya pilihan lain selain mengatasinya (jika minat bisnis melarang menunjukkan jari tengah).
Satu-satunya kelemahan terbesar adalah, untuk saat ini, bahwa situs Anda akan terlihat agak rendah, mungkin berbahaya karena tidak memiliki lencana hijau yang bagus yang dimiliki beberapa situs lain. Apa arti lencana itu? Tidak ada apa-apa. Tapi itu menunjukkan bahwa situs Anda "aman" (beberapa browser bahkan menggunakan kata itu). Sayangnya, pengguna adalah orang, dan orang itu bodoh. Satu atau yang lain akan menganggap situs Anda tidak dapat dipercaya (tanpa memahami implikasinya) hanya karena peramban tidak mengatakan itu aman.
Jika mengabaikan pelanggan / pengunjung ini adalah kemungkinan yang valid, tidak ada masalah. Jika Anda tidak mampu melakukan bisnis dengan bijaksana, Anda harus mengeluarkan uang. Tidak ada pilihan lain.
Masalah lain yang dirasakan adalah masalah tentang masa berlaku sertifikat. Tetapi sebenarnya ini adalah keuntungan, bukan kerugian. Validitas yang lebih pendek berarti bahwa sertifikat harus diperbarui lebih sering, baik sisi server, maupun sisi klien, baik-baik saja.
Sedangkan untuk sisi server, ini terjadi dengan cron
pekerjaan, jadi sebenarnya kurang merepotkan dan lebih dapat diandalkan daripada biasanya. Tidak mungkin Anda lupa, tidak ada cara untuk terlambat, tidak ada cara untuk melakukan kesalahan secara tidak sengaja, tidak perlu masuk dengan akun administratif (... lebih dari sekali). Di sisi klien, jadi apa. Browser memperbarui sertifikat setiap saat, bukan masalah besar. Pengguna bahkan tidak tahu itu terjadi. Ada sedikit lebih banyak lalu lintas yang bisa didapat ketika memperbarui setiap 3 bulan, bukan setiap 2 tahun, tapi serius ... itu bukan masalah.
web
? sertifikat letsencrypt tidak cukup untuk saya karena saya harus menjalankan server email saya sendiri
Saya akan menambahkan satu yang memaksa majikan saya menjauh dari Lets Encrypt: pembatasan tingkat API. Karena masa hidup yang singkat dan kurangnya dukungan wildcard, sangat mudah untuk mendekati batas nilai selama operasi otomatis normal (perpanjangan otomatis, dll.). Mencoba menambahkan subdomain baru dapat mendorong Anda melampaui batas laju, dan LE tidak memiliki cara untuk secara manual menimpa batas yang pernah ditabrak. Jika Anda tidak mencadangkan sertifikat lama (siapa yang akan melakukannya di lingkungan layanan microsoft tipe cloud otomatis seperti LE membayangkan?) Semua situs yang terpengaruh menjadi offline karena LE tidak akan menerbitkan kembali sertifikat.
Ketika kami menyadari apa yang terjadi, ada momen "oh $ #! #" Diikuti dengan permintaan sertifikat komersial darurat hanya untuk membuat situs produksi kembali online. Satu dengan umur 1 tahun lebih masuk akal. Sampai LE mengimplementasikan dukungan wildcard yang tepat (dan bahkan kemudian), kita akan sangat waspada terhadap penawaran mereka.
Tl; dr: LE wildcard + Limit API membuat mengelola sesuatu lebih kompleks daripada "Beranda Pribadi Saya" secara tak terduga menantang, dan mempromosikan praktik keamanan yang buruk di sepanjang jalan.
Iya.
Kelemahan menggunakan gratis atau Mari mengenkripsi Sertifikat SSL-
Masalah Kompatibilitas - Mari mengenkripsi Sertifikat SSL yang tidak kompatibel dengan semua platform. Lihat tautan ini untuk mengetahui daftar platform yang tidak kompatibel -
Kurang validitas - Enkripsi sertifikat SSL mari kita datang dengan validitas terbatas sebagai 90 hari. Anda harus memperbarui Sertifikat SSL Anda setiap 90 hari. Sedangkan SSL berbayar seperti Comodo hadir dengan validitas panjang seperti 2 tahun.
Tanpa validasi bisnis - Sertifikat SSL gratis hanya membutuhkan validasi domain. Tidak ada validasi bisnis atau organisasi untuk memastikan pengguna untuk entitas bisnis legal.
Cocok untuk bisnis kecil atau situs blog - Seperti yang saya tambahkan pada poin terakhir, Enkripsi SSL gratis atau mari kita enkripsi dapat dicairkan melalui verifikasi kepemilikan domain, itu tidak sesuai untuk bisnis atau situs web e-commerce di mana kepercayaan dan keamanan merupakan faktor utama untuk bisnis.
Tanpa bilah alamat hijau - Anda tidak dapat memiliki bilah alamat hijau dengan Sertifikat SSL gratis. Validasi sertifikat SSL diperpanjang adalah satu-satunya cara untuk menampilkan nama bisnis Anda dengan bilah alamat hijau di browser.
Tanpa Dukungan - Jika Anda terjebak di antara jalan dengan enkripsi Mari, Anda bisa mendapatkan chat online atau dukungan panggilan. Anda dapat menghubungi melalui forum hanya untuk menyingkirkan masalah ini.
Fitur keamanan tambahan - Sertifikat SSL gratis tidak menawarkan fitur tambahan seperti pemindaian malware, segel situs dll.
Tanpa jaminan - Enkripsi SSL Gratis atau Mari tidak menawarkan jumlah garansi apa pun sedangkan Sertifikat SSL berbayar menawarkan jaminan mulai dari $ 10.000 hingga $ 1.750.000.
Menurut berita , 14.766 Mari Enkripsi Sertifikat SSL yang Diterbitkan ke Situs Phishing PayPal karena hanya memerlukan validasi domain
Jadi, sesuai rekomendasi saya, membayar untuk Sertifikat SSL sangat berharga.
Setelah beberapa penelitian saya menemukan bahwa sertifikat Mari Enkripsi kurang kompatibel dengan browser daripada sertifikat berbayar. (Sumber: Mari Enkripsi vs Comodo PositiveSSL )