Apakah ada alasan untuk menggunakan sertifikat SSL selain dari SSL gratis Let's Encrypt?


141

Let's Encrypt menyediakan sertifikat SSL gratis. Apakah ada kelemahan dibandingkan dengan sertifikat berbayar lainnya, misalnya AWS Certificate Manager ?


1
Saya telah menghapus sebagian besar komentar mengenai perdebatan tidak berguna jika LE secara inheren kurang dapat dipercaya karena sifatnya yang bebas.
Sven

Jawaban:


126

Umur sertifikat

Keamanan

Umur yang lebih pendek lebih baik. Hanya karena pencabutan sebagian besar teoretis, dalam praktiknya pencabutan tidak dapat diandalkan (kelemahan besar dalam ekosistem PKI publik).

Pengelolaan

Tanpa otomatisasi: Umur yang lebih panjang lebih nyaman. LE mungkin tidak layak jika Anda, untuk alasan apa pun, tidak dapat mengotomatisasi manajemen sertifikat
Dengan otomatisasi: Masa pakai tidak penting.

Kesan pengguna akhir

Pengguna akhir tidak mungkin memiliki ide dengan satu atau lain cara.

Tingkat verifikasi

Keamanan

Letsencrypt hanya menyediakan level verifikasi DV.
Membeli sertifikat, Anda mendapatkan apa pun yang Anda bayar (mulai dari DV, dengan tingkat penegasan yang sama dengan LE).

DV = hanya kontrol nama domain yang diverifikasi.
OV = informasi entitas pemilik (organisasi) diverifikasi sebagai tambahan.
EV = versi OV yang lebih menyeluruh, yang secara tradisional telah dianugerahi "bilah hijau" (tetapi "bilah hijau" tampaknya akan segera hilang).

Pengelolaan

Saat menggunakan LE, pekerjaan yang Anda lakukan adalah mengatur otomatisasi yang diperlukan (dalam konteks ini, untuk membuktikan kontrol domain). Berapa banyak pekerjaan yang akan tergantung pada lingkungan Anda.

Saat membeli sertifikat, level DV / OV / EV akan menentukan berapa banyak pekerjaan manual yang diperlukan untuk mendapatkan sertifikat tersebut. Untuk DV biasanya bermuara melalui penyihir membayar dan menyalin / menempelkan sesuatu atau mengklik sesuatu, untuk OV dan EV Anda dapat mengandalkan dihubungi secara terpisah untuk melakukan langkah-langkah tambahan untuk mengkonfirmasi identitas Anda.

Kesan pengguna akhir

Pengguna akhir mungkin mengenali EV "bilah hijau" saat ini (yang akan hilang), selain itu mereka tidak cenderung melihat isi sertifikat.
Secara teoritis, meskipun, jelas lebih membantu dengan sertifikat yang menyatakan informasi tentang entitas pengendali. Tetapi browser (atau aplikasi klien lainnya) harus mulai benar-benar menunjukkan ini dengan cara yang bermanfaat sebelum itu memiliki efek untuk pengguna biasa.

Instalasi

Keamanan

Dimungkinkan untuk melakukan hal-hal yang salah dengan cara yang membuka kunci privat atau serupa. Dengan LE, perangkat yang disediakan diatur seputar praktik yang wajar.
Dengan seseorang yang tahu apa yang mereka lakukan, langkah-langkah manual jelas juga dapat dilakukan dengan aman.

Pengelolaan

LE sangat dimaksudkan untuk memiliki semua proses otomatis, layanan mereka sepenuhnya berbasis API dan umur pendek juga mencerminkan bagaimana semuanya berpusat di sekitar otomatisasi.

Ketika membeli sertifikat, bahkan dengan CA yang menyediakan API untuk pelanggan reguler (tidak benar-benar norma pada saat ini) akan sulit untuk mengotomatisasi apa pun selain DV dan dengan DV yang Anda bayar untuk hal yang sama seperti yang disediakan LE.
Jika Anda ingin level OV atau EV, Anda mungkin hanya dapat mengotomatisasi sebagian proses.

Kesan pengguna akhir

Jika instalasi dilakukan dengan benar, pengguna akhir jelas tidak akan tahu bagaimana melakukannya. Kemungkinan mengacaukan segalanya (misalnya, lupa untuk memperbarui atau melakukan instalasi yang salah ketika memperbarui) kurang dengan proses otomatis.

Secara keseluruhan

Cara tradisional untuk membeli sertifikat sangat berguna jika Anda menginginkan sertifikat OV / EV, tidak mengotomatisasi manajemen sertifikat atau menginginkan sertifikat yang digunakan dalam beberapa konteks lain selain HTTPS.


3
Dalam beberapa kasus ada aspek asuransi, dalam hal kompromi sisi CA.
John Keates

22
Apakah Anda memiliki sumber EV yang akan pergi?
jamesbtate

4
@ Puddingfox Poin bagus. Saya harus mencari status saat ini dan mungkin lebih memenuhi syarat jika perlu. Yang mengatakan, itu bukan sertifikat EV yang akan pergi tetapi terkait indikator "browser hijau" UI.
Håkan Lindqvist

5
Dalam pengalaman saya, Anda juga dapat menggunakan Lets Encrypt untuk surat, jadi cukup fleksibel untuk tujuan itu.
Manngo

10
@kloddant Huh. Anda akan menjalankan skrip lebih dari sekali per periode pembaruan, dan tentu saja seperti proses otomatis lainnya, ia membutuhkan pemantauan (yang memicu sebelum sertifikat berakhir).
Jonas Schäfer

76

Dari sudut pandang murni teknis:

  • Fakta bahwa sertifikat hanya berlaku selama 3 bulan. Dapat mengganggu pemeliharaan tergantung pada prosedur dan infrastruktur manajemen perubahan Anda.
  • Tujuan dari sertifikat Mari Enkripsi terbatas. Anda tidak dapat menggunakannya untuk email, penandatanganan kode, atau cap waktu.
    Periksa dengan: openssl x509 -in cert.pem -noout -text

    X509v3 Penggunaan Kunci Diperpanjang:
    Otentikasi Server Web TLS, Otentikasi Klien Web TLS

Dari perspektif pengguna akhir:


23
Perhatikan bahwa Chrome secara aktif bergerak untuk menunjukkan tidak ada yang spesial untuk HTTPS sama sekali dan rilis besar OSX dan iOS berikutnya akan melihat Safari tidak menunjukkan sesuatu yang spesial untuk EV. Tampaknya vendor browser utama bergerak menjauh dari EV. Banyak situs web top bahkan tidak menggunakannya.
Greg W

18
Mengenai poin yang dibuat tentang manajemen perubahan, ide di balik masa hidup 3 bulan adalah bahwa proses mendapatkan dan memperbarui sertifikat dimaksudkan untuk sepenuhnya otomatis. Yaitu, jika digunakan sebagaimana dimaksud, perubahan akan mengatur otomatisasi itu, tidak berulang kali menginstal sertifikat secara manual. Tetapi jika ada kebijakan yang melarang mengotomatisasi itu, itu mungkin akan membuatnya tidak jalan.
Håkan Lindqvist

8
Otentikasi Server Web TLS cukup untuk mengamankan, misalnya server SMTP, IMAP, POP3. Itu tidak berlaku untuk S / MIME.
Michael Hampton

5
Untuk para komentator - harap dicatat bahwa di atas adalah wiki komunitas yang dimaksudkan untuk diedit oleh siapa pun
HBruijn

12
@ ripper234 Maksud Anda seperti situs web serverfault.com yang serius / pengguna hadapi sekarang? Situs ini tidak menggunakan sertifikat EV. Google.com juga tidak. Atau microsoft.com. Atau cisco.com. Dan browser menghapus bar hijau. Jika sertifikat EV penting bagi Anda, tentu saja bayar untuk itu, tetapi pasti banyak situs penting dan yang dihadapi pengguna telah sampai pada kesimpulan berbeda tentang nilainya.
Zach Lipton

30

Saya ingin menawarkan beberapa poin balasan untuk argumen yang digunakan terhadap Let's Encrypt di sini.

Seumur hidup yang singkat

Ya, masa pakainya singkat seperti yang dijelaskan di faq: https://letsencrypt.org/2015/11/09/why-90-days.html Untuk mengutip halaman:

  1. Mereka membatasi kerusakan dari kompromi kunci dan kesalahan penerbitan. Kunci yang dicuri dan sertifikat yang dikeluarkan salah berlaku untuk periode waktu yang lebih singkat.

  2. Mereka mendorong otomatisasi, yang sangat penting untuk kemudahan penggunaan. Jika kami akan memindahkan seluruh Web ke HTTPS, kami tidak dapat terus mengharapkan administrator sistem untuk secara manual menangani pembaruan. Setelah penerbitan dan pembaruan diotomatiskan, masa hidup yang lebih pendek tidak akan lebih nyaman daripada yang lebih lama.

Kekurangan EV

Tidak ada rencana untuk dukungan EV. Alasannya (dari https://community.letsencrypt.org/t/plans-for-extended-validation/409 ) adalah:

Kami berharap Let's Encrypt tidak akan mendukung EV, karena proses EV akan selalu membutuhkan upaya manusia, yang akan membutuhkan pembayaran seseorang. Model kami adalah mengeluarkan sertifikat gratis, yang membutuhkan otomatisasi tingkat yang tampaknya tidak kompatibel dengan EV.

Selain itu ada beberapa yang percaya bahwa EV berbahaya, seperti posting blog ini ( https://stripe.ian.sh/ ):

James Burton, misalnya, baru-baru ini memperoleh sertifikat EV untuk perusahaannya "Identity Verified". Sayangnya, pengguna sama sekali tidak diperlengkapi untuk menghadapi nuansa entitas ini, dan ini menciptakan vektor yang signifikan untuk phishing.

Contoh dunia nyata klasik dari ini adalah sslstrip. Situs homograf dengan sertifikat yang dibeli secara sah adalah serangan dunia nyata yang EV saat ini tidak memberikan pertahanan yang memadai.


6

Ada dua kelompok kerugian yang patut dipertimbangkan.

1. Kerugian untuk menggunakan layanan Let's Encrypt

Let's Encrypt mengharuskan nama yang tepat, atau domain (sub-) jika Anda meminta wildcard, ada di DNS Internet publik. Bahkan jika Anda membuktikan kendali atas example.com, Let's Encrypt tidak akan mengeluarkan sertifikat untuk some.other.name.in.example.com tanpa melihatnya di DNS publik. Mesin-mesin yang dinamai tidak perlu memiliki catatan alamat publik, mereka dapat dipadamkan, atau bahkan secara fisik terputus, tetapi nama DNS publik perlu ada.

Mari Mengenkripsi masa berlaku sertifikat selama 90 hari berarti Anda harus mengotomatisasi karena tidak ada yang punya waktu untuk itu. Ini sebenarnya maksud dari layanan ini - untuk menggiring orang-orang ke arah mengotomatiskan pekerjaan penting ini daripada melakukannya secara manual sementara mereka mengotomatiskan banyak tugas yang lebih sulit. Tetapi jika Anda tidak dapat mengotomatisasi karena alasan apa pun itu negatif - jika Anda memiliki alat, peralatan, atau apa pun yang menghalangi otomatisasi, anggap biaya sertifikasi SSL komersial sebagai bagian dari biaya berkelanjutan dari alat / perangkat tersebut / apa pun dalam perencanaan biaya. Sebaliknya, mengimbangi penghematan dari tidak perlu membeli sertifikat komersial dalam penetapan harga alat / peralatan baru / dan sebagainya yang mengotomatisasi ini (dengan Let's Enkripsi atau tidak)

Bukti Let's Encrypt otomatisasi kontrol mungkin tidak sesuai dengan aturan organisasi Anda. Misalnya, jika Anda memiliki karyawan yang diizinkan mengkonfigurasi ulang Apache tetapi tidak boleh mendapatkan sertifikat SSL untuk nama domain perusahaan, maka Let's Encrypt tidak cocok. Perhatikan bahwa dalam hal ini tidak menggunakannya adalah Wrong Thing (TM), Anda harus menggunakan CAA untuk secara eksplisit menonaktifkan Let's Encrypt untuk domain Anda.

Jika kebijakan Let's Encrypt menolak Anda, satu-satunya "pengadilan banding" adalah bertanya di forum publiknya dan berharap salah satu staf mereka dapat menawarkan jalan ke depan. Ini dapat terjadi jika, misalnya, situs Anda memiliki nama DNS yang diputuskan sistem mereka "mirip secara mirip" dengan properti terkenal tertentu seperti bank besar atau Google. Untuk alasan yang masuk akal kebijakan yang tepat dari masing-masing CA publik dalam hal ini tidak terbuka untuk pengawasan publik sehingga Anda hanya dapat menyadari bahwa Anda tidak dapat memiliki sertifikat Let's Encrypt ketika Anda memintanya dan mendapatkan respons "Kebijakan melarang ...".

2. Kerugian pada sertifikat Let's Encrypt itu sendiri

Sertifikat Let's Encrypt dipercaya oleh browser web utama hari ini melalui ISRG (badan amal yang menyediakan layanan Let's Encrypt) tetapi sistem yang lebih lama mempercayai Let's Encrypt melalui IdenTrust, Otoritas Sertifikat yang relatif tidak jelas yang mengendalikan "DST Root CA X3". Ini menyelesaikan pekerjaan bagi kebanyakan orang, tetapi itu bukan akar yang paling tepercaya di dunia. Misalnya konsol Nintendo WiiU yang ditinggalkan memiliki peramban web, jelas Nintendo tidak akan mengirimkan pembaruan untuk WiiU dan karena peramban itu ditinggalkan, ia tidak mempercayai Let's Encrypt.

Mari Enkripsi hanya mengeluarkan sertifikat untuk PKI Web - server dengan nama Internet yang menggunakan protokol SSL / TLS. Jadi itu jelas Web, dan IMAP Anda, SMTP, beberapa jenis server VPN, puluhan hal, tetapi tidak semuanya. Secara khusus Let's Encrypt sama sekali tidak menawarkan sertifikat untuk S / MIME (cara mengenkripsi email saat istirahat, bukan hanya ketika sedang transit) atau untuk penandatanganan kode atau penandatanganan dokumen. Jika Anda menginginkan "one stop shop" untuk sertifikat, ini mungkin menjadi alasan yang cukup untuk tidak menggunakan Let's Encrypt.

Bahkan di Web PKI, Let's Encrypt hanya menawarkan sertifikat "DV", yang berarti rincian tentang diri Anda atau organisasi Anda selain FQDN tidak disebutkan dalam sertifikat. Bahkan jika Anda menuliskannya dalam CSR mereka hanya dibuang. Ini mungkin pemblokir untuk beberapa aplikasi spesialis.

Let's Encrypt automation berarti Anda dibatasi oleh apa yang diizinkan oleh otomasi bahkan jika tidak ada alasan lain mengapa Anda tidak dapat memiliki sesuatu. Jenis kunci publik baru, ekstensi X.509 baru dan tambahan lainnya harus diaktifkan secara eksplisit oleh Let's Encrypt pada timeline mereka sendiri, dan tentu saja Anda tidak bisa hanya menawarkan untuk membayar ekstra untuk mendapatkan fitur yang Anda inginkan meskipun sumbangan diterima.

Namun demikian, untuk hampir semua orang, hampir selalu, Let's Encrypt adalah pilihan pertama yang baik untuk meletakkan sertifikat pada server TLS Anda dengan cara api-dan-lupa. Dimulai dengan asumsi bahwa Anda akan menggunakan Let's Encrypt adalah cara yang masuk akal untuk mendekati keputusan ini.


3
Saya ingin tahu apakah tidak mendukung Nintendo WiiU adalah masalah besar, mengingat betapa sedikit situs web yang dapat ditampilkan oleh browser dengan benar.
Dmitry Grigoryev

Anda menyebutkan kelemahan "bukti otomatisasi kontrol", tetapi menurut pengalaman saya, sertifikat DV apa pun akan diverifikasi dengan skema yang sangat mirip. Misalnya, inilah metode yang ditawarkan Comodo , yang mencakup pendekatan berbasis HTTP mirip ACME. Melindungi dari pendaftaran jahat mungkin akan lebih baik dikelola dengan memonitor log Transparansi Sertifikat.
IMSoP

Menonton monitor CT adalah ide bagus dalam situasi seperti ini, dan ya, hanya ada Sepuluh Metode yang Diberkati (yang sebenarnya saat ini saya pikir 8 atau 9 metode aktual) jadi dari satu CA ke yang lain Anda hanya akan lihat campuran metode yang berbeda dan beberapa variasi dalam cara kerjanya. Namun, perbedaan metode yang ditawarkan, potensi untuk memiliki kewajiban kontrak untuk menggunakan metode pilihan Anda dan bahkan ide-ide teknis seperti menambahkan bidang CAA untuk menunjukkan metode mana yang diizinkan bervariasi menurut CA, dan bisa berarti masuk akal untuk tidak menggunakan Ayo Enkripsi.
tialaramex

Sebagai contoh nyata: Facebook memiliki kontrak dengan CA komersial besar. Mereka sekarang menggunakan CAA untuk menentukan bahwa hanya CA yang dapat menerbitkan sertifikat untuk domain utama mereka seperti facebook.com dan fb.com; ketentuan kontrak memastikan tim keamanan teknis in-house Facebook harus menghapus setiap sertifikat baru. CA masih harus menggunakan salah satu dari Sepuluh Metode yang Diberkati tetapi kontrak mengharuskan mereka juga untuk memanggil Keamanan Facebook.
tialaramex

5

Kecuali Anda membutuhkan sertifikat untuk sesuatu selain web , tidak ada kerugian nyata , tetapi yang dirasakan . Meskipun masalah hanya dirasakan, sebagai pemilik situs web Anda mungkin tidak punya pilihan lain selain mengatasinya (jika minat bisnis melarang menunjukkan jari tengah).

Satu-satunya kelemahan terbesar adalah, untuk saat ini, bahwa situs Anda akan terlihat agak rendah, mungkin berbahaya karena tidak memiliki lencana hijau yang bagus yang dimiliki beberapa situs lain. Apa arti lencana itu? Tidak ada apa-apa. Tapi itu menunjukkan bahwa situs Anda "aman" (beberapa browser bahkan menggunakan kata itu). Sayangnya, pengguna adalah orang, dan orang itu bodoh. Satu atau yang lain akan menganggap situs Anda tidak dapat dipercaya (tanpa memahami implikasinya) hanya karena peramban tidak mengatakan itu aman.

Jika mengabaikan pelanggan / pengunjung ini adalah kemungkinan yang valid, tidak ada masalah. Jika Anda tidak mampu melakukan bisnis dengan bijaksana, Anda harus mengeluarkan uang. Tidak ada pilihan lain.

Masalah lain yang dirasakan adalah masalah tentang masa berlaku sertifikat. Tetapi sebenarnya ini adalah keuntungan, bukan kerugian. Validitas yang lebih pendek berarti bahwa sertifikat harus diperbarui lebih sering, baik sisi server, maupun sisi klien, baik-baik saja.
Sedangkan untuk sisi server, ini terjadi dengan cronpekerjaan, jadi sebenarnya kurang merepotkan dan lebih dapat diandalkan daripada biasanya. Tidak mungkin Anda lupa, tidak ada cara untuk terlambat, tidak ada cara untuk melakukan kesalahan secara tidak sengaja, tidak perlu masuk dengan akun administratif (... lebih dari sekali). Di sisi klien, jadi apa. Browser memperbarui sertifikat setiap saat, bukan masalah besar. Pengguna bahkan tidak tahu itu terjadi. Ada sedikit lebih banyak lalu lintas yang bisa didapat ketika memperbarui setiap 3 bulan, bukan setiap 2 tahun, tapi serius ... itu bukan masalah.


2
@ HåkanLindqvist: Itulah masalah sebenarnya. Saya dapat mengatur situs malware dan menghabiskan $ 5,99, dan rata-rata pengguna akan mempercayai konten malware saya karena dikatakan "aman". Pengguna yang sama tidak akan mempercayai situs Anda yang sepenuhnya tidak berbahaya dan sah dengan sertifikat terenkripsi. Karena, yah, itu tidak aman . Namun sayang, ini adalah hal-hal yang tidak bisa Anda ubah.
Damon

10
Sertifikat LE hanyalah contoh dari sertifikat DV, (yang kemungkinan besar Anda hanya akan mendapatkan $ 5,99). Sertifikat LE tampil sebagai "Aman" di browser saat ini.
Håkan Lindqvist

1
apakah Anda menganggap server email sebagai bagian dari web? sertifikat letsencrypt tidak cukup untuk saya karena saya harus menjalankan server email saya sendiri
hanshenrik

7
@hanshenrik Anda dapat menggunakan LE dengan server mail. Sebagai contoh, saya menggunakan github.com/hlandau/acme Let's Encrypt client tidak hanya untuk HTTPS saya, tetapi juga untuk TLS di SMTP, IMAP, POP3, XMPP ...
Matija Nalis

4
@hanshenrik - Saya menjalankan sertifikat LE untuk server email saya: tidak ada masalah sama sekali
warren

5

Saya akan menambahkan satu yang memaksa majikan saya menjauh dari Lets Encrypt: pembatasan tingkat API. Karena masa hidup yang singkat dan kurangnya dukungan wildcard, sangat mudah untuk mendekati batas nilai selama operasi otomatis normal (perpanjangan otomatis, dll.). Mencoba menambahkan subdomain baru dapat mendorong Anda melampaui batas laju, dan LE tidak memiliki cara untuk secara manual menimpa batas yang pernah ditabrak. Jika Anda tidak mencadangkan sertifikat lama (siapa yang akan melakukannya di lingkungan layanan microsoft tipe cloud otomatis seperti LE membayangkan?) Semua situs yang terpengaruh menjadi offline karena LE tidak akan menerbitkan kembali sertifikat.

Ketika kami menyadari apa yang terjadi, ada momen "oh $ #! #" Diikuti dengan permintaan sertifikat komersial darurat hanya untuk membuat situs produksi kembali online. Satu dengan umur 1 tahun lebih masuk akal. Sampai LE mengimplementasikan dukungan wildcard yang tepat (dan bahkan kemudian), kita akan sangat waspada terhadap penawaran mereka.

Tl; dr: LE wildcard + Limit API membuat mengelola sesuatu lebih kompleks daripada "Beranda Pribadi Saya" secara tak terduga menantang, dan mempromosikan praktik keamanan yang buruk di sepanjang jalan.


-1

Iya.

Kelemahan menggunakan gratis atau Mari mengenkripsi Sertifikat SSL-

Masalah Kompatibilitas - Mari mengenkripsi Sertifikat SSL yang tidak kompatibel dengan semua platform. Lihat tautan ini untuk mengetahui daftar platform yang tidak kompatibel -

Kurang validitas - Enkripsi sertifikat SSL mari kita datang dengan validitas terbatas sebagai 90 hari. Anda harus memperbarui Sertifikat SSL Anda setiap 90 hari. Sedangkan SSL berbayar seperti Comodo hadir dengan validitas panjang seperti 2 tahun.

Tanpa validasi bisnis - Sertifikat SSL gratis hanya membutuhkan validasi domain. Tidak ada validasi bisnis atau organisasi untuk memastikan pengguna untuk entitas bisnis legal.

Cocok untuk bisnis kecil atau situs blog - Seperti yang saya tambahkan pada poin terakhir, Enkripsi SSL gratis atau mari kita enkripsi dapat dicairkan melalui verifikasi kepemilikan domain, itu tidak sesuai untuk bisnis atau situs web e-commerce di mana kepercayaan dan keamanan merupakan faktor utama untuk bisnis.

Tanpa bilah alamat hijau - Anda tidak dapat memiliki bilah alamat hijau dengan Sertifikat SSL gratis. Validasi sertifikat SSL diperpanjang adalah satu-satunya cara untuk menampilkan nama bisnis Anda dengan bilah alamat hijau di browser.

Tanpa Dukungan - Jika Anda terjebak di antara jalan dengan enkripsi Mari, Anda bisa mendapatkan chat online atau dukungan panggilan. Anda dapat menghubungi melalui forum hanya untuk menyingkirkan masalah ini.

Fitur keamanan tambahan - Sertifikat SSL gratis tidak menawarkan fitur tambahan seperti pemindaian malware, segel situs dll.

Tanpa jaminan - Enkripsi SSL Gratis atau Mari tidak menawarkan jumlah garansi apa pun sedangkan Sertifikat SSL berbayar menawarkan jaminan mulai dari $ 10.000 hingga $ 1.750.000.

Menurut berita , 14.766 Mari Enkripsi Sertifikat SSL yang Diterbitkan ke Situs Phishing PayPal karena hanya memerlukan validasi domain

Jadi, sesuai rekomendasi saya, membayar untuk Sertifikat SSL sangat berharga.


5
(1) LE hanya tidak kompatibel dengan sistem yang lebih lama. (2) Masa berlaku tidak menjadi masalah karena otomatisasi. (3) Validasi sama dengan sertifikat DV lainnya. (4) LE cert cocok untuk semua jenis organisasi. (5) Bilah hijau hanya untuk sertifikat EV (dan akan hilang dalam waktu dekat). (6) Saya tidak tahu vendor sertifikat yang melakukan pemindaian malware dan apa yang harus disumbangkan oleh segel situs ?. (7) Surat perintah apa yang perlu disertifikasi oleh seorang sert? (8) CA teduh yang dibayar juga menjual sertifikat untuk situs phishing (9) Tautan yang Anda rujuk untuk membahas sertifikat yang ditandatangani sendiri, itu tidak terkait
BlueCacti

1
Ketika daftar "sistem yang tidak kompatibel" adalah hal-hal seperti versi Android sebelum 2.3.6, Nintendo 3DS dan Windows XP lebih awal dari SP3, itu bukan masalah bagi 99,999% orang yang membutuhkan sertifikat SSL. Juga, tautan "Mengapa Anda tidak boleh ..." di bagian bawah posting Anda HANYA tentang SSL yang ditandatangani sendiri, itu tidak mengatakan apa-apa tentang sertifikat Mari Enkripsi, Anda penggunaan tautan itu secara faktual salah.
semi-ekstrinsik

-6

Setelah beberapa penelitian saya menemukan bahwa sertifikat Mari Enkripsi kurang kompatibel dengan browser daripada sertifikat berbayar. (Sumber: Mari Enkripsi vs Comodo PositiveSSL )


Tautan kedua rusak.
iamnotmaynard

5
apa yang Anda pedulikan tentang browser dan platform yang berumur satu dekade tidak mendukung sesuatu?
warren

1
@warren suka atau tidak, tetapi banyak perangkat dan komputer di organisasi besar terutama masih menjalankan Windows XP, atau sistem operasi seusia, dan mungkin memerlukan (dikontrol ketat, banyak firewall dan proxy) akses internet untuk berkomunikasi satu sama lain . Pikirkan terminal genggam berbicara atau kios. Heck, saya saat ini sedang menulis di sisi server dari sistem yang berbicara dengan perangkat berusia 15 tahun melalui https / ssl. Sementara sebagian besar pelanggan telah meningkatkan ke perangkat baru, beberapa tidak.
jwenting
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.