Let's Encrypt fournit des certificats SSL gratuits. Existe-t-il des inconvénients par rapport à d'autres certificats payés, par exemple AWS Certificate Manager ?
Réponses:
Une durée de vie plus courte, c'est mieux. Tout simplement parce que la révocation est essentiellement théorique, on ne peut pas s'y fier en pratique (grande faiblesse de l'écosystème PKI public).
Sans automatisation: une durée de vie plus longue est plus pratique. LE peut ne pas être réalisable si, pour une raison quelconque, vous ne pouvez pas automatiser la gestion des certificats.
Avec l'automatisation: La durée de vie n'a pas d'importance.
Il est peu probable que les utilisateurs finaux aient une idée d'une manière ou d'une autre.
Letsencrypt fournit uniquement le niveau de vérification DV.
En achetant un certificat, vous obtenez le prix que vous payez (à partir de DV, avec le même niveau d'affirmation que pour LE).
DV = seul le contrôle du nom de domaine est vérifié.
OV = Les informations concernant l'entité propriétaire (organisation) sont également vérifiées.
EV = version plus complète de OV, qui a toujours été récompensée par la "barre verte" (mais la "barre verte" semble disparaître bientôt).
Lorsque vous utilisez LE, votre travail consiste à configurer l’automatisation nécessaire (dans ce contexte, pour prouver le contrôle de domaine). La quantité de travail dépend de votre environnement.
Lors de l’achat d’un cert, le niveau DV / OV / EV déterminera la quantité de travail manuel nécessaire pour obtenir le cert. Pour DV, cela se résume généralement à un assistant qui paye et copie / colle quelque chose ou en cliquant sur quelque chose. Pour OV et EV, vous pouvez compter sur le fait de devoir être contacté séparément pour effectuer des étapes supplémentaires afin de confirmer votre identité.
Les utilisateurs finaux reconnaissent probablement la "barre verte" actuelle de l'EV (qui s'en va), à part le fait qu'ils n'ont pas tendance à regarder le contenu du certificat.
Théoriquement, cependant, il est clairement plus utile avec un certificat qui indique des informations sur l'entité de contrôle. Mais les navigateurs (ou autres applications client) doivent commencer à montrer réellement cela avant que cela ait un effet sur l'utilisateur type.
Il est possible de faire les choses de manière incorrecte en exposant les clés privées ou similaires. Avec LE, l'outillage fourni est mis en place autour de pratiques raisonnables.
Avec une personne qui sait ce qu’elle fait, les étapes manuelles peuvent évidemment aussi être effectuées en toute sécurité.
LE est très destiné à automatiser tous les processus, leur service est entièrement basé sur des API et la courte durée de vie reflète également la manière dont tout est centré sur l'automatisation.
Lors de l'achat d'un certificat, même avec une autorité de certification fournissant des API à des clients réguliers (ce qui n'est pas vraiment la norme à ce stade-ci), il sera difficile d'automatiser correctement autre chose que le format DV.
Si vous optez pour les niveaux OV ou EV, vous ne pourrez probablement automatiser que partiellement le processus.
Si l'installation est effectuée correctement, l'utilisateur final ne saura évidemment pas comment cela s'est déroulé. Les chances de gâcher des choses (par exemple, d'oublier de renouveler ou d'effectuer une installation incorrecte lors du renouvellement) sont moins avec un processus automatisé.
Les moyens traditionnels d'achat de certificats sont particulièrement utiles si vous souhaitez des certificats OV / EV, n'automatisez pas la gestion des certificats ou souhaitez que les certificats soient utilisés dans un contexte autre que HTTPS.
D'un point de vue purement technique:
openssl x509 -in cert.pem -noout -text
Utilisation de la clé étendue X509v3:
authentification du serveur Web TLS, authentification du client Web TLS
Du point de vue de l'utilisateur final:
Je voudrais offrir quelques points de contraste pour les arguments utilisés contre Let's Encrypt ici.
Durée de vie courte
Oui, leur durée de vie est courte, comme expliqué dans la FAQ: https://letsencrypt.org/2015/11/09/why-90-days.html Pour citer la page:
Ils limitent les dommages causés par les compromis clés et les erreurs de publication. Les clés volées et les certificats erronés sont valables pour une période plus courte.
Ils encouragent l'automatisation, ce qui est absolument essentiel pour la facilité d'utilisation. Si nous allons déplacer l'intégralité du Web sur HTTPS, nous ne pouvons plus nous attendre à ce que les administrateurs système gèrent manuellement les renouvellements. Une fois que l'émission et le renouvellement sont automatisés, des durées de vie plus courtes ne seront pas moins pratiques que des durées plus longues.
Manque de VE
Il n'y a pas de plan pour le soutien EV. Le raisonnement (tiré de https://community.letsencrypt.org/t/plans-for-extended-validation/409 ) est le suivant:
Nous nous attendons à ce que Let's Encrypt ne prenne pas en charge le VE, car le processus de VE nécessitera toujours un effort humain, ce qui nécessitera de payer quelqu'un. Notre modèle consiste à émettre des certificats gratuitement, ce qui nécessite une automatisation de niveau qui ne semble pas compatible avec EV.
De plus, certains croient que l'EV est nocif, comme cet article de blog ( https://stripe.ian.sh/ ):
James Burton, par exemple, a récemment obtenu un certificat EV pour son entreprise "Identity Verified". Malheureusement, les utilisateurs ne sont tout simplement pas équipés pour gérer les nuances de ces entités, ce qui crée un vecteur important de phishing.
Sslstrip est un exemple classique du monde réel. Les sites d'homographes avec des certificats légitimement achetés constituent une attaque réelle pour laquelle EV ne fournit actuellement pas une défense suffisante.
Il existe deux groupes d'inconvénients qui méritent d'être pris en compte.
1. Inconvénients de l’utilisation du service Let's Encrypt
Let's Encrypt exige que le nom exact, ou le (sous-) domaine, si vous demandez un caractère générique, existe dans le DNS Internet public. Même si vous prouvez votre contrôle sur exemple.com, Let's Encrypt ne vous émettra pas de certificat pour certains.autres.nom.en.exemple.com sans voir cela dans un DNS public. Les ordinateurs nommés n'ont pas besoin d'enregistrements d'adresses publiques, ils peuvent être désactivés avec un pare-feu ou même physiquement déconnectés, mais le nom DNS public doit exister.
Encryptons la durée de vie des certificats de 90 jours, cela signifie que vous devez automatiser, car personne n’a le temps de le faire. C’est en fait l’intention du service - de motiver les gens à automatiser ce travail essentiel plutôt que de le faire de façon perverse manuellement tout en automatisant de nombreuses tâches plus difficiles. Mais si vous ne pouvez pas automatiser pour une raison quelconque, c'est un inconvénient - si vous avez des outils, des appliances ou tout autre dispositif d'automatisation en bloc, considérez les coûts de certificats SSL commerciaux comme faisant partie du coût permanent de ces outils / appliances / peu importe la planification des coûts. Économies compensées de manière à ne pas avoir à acheter de certificats commerciaux dans la tarification des nouveaux outils / appliances / etcetera qui automatisent cela (avec Let's Encrypt ou non)
L'automatisation de la preuve de contrôle Let's Encrypt peut ne pas correspondre aux règles de votre entreprise. Par exemple, si certains de vos employés sont autorisés à reconfigurer Apache mais ne doivent pas obtenir de certificats SSL pour les noms de domaine de société, Let's Encrypt ne convient pas. Notez que dans ce cas, leur non utilisation est la Wrong Thing (TM) que vous devez utiliser CAA pour désactiver explicitement Let's Encrypt pour vos domaines.
Si la politique de Let's Encrypt vous refuse, la seule "cour d'appel" est de demander dans ses forums publics et d'espérer qu'un de ses collaborateurs sera en mesure de proposer une solution. Cela peut arriver si, par exemple, votre site a un nom DNS que leurs systèmes jugent "similaire à la confusion" à certaines propriétés célèbres telles que les grandes banques ou Google. Pour des raisons valables, les politiques exactes de chaque autorité de certification publique à cet égard ne sont pas soumises à l'examen du public. Par conséquent, vous ne pouvez vous rendre compte que vous ne pouvez pas obtenir de certificat Let's Encrypt lorsque vous le demandez et que vous obtenez une réponse «La stratégie interdit ...».
2. Inconvénients d'un certificat Let's Encrypt lui-même
Aujourd'hui, les principaux navigateurs Web font confiance aux certificats Let's Encrypt via ISRG (l'organisme de bienfaisance fournissant le service Let's Encrypt), mais les systèmes plus anciens font confiance à Let's Encrypt via IdenTrust, une autorité de certification relativement obscure qui contrôle "DST Root CA X3". Cela fait le travail pour la plupart des gens, mais ce n'est pas la racine la plus largement reconnue dans le monde. Par exemple, la console Nintendo WiiU abandonnée possédait un navigateur Web. Évidemment, Nintendo n’enverra pas de mises à jour pour la WiiU et, de sorte que ce navigateur est abandonné, il ne fait pas confiance à Let's Encrypt.
Let's Encrypt n’émet que des certificats pour le Web PKI - des serveurs avec des noms Internet utilisant le protocole SSL / TLS. Il s’agit bien évidemment du Web et de votre IMAP, de votre SMTP, de certains types de serveurs VPN, de dizaines de choses, mais pas de tout. En particulier, Let's Encrypt ne propose aucun certificat pour S / MIME (un moyen de chiffrer un courrier électronique au repos, plutôt que juste en transit), ni pour la signature de code ou la signature de document. Si vous voulez un "guichet unique" pour les certificats, cela peut être une raison suffisante pour ne pas utiliser Let's Encrypt.
Même dans la PKI Web, Encrypt propose uniquement des certificats "DV", ce qui signifie que les détails vous concernant ou concernant votre organisation, autres que les noms de domaine complets, ne sont pas mentionnés dans le certificat. Même si vous les écrivez dans un CSR, ils sont simplement rejetés. Cela peut être un bloqueur pour certaines applications spécialisées.
Automatisons par Encryptage signifie que vous êtes contraint par ce que l'automatisation permet, même s'il n'y a pas d'autres raisons pour lesquelles vous ne pouvez pas avoir quelque chose. De nouveaux types de clé publique, de nouvelles extensions X.509 et d’autres ajouts doivent être explicitement activés par Let's Encrypt sur leur propre scénario, et bien sûr, vous ne pouvez pas simplement proposer de payer un supplément pour obtenir les fonctionnalités souhaitées, bien que les dons soient les bienvenus.
Néanmoins, pour presque tout le monde, presque toujours, Let's Encrypt est un bon premier choix pour placer des certificats sur vos serveurs TLS de manière répétitive. En partant de l’idée que vous utiliserez Let's Encrypt, c’est un moyen judicieux d’aborder cette décision.
À moins que vous n'ayez besoin d'un certificat pour autre chose que le Web , il n'y a pas de réel inconvénient, mais bien de perçu . Bien que les problèmes ne soient que perçus, en tant que propriétaire d’un site Web, vous n’avez peut-être pas d'autre choix que de les résoudre (si l'intérêt commercial interdit de montrer le majeur).
Le plus gros inconvénient est, pour le moment, que votre site sera légèrement inférieur, voire dangereux, car il ne possède pas le joli badge vert que certains autres sites ont. Qu'est-ce que ce badge signifie? Rien, vraiment. Mais cela suggère que votre site est "sécurisé" (certains navigateurs utilisent même ce mot-là). Hélas, les utilisateurs sont des personnes, et les gens sont stupides. L'un ou l'autre considérera votre site comme non fiable (sans en comprendre les implications) simplement parce que le navigateur ne dit pas qu'il est sécurisé.
Si ignorer ces clients / visiteurs est une possibilité valable, pas de problème. Si vous ne pouvez vous le permettre, vous devrez dépenser de l'argent. Aucune autre option.
L'autre problème perçu est celui de la durée de vie d'un certificat. Mais c'est en fait un avantage, pas un inconvénient. Une validité plus courte signifie que les certificats doivent être mis à jour plus souvent, tant côté serveur que côté client.
Côté serveur, cela se produit avec un crontravail, donc c'est moins fastidieux et plus fiable que d'habitude. Vous ne pouvez pas oublier, vous ne pouvez pas être en retard, vous ne pouvez pas faire quelque chose de mal, vous n'avez pas besoin de vous connecter avec un compte administratif (... plus d'une fois). Du côté client, alors quoi. Les navigateurs mettent à jour les certificats tout le temps, ce n'est pas grave. L'utilisateur ne sait même pas que cela se produit. Il y a très légèrement plus de trafic lors de la mise à jour tous les 3 mois au lieu de tous les 2 ans, mais sérieusement ... que n'est pas un problème.
web? Les certificats de letencrypt étaient insuffisants pour moi car je devais utiliser mon propre serveur de messagerie
J'en ajouterai un qui a en partie forcé mon employeur à quitter Lets Encrypt: la limitation du taux de l'API. En raison de la courte durée de vie et de l’absence de prise en charge des caractères génériques, il est très facile de se rapprocher des limites de débit pendant les opérations automatisées normales (renouvellement automatique, etc.). Essayer d'ajouter un nouveau sous-domaine peut vous pousser à dépasser la limite de débit, et LE n'a aucun moyen de remplacer manuellement la limite une fois atteinte. Si vous ne sauvegardez pas les anciens certificats (qui le ferait dans un environnement de microservices automatisé de type cloud comme le prévoit LE?), Tous les sites affectés se déconnectent car LE ne réémet pas les certificats.
Lorsque nous avons réalisé ce qui s'était passé, il y a eu un moment de "oh $ #! #" Suivi d'une demande de certificat commercial d'urgence juste pour remettre les sites de production en ligne. Un avec une durée de vie plus raisonnable de 1 an. Jusqu'à ce que LE mette en place le support approprié (et même alors), nous allons nous méfier de leurs offres.
Le caractère générique de Tl; dr: LE + API limite la gestion de quelque chose de plus complexe que "Ma page d'accueil personnelle" et pose des défis inattendus, tout en promouvant de mauvaises pratiques de sécurité.
Oui.
Inconvénients de l'utilisation d'un certificat SSL gratuit ou crypté -
Problème de compatibilité - Cryptons le certificat SSL qui n'est pas compatible avec toutes les plateformes. Voir ce lien pour connaître la liste des plateformes incompatibles -
Moins de validité - Un certificat SSL crypté est livré avec une validité limitée à 90 jours. Vous devez renouveler votre certificat SSL tous les 90 jours. Où comme un SSL payé comme Comodo vient avec une longue validité comme 2 ans.
Pas de validation commerciale - Un certificat SSL gratuit ne nécessite qu'une validation de domaine. Aucune validation d'entreprise ou d'organisation pour assurer les utilisateurs d'une entité commerciale légale.
Adapté aux petites entreprises ou aux sites de blogs - Comme je l'ai ajouté au dernier point, un certificat SSL gratuit ou crypté peut être utilisé par le biais de la vérification de la propriété du domaine.
Pas de barre d'adresse verte - Vous ne pouvez pas avoir de barre d'adresse verte avec un certificat SSL gratuit. Un certificat SSL de validation étendue est le seul moyen d’afficher le nom de votre entreprise avec une barre d’adresse verte sur le navigateur.
Pas de support - Si vous vous retrouvez coincé entre le chemin avec Let's cryptage, vous pouvez avoir une discussion en ligne ou appeler le support. Vous pouvez contacter via des forums uniquement pour vous débarrasser du problème.
Fonctionnalités de sécurité supplémentaires - Un certificat SSL gratuit n'offre aucune fonctionnalité supplémentaire telle que l'analyse gratuite des logiciels malveillants, le sceau du site, etc.
Aucune garantie - Un certificat SSL gratuit ou crypté n'offre aucune garantie alors qu'un certificat SSL payé offre une garantie de 10 000 $ à 1 750 000 $.
Selon une nouvelle , 14 766 certificats Encryptons-nous Encodons sur des sites de phishing PayPal, car ils ne nécessitent que la validation de domaine
Donc, selon ma recommandation, payer pour un certificat SSL vaut vraiment la peine.
Après quelques recherches, j'ai découvert que les certificats de Let's Encrypt sont moins compatibles avec les navigateurs que les certificats payants. (Sources: Let's Encrypt vs. Comodo PositiveSSL )