Domanda:
Ci sono svantaggi nell'utilizzo di Let's Encrypt per i certificati SSL di un sito web?
Dolan Antenucci
2015-06-06 18:54:46 UTC
view on stackexchange narkive permalink

Dal punto di vista dei vantaggi, vedo diversi vantaggi nell'utilizzo del servizio Let's Encrypt (ad esempio, il servizio è gratuito, facile da configurare e di facile manutenzione). Mi chiedo, se ce ne sono, quali sono gli svantaggi dell'utilizzo di Let's Encrypt? Qualche motivo per cui gli operatori di siti web, grandi come Twitter o piccoli come un fotografo locale, non dovrebbero prendere in considerazione la possibilità di sostituire i loro servizi SSL esistenti con aziende come GoDaddy con questo servizio?

(Se il servizio non è ancora disponibile , questo svantaggio può essere ignorato: mi chiedo di più sugli svantaggi una volta che sarà disponibile per l'uso pubblico in generale.

Il 3 dicembre 2015, Let's Encrypt (versione beta) è diventato disponibile per il pubblico in generale.
Uno dei motivi per cui mi sono imbattuto è perché non funziona!Guarda tutti i problemi!https://github.com/certbot/certbot/issues e https://community.letsencrypt.org/.Se paghi per il certificato, ottieni (un po ') supporto ed è manuale, quindi niente da rompere.
Cinque risposte:
Simone Carletti
2016-03-02 05:15:53 UTC
view on stackexchange narkive permalink

Let's Encrypt è un'autorità di certificazione e ha più o meno gli stessi privilegi e potere di qualsiasi altra autorità di certificazione esistente (e più grande) sul mercato.

Ad oggi, l'obiettivo principale svantaggio dell'utilizzo di un certificato Let's Encrypt è la compatibilità. Questo è un problema che deve affrontare qualsiasi nuova CA quando si avvicina al mercato.

Affinché un certificato sia attendibile, deve essere firmato da un certificato appartenente a una CA attendibile. Per essere attendibile, una CA deve disporre del certificato di firma in bundle nel browser / sistema operativo. Una CA che entra nel mercato oggi, supponendo che siano approvate al programma di certificazione radice di ciascun browser / OS dal giorno 0 (cosa impossibile), sarà inclusa nelle versioni correnti dei vari browser / OS. Tuttavia, non potranno essere inclusi nelle versioni precedenti (e già rilasciate).

In altre parole, se un CA Foo si unisce al programma root il giorno 0 quando la versione di Google Chrome è la 48 e Max OSX è 10.7, la Foo CA non sarà inclusa (e considerata attendibile) in nessuna versione di Chrome precedente alla 48 o Mac OSX precedente alla 10.7. Non puoi fidarti retroattivamente di una CA.

Per limitare il problema di compatibilità, Let's Encrypt ha ottenuto la firma incrociata del certificato radice da un'altra CA precedente (IdenTrust). Ciò significa che un client che non include il certificato radice LE può ancora eseguire il fallback su IdenTrust e il certificato sarà considerato attendibile ... in un mondo ideale. In effetti, sembra che ci siano vari casi in cui ciò non sta accadendo attualmente (Java, Windows XP, iTunes e altri ambienti). Pertanto, questo è il principale svantaggio dell'utilizzo di un certificato Let's Encrypt: una compatibilità ridotta rispetto ad altri concorrenti più vecchi.

Oltre alla compatibilità, altri possibili svantaggi sono essenzialmente legati alla politica di emissione di Let's Encrypt e alle loro decisioni aziendali. Come qualsiasi altro servizio, potrebbero non offrire alcune funzionalità di cui hai bisogno.

Ecco alcune differenze notevoli di Let's Encrypt rispetto ad altre CA ( ho anche scritto un articolo su di loro):

I punti precedenti non sono necessariamente degli svantaggi. Tuttavia, sono decisioni aziendali che potrebbero non soddisfare i tuoi requisiti specifici e in tal caso rappresenteranno degli svantaggi rispetto ad altre alternative.

il limite di frequenza principale è 20 certificati per dominio registrato a settimana. Tuttavia, ciò non limita il numero di rinnovi che puoi emettere ogni settimana.

Sicuramente la risposta migliore e più oggettiva.Ottima anche la spiegazione del problema della fiducia.
Certificati con caratteri jolly per Let's encrypt in arrivo a gennaio 2018 https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html
Ho notato che il certificato rilasciato a * .stackexchange.com da Let's Encrypt Authority :)
Romeo Ninov
2015-06-06 20:02:15 UTC
view on stackexchange narkive permalink

Il motivo per utilizzare Let's Encrypt può essere il prezzo. Quei certificati saranno gratuiti.

Ma vedo un possibile svantaggio per i siti web non piccoli. Le grandi CA offrono certificati jolly, certificati Extended Validation che presentano alcuni vantaggi (dal mio punto di vista). Inoltre questo programma è diretto ai server web, ma cosa succede se si dispone di un server di applicazioni o si desidera proteggere il server di posta

Aggiornamento : Attualmente è possibile richiedere un certificato, non vincolato a server web. Quindi il mio ultimo argomento non è più valido. ecco un esempio di utilizzo di questa opzione: 

  ./letsencrypt-auto certonly --standalone -d example.com

Update2 : da gennaio 2018 Let's Encrypt inizierà a rilasciare certificati con caratteri jolly

Certificati con caratteri jolly in arrivo a gennaio 2018

6 luglio 2017 • Josh Aas, direttore esecutivo dell'ISRG

Let's Encrypt inizierà a emettere certificati con caratteri jolly a gennaio 2018. I certificati con caratteri jolly sono una funzionalità comunemente richiesta e comprendiamo che ci sono alcuni casi d'uso in cui rendono più semplice la distribuzione di HTTPS. La nostra speranza è che l'offerta di caratteri jolly aiuti ad accelerare il progresso del Web verso il 100% HTTPS.

Quindi un altro argomento non è più valido.

Aspetti positivi sui certificati Extended Validation e sul supporto di Let's Encrypt per i server delle applicazioni non sono chiari. Per quanto riguarda i certificati con caratteri jolly, ci sono dei vantaggi rispetto a un numero comunque elevato di certificati Let's Encrypt? Immagino che uno sia che non devi impostarne uno per * ogni * sottodominio né per quelli nuovi futuri. Fammi sapere se vedi altri vantaggi. Grazie
@DolanAntenucci, con certificato jolly è possibile semplificare il processo di distribuzione su tutta la gamma di server. E (solo per esempio) vedo sul sito del programma dimostrato il comando Debian / Ubuntu (la speranza sarà per altre distribuzioni come SuSE e RHEL / CentOS). Forse ci sarà uno strumento del genere per * BSD. Ma per quanto riguarda Solaris x86, Windows? Per i sottodomini - questo può essere uno svantaggio del certificato con caratteri jolly poiché possono funzionare solo in un dominio, ovvero * example.com non servirà romeo.ninov.example.com. In generale per me sembra una buona e saggia iniziativa, ma vediamo :)
"ma cosa succede se si dispone di un server di applicazioni o si desidera proteggere il server di posta" - Si richiede il certificato per il dominio appropriato, possibilmente con il metodo "standalone", e lo si applica nella configurazione del server di posta.
@dequis, richiedi il certificato per l'host, non per il dominio. Per essere applicabile al dominio dovrebbe essere un carattere jolly (che non è possibile con questo programma)
Non vedo alcun motivo per cui un server di posta richieda un certificato con caratteri jolly. Ci sono persone che usano già letsencrypt per questo scopo: https://community.letsencrypt.org/t/use-on-non-web-servers/425
Se esiste già un utilizzo diverso dal web, posso solo ammirare questo :) Informazioni sul certificato con caratteri jolly: sì, solo per il server di posta non ha senso, ma lo stesso certificato può essere utilizzato per altri server nel dominio
Puoi richiedere più domini per certificato, in modo da ottenere un certificato che copre wiki.example.com, mail.example.com, www.example.com, example.com. Semplicemente non coprirà i sottodomini che non richiedi / verifichi esplicitamente
@bobpaul, per essere precisi il certificato è per l'host (se non è jolly). E sì, puoi definire certificati per tutti gli host di cui hai bisogno per quanto gestisci questo dominio
In tutta onestà, sono tutt'altro che certo che ** tutte ** le altre CA (o anche quelle che vendono certificati per denaro) offrano certificati OV o EV.Ma ovviamente, se vuoi qualcosa di più di un certificato convalidato dal dominio, Let's Encrypt ovviamente non fa per te.
Alasjo
2015-06-06 20:04:13 UTC
view on stackexchange narkive permalink

Uno svantaggio che spinge le grandi aziende a non prendere in considerazione Let's Encrypt è che i visitatori che si collegano al sito non possono essere sicuri che sia la società effettiva che ospita il sito.

Questo perché Let's Encrypt ha problemi certificati gratuiti per un dominio senza convalida dell'identità (personale o aziendale) ( Let's Encrypt offre solo la convalida del dominio).

Modificato per aggiungere: Per lo scopo della trasmissione sicura non è un grosso problema. Tuttavia, se desideri verificare che sia l'azienda che stavi cercando a detenere il nome di dominio, una ricerca whois potrebbe non essere sufficiente. I certificati di classe 2 o 3 o EV hanno il vantaggio che l'azienda e il dominio vengono verificati dall'autorità di certificazione.

Non sono sicuro che questo sia il motivo per cui le grandi aziende non lo sceglieranno. Le grandi aziende hanno maggiori probabilità di aver bisogno di certificati con caratteri jolly (ci sono alcune situazioni in cui non è possibile aggirare utilizzando un certificato con caratteri jolly in IIS) e Let's Encrypt ti limita a 5 azioni / 7 giorni per dominio. Quindi, se hai molti server e molti sottodomini, potrebbe essere teoricamente difficile programmare tutti i tuoi rinnovi entro il periodo di 90 giorni, e questo presumendo che Let's Encrypt non subisca mai un errore che impedisce le iscrizioni per alcuni giorni.
90 giorni urla fly-by-night, perché aumentare il carico di lavoro. Inoltre dipendono dal tempo, non dai soliti metodi CRL per la revoca e questo è già stato sfruttato con una scusa inutile che la revoca non era davvero necessaria. Sebbene tu possa revocare il tuo certificato, è necessario revocare l'attività criminale.
@Alasjo, La tua risposta include una tattica un po 'spaventosa ed è quindi un po' poco chiara.Let's Encrypt non emette certificati DV liberamente.Richiedono la convalida del dominio proprio come qualsiasi altra CA.È vero che le grandi aziende possono desiderare qualcosa oltre la convalida del dominio per il loro dominio principale, ma non sempre, e la questione non è nemmeno esclusiva delle grandi aziende.
@GeorgeBailey Avevi ragione sul fatto che la mia formulazione era un po 'poco chiara e ho modificato la mia risposta per riflettere che è "gratuita", non "data via liberamente".Grazie.Ho anche aggiunto una nota sul motivo per cui penso che la convalida dell'identità sia utile.
In tutta onestà, sono tutt'altro che certo che ** tutte ** le altre CA (o anche quelle che vendono certificati per denaro) offrano certificati OV o EV.Ma ovviamente, se vuoi qualcosa di più di un certificato convalidato dal dominio, Let's Encrypt ovviamente non fa per te.
Chintak Chhapia
2017-09-12 13:46:44 UTC
view on stackexchange narkive permalink

Un altro problema con l'utilizzo di Let'encrypt è che nello scenario aziendale è necessario installare il certificato anche sul bilanciatore del carico e sul provider CDN. Non tutti i provider CDN dispongono di API per modificare questa impostazione automaticamente. Inoltre, da ora in poi, la validità di Let's encrypt è di 90 giorni, il che complica ulteriormente questo processo.

encrypto
2018-10-19 00:02:14 UTC
view on stackexchange narkive permalink

Sì, utilizzando Let's Encrypt revochi il tuo diritto di difendere la tua proprietà intellettuale, inclusi brevetti, marchi, segreti commerciali o copyright contro la violazione da parte di ISRG.

https://letsencrypt.org/ documenti / LE-SA-v1.1.1-August-1-2016.pdf

IN MODO DI ULTERIORE SPIEGAZIONE RIGUARDO L'AMBITO DI ESCLUSIONE DI RESPONSABILITÀ E SENZA RINUNCIARE O LIMITARE QUANTO PRECEDENTE IN ALCUN MODO, ISRG NON ​​FORNISCE, E ISRG ESPRESSAMENTE DECLINA, QUALSIASI GARANZIA RIGUARDO AL DIRITTO DI UTILIZZARE QUALSIASI TECNOLOGIA, INVENZIONE, DESIGN TECNICO, PROCESSO O METODO COMMERCIALE UTILIZZATO NELL'EMISSIONE DI CERTIFICATI DI CRYPT O NELLA FORNITURA DI QUALSIASI SERVIZIO ISRG. L'UTENTE RINUNCIA AFFERMATIVAMENTE ED ESPRESSAMENTE AL DIRITTO DI RENDERE ISRG RESPONSABILE IN QUALSIASI MODO, O CHIEDERE INDENNIZZO CONTRO ISRG, PER QUALSIASI VIOLAZIONE DEI DIRITTI DI PROPRIETÀ INTELLETTUALE, COMPRESI BREVETTO, MARCHIO COMMERCIALE, SEGRETO COMMERCIALE O COPYRIGHT.

L'ultima frase.

La tua interpretazione è completamente sbagliata.Potrei esporre la giustificazione legale riga per riga, ma questo sarebbe davvero per un esperto legale a intervenire, e c'è law.stackexchange.com per questo.
Per aiutarti, ho posto la domanda: https://law.stackexchange.com/questions/32735/revoking-my-right-to-defend-my-intellectual-property-by-using-lets-encrypt


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...