Let's Encrypt está proporcionando certificados SSL gratuitos. ¿Hay inconvenientes en comparación con otros certificados pagados, por ejemplo, AWS Certificate Manager ?
Respuestas:
Una vida útil más corta es mejor. Simplemente porque la revocación es principalmente teórica, en la práctica no se puede confiar en ella (gran debilidad en el ecosistema público de PKI).
Sin automatización: una vida útil más larga es más conveniente. LE puede no ser factible si, por alguna razón, no puede automatizar la administración de certificados
Con automatización: Lifespan no importa.
Es poco probable que los usuarios finales tengan alguna idea de una forma u otra.
Letsencrypt proporciona solo el nivel de verificación DV.
Al comprar un certificado, obtienes lo que pagas (a partir de DV, con el mismo nivel de afirmación que con LE).
DV = solo se verifica el control del nombre de dominio.
OV = la información de la entidad propietaria (organización) se verifica además.
EV = versión más completa de OV, que tradicionalmente ha sido galardonada con la "barra verde" (pero la "barra verde" parece desaparecer pronto).
Cuando usa LE, el trabajo que realiza es configurar la automatización necesaria (en este contexto, para probar el control de dominio). La cantidad de trabajo dependerá de su entorno.
Al comprar un certificado, el nivel DV / OV / EV definirá cuánto trabajo manual se requerirá para obtener el certificado. Para DV, generalmente se reduce a través de un asistente que paga y copia / pega algo o hace clic en algo, para OV y EV puede contar con la necesidad de ser contactado por separado para realizar pasos adicionales para confirmar su identidad.
Los usuarios finales probablemente reconocen la actual "barra verde" de EV (que está desapareciendo), aparte de eso, no tienden a mirar realmente el contenido del certificado.
Sin embargo, teóricamente, es claramente más útil con un certificado que establece información sobre la entidad controladora. Pero los navegadores (u otras aplicaciones cliente) deben comenzar a mostrar esto de una manera útil antes de que tenga algún efecto para el usuario típico.
Es posible hacer las cosas incorrectamente de manera que expongan claves privadas o similares. Con LE, las herramientas proporcionadas se configuran en torno a prácticas razonables.
Con una persona que sabe lo que está haciendo, los pasos manuales obviamente también se pueden hacer de forma segura.
LE tiene la intención de tener todos los procesos automatizados, su servicio está completamente basado en API y la corta vida útil también refleja cómo todo se centra en la automatización.
Al comprar un certificado, incluso con una CA que proporciona API a clientes habituales (en realidad no es la norma en este momento), será difícil automatizar adecuadamente cualquier cosa que no sea DV y con DV está pagando esencialmente lo mismo que proporciona LE.
Si va por niveles de OV o EV, probablemente solo pueda automatizar parcialmente el proceso.
Si la instalación se realiza correctamente, el usuario final obviamente no sabrá cómo se hizo. Las posibilidades de estropear las cosas (por ejemplo, olvidarse de renovar o hacer la instalación incorrectamente al renovar) son menores con un proceso automatizado.
Los medios tradicionales de compra de certificados son particularmente útiles si desea certificados OV / EV, no está automatizando la gestión de certificados o desea que los certificados se utilicen en otro contexto que no sea HTTPS.
Desde una perspectiva puramente técnica:
openssl x509 -in cert.pem -noout -text
Uso de clave extendida X509v3:
autenticación de servidor web TLS, autenticación de cliente web TLS
Desde la perspectiva del usuario final:
Me gustaría ofrecer algunos contrapuntos para los argumentos utilizados contra Let's Encrypt aquí.
Corta vida
Sí, tienen una vida útil corta como se explica en las preguntas frecuentes: https://letsencrypt.org/2015/11/09/why-90-days.html Para citar la página:
Limitan los daños causados por compromisos clave y errores de emisión. Las llaves robadas y los certificados emitidos incorrectamente son válidos por un período de tiempo más corto.
Fomentan la automatización, que es absolutamente esencial para la facilidad de uso. Si vamos a mover toda la Web a HTTPS, no podemos seguir esperando que los administradores del sistema manejen manualmente las renovaciones. Una vez que la emisión y la renovación están automatizadas, las vidas más cortas no serán menos convenientes que las más largas.
Falta de EV
No hay un plan para el soporte EV. El razonamiento (de https://community.letsencrypt.org/t/plans-for-extended-validation/409 ) es:
Esperamos que Let's Encrypt no sea compatible con EV, porque el proceso EV siempre requerirá un esfuerzo humano, lo que requerirá pagarle a alguien. Nuestro modelo es emitir certificados de forma gratuita, lo que requiere una automatización de nivel que no parece compatible con EV.
Además, hay algunos que creen que EV es dañino, como esta publicación de blog ( https://stripe.ian.sh/ ):
James Burton, por ejemplo, recientemente obtuvo un certificado EV para su compañía "Identity Verified". Desafortunadamente, los usuarios simplemente no están equipados para lidiar con los matices de estas entidades, y esto crea un vector significativo para el phishing.
Un ejemplo clásico de esto en el mundo real es sslstrip. Los sitios de homógrafos con certificados comprados legítimamente son un ataque del mundo real para el cual EV no proporciona una defensa suficiente en la actualidad.
Hay dos grupos de desventajas que vale la pena considerar.
1. Desventajas de usar el servicio Let's Encrypt
Let's Encrypt requiere que el nombre exacto, o el (sub) dominio si está solicitando un comodín, exista en el DNS público de Internet. Incluso si demuestra el control sobre example.com, Let's Encrypt no le emitirá certificados para some.other.name.in.example.com sin ver eso en el DNS público. Las máquinas nombradas no necesitan tener registros de direcciones públicas, pueden ser cortafuegos o incluso desconectarse físicamente, pero el nombre DNS público debe existir.
Encriptemos la vida útil de los certificados de 90 días, lo que significa que necesita automatizar porque nadie tiene tiempo para eso. De hecho, esta es la intención del servicio: guiar a las personas hacia la automatización de este trabajo esencial en lugar de hacerlo de manera perversa manualmente mientras automatizan muchas tareas más difíciles. Pero si no puede automatizar por alguna razón, es negativo: si tiene herramientas, dispositivos o lo que sea que bloquee la automatización, considere los costos comerciales de certificados SSL como parte del costo continuo de esas herramientas / dispositivos / lo que sea en la planificación de costos. Por el contrario, compensa los ahorros de no tener que comprar certificados comerciales en el precio de nuevas herramientas / electrodomésticos / etcétera que automatizan esto (con Let's Encrypt o no)
Es posible que la automatización de la prueba de control Let's Encrypt no se ajuste a las reglas de su organización. Por ejemplo, si tiene empleados a los que se les permite reconfigurar Apache pero no deberían obtener certificados SSL para los nombres de dominio de la compañía, Let's Encrypt no es adecuado. Tenga en cuenta que, en este caso, simplemente no usarlos es Wrong Thing (TM), debe usar CAA para deshabilitar explícitamente Let's Encrypt para sus dominios.
Si la política de Let's Encrypt lo rechaza, el único "tribunal de apelación" es preguntar en sus foros públicos y esperar que uno de sus empleados pueda ofrecer un camino a seguir. Esto puede suceder si, por ejemplo, su sitio tiene un nombre DNS que sus sistemas deciden que es "confusamente similar" a ciertas propiedades famosas como los grandes bancos o Google. Por razones razonables, las políticas exactas de cada CA pública a este respecto no están abiertas al escrutinio público, por lo que solo puede darse cuenta de que no puede tener un certificado Let's Encrypt cuando lo solicita y obtiene una respuesta de "Política prohíbe ...".
2. Desventajas de un certificado Let's Encrypt
Los principales navegadores web confían en los certificados Let's Encrypt hoy en día a través de ISRG (la organización benéfica que proporciona el servicio Let's Encrypt), pero los sistemas más antiguos confían en Let's Encrypt a través de IdenTrust, una Autoridad de Certificación relativamente oscura que controla "DST Root CA X3". Esto hace el trabajo para la mayoría de las personas, pero no es la raíz más confiable del mundo. Por ejemplo, la consola Nintendo WiiU abandonada tenía un navegador web, obviamente Nintendo no enviará actualizaciones para WiiU y, por lo tanto, ese navegador está abandonado, no confía en Let's Encrypt.
Let's Encrypt solo emite certificados para la Web PKI: servidores con nombres de Internet que utilizan el protocolo SSL / TLS. Así que obviamente es la Web, y su IMAP, SMTP, algunos tipos de servidores VPN, docenas de cosas, pero no todo. En particular, Let's Encrypt no ofrece certificados para S / MIME (una forma de cifrar el correo electrónico en reposo, en lugar de solo cuando está en tránsito) ni para la firma de código o la firma de documentos. Si desea una "ventanilla única" para certificados, esta puede ser una razón suficiente para no usar Let's Encrypt.
Incluso en la Web PKI, Let's Encrypt ofrece solo certificados "DV", lo que significa que cualquier detalle sobre usted o su organización que no sean FQDN no se menciona en el certificado. Incluso si los escribe en una CSR, simplemente se descartan. Esto puede ser un bloqueador para algunas aplicaciones especializadas.
Encriptemos la automatización significa que está limitado exactamente por lo que permite la automatización, incluso si no hay otras razones por las que no puede tener algo. Let's Encrypt debe habilitar explícitamente nuevos tipos de clave pública, nuevas extensiones X.509 y otras adiciones en su propia línea de tiempo, y por supuesto, no puede simplemente ofrecer pagar extra para obtener las funciones que desea, aunque las donaciones son bienvenidas.
Sin embargo, para casi todo el mundo, casi siempre, Let's Encrypt es una buena primera opción para colocar certificados en sus servidores TLS de una manera fácil. Comenzar con el supuesto de que usará Let's Encrypt es una forma sensata de abordar esta decisión.
A menos que necesite un certificado para otra cosa que no sea web , no hay inconvenientes reales , pero seguramente se perciben . Aunque los problemas solo se perciben, como propietario de un sitio web, es posible que no tenga otra opción que abordarlos (si el interés comercial prohíbe mostrar el dedo medio).
El mayor inconveniente es, por el momento, que su sitio se mostrará como algo inferior, tal vez peligroso porque no tiene la bonita insignia verde que tienen otros sitios. ¿Qué significa esa insignia? Nada en realidad. Pero sugiere que su sitio es "seguro" (algunos navegadores incluso usan esa palabra exacta). Por desgracia, los usuarios son personas y las personas son estúpidas. Uno u otro considerará que su sitio no es confiable (sin comprender ninguna de las implicaciones) simplemente porque el navegador no dice que sea seguro.
Si ignorar a estos clientes / visitantes es una posibilidad válida, no hay problema. Si no puede permitirse el lujo de hacer negocios, tendrá que gastar dinero. No hay otra opción.
El otro problema percibido es el de la vida útil del certificado. Pero en realidad es una ventaja, no una desventaja. Una validez más corta significa que los certificados deben actualizarse con más frecuencia, tanto del lado del servidor como del lado del cliente, de acuerdo.
En cuanto al lado del servidor, esto sucede con un crontrabajo, por lo que en realidad es menos complicado y más confiable de lo habitual. No hay forma de olvidarlo, no hay manera de llegar tarde, no hay forma de hacer algo mal de forma accidental, no es necesario iniciar sesión con una cuenta administrativa (... más de una vez). En el lado del cliente, y qué. Los navegadores actualizan certificados todo el tiempo, no es gran cosa. El usuario ni siquiera sabe que sucede. Hay un poco más de tráfico al actualizar cada 3 meses en lugar de cada 2 años, pero en serio ... eso No es un problema.
web? letsencrypt certificados fueron insuficientes para mí porque tenía que dirigir mi propio servidor de correo electrónico
Agregaré uno que obligó a mi empleador a alejarse en parte de Lets Encrypt: la limitación de la tasa API. Debido a la corta vida útil y la falta de compatibilidad con comodines, es muy fácil acercarse a los límites de velocidad durante las operaciones automáticas normales (renovación automática, etc.). Intentar agregar un nuevo subdominio puede llevarlo por encima del límite de velocidad, y LE no tiene forma de anular manualmente el límite una vez alcanzado. Si no realiza una copia de seguridad de los certificados antiguos (¿quién lo haría en un entorno de microservicios de tipo nube automatizado como LE imagina?) Todos los sitios afectados se desconectan ya que LE no volverá a emitir los certificados.
Cuando nos dimos cuenta de lo que sucedió, hubo un momento de "oh $ #! #" Seguido de una solicitud de certificado comercial de emergencia solo para que los sitios de producción volvieran a estar en línea. Uno con una vida útil más razonable de 1 año. Hasta que LE implemente el soporte comodín adecuado (e incluso entonces), seremos muy cautelosos con sus ofertas.
Tl; dr: LE comodín + límites de API hacen que la gestión de algo más complejo que "Mi página de inicio personal" sea un desafío inesperado, y promueve prácticas de seguridad deficientes en el camino.
Si.
Lo malo de usar un certificado SSL gratuito o Let's cifre
Problema de compatibilidad: cifremos el certificado SSL no compatible con todas las plataformas. Consulte este enlace para conocer la lista de plataformas incompatibles:
Menos validez: un certificado SSL con cifrado Let's Let's Encip tiene una validez limitada de 90 días. Debe renovar su Certificado SSL cada 90 días. Donde como un SSL de pago como Comodo viene con una larga validez como 2 años.
Sin validación comercial: un certificado SSL gratuito solo requiere validación de dominio. Ninguna validación de empresa u organización para garantizar usuarios para una entidad comercial legal.
Adecuado para pequeñas empresas o sitios de blogs: como agregué en el último punto, un certificado SSL gratuito o encriptado se puede utilizar a través de la verificación de propiedad del dominio, no es apropiado para un sitio web comercial o de comercio electrónico donde la confianza y la seguridad son un factor importante para los negocios.
Sin barra de direcciones verde: no puede tener una barra de direcciones verde con un Certificado SSL gratuito. Un certificado SSL de validación extendida es la única forma de mostrar el nombre de su empresa con la barra de direcciones verde en el navegador.
Sin soporte: si se atascó en el camino con el cifrado Let's, puede obtener chat en línea o llamar al soporte. Puedes contactar a través de foros solo para deshacerte del problema.
Funciones de seguridad adicionales: un certificado SSL gratuito no ofrece ninguna función adicional, como análisis de malware gratuito, sellado de sitios, etc.
Sin garantía: un certificado SSL gratuito o Let's cifre no ofrece ningún monto de garantía, mientras que un certificado SSL pagado ofrece una garantía de $ 10,000 a $ 1,750,000.
Según una noticia , 14,766 encriptamos certificados SSL emitidos a sitios de phishing de PayPal, ya que solo requiere validación de dominio
Entonces, según mi recomendación, pagar por un Certificado SSL realmente vale la pena.
Después de algunas investigaciones descubrí que los certificados Let's Encrypt son menos compatibles con los navegadores que los certificados pagados. (Fuentes: Let's Encrypt vs. Comodo PositiveSSL )