Let's Encrypt está fornecendo certificados SSL gratuitos. Existem desvantagens em comparação com outros certificados pagos, por exemplo, AWS Certificate Manager ?
AskOverflow.Dev
Vida útil do certificado
Segurança
Vida útil mais curta é melhor. Simplesmente porque a revogação é principalmente teórica, na prática não se pode confiar nela (grande fraqueza no ecossistema de PKI pública).
Gestão
Sem automação: maior vida útil é mais conveniente. LE pode não ser viável se você, por qualquer motivo, não puder automatizar o gerenciamento de certificados
Com automação: A vida útil não importa.
Impressão do usuário final
É improvável que os usuários finais tenham alguma ideia de uma forma ou de outra.
Nível de verificação
Segurança
Letsencrypt fornece apenas nível DV de verificação.
Comprando um cert você recebe o que você paga (começando no DV, com o mesmo nível de assertividade do LE).
DV = somente o controle de nome de domínio é verificado.
OV = as informações da entidade proprietária (organização) são verificadas adicionalmente.
EV = versão mais completa do OV, que tradicionalmente foi premiado com a "barra verde" (mas a "barra verde" parece estar desaparecendo em breve).
Gestão
Ao usar o LE, o trabalho que você faz é configurar a automação necessária (neste contexto, para provar o controle de domínio). A quantidade de trabalho dependerá do seu ambiente.
Ao comprar um certificado, o nível DV/OV/EV definirá quanto trabalho manual será necessário para obter o certificado. Para DV, normalmente se resume a passar por um assistente pagando e copiando / colando algo ou clicando em algo, para OV e EV, você pode contar com a necessidade de ser contatado separadamente para executar etapas adicionais para confirmar sua identidade.
Impressão do usuário final
Os usuários finais provavelmente reconhecem a "barra verde" atual do EV (que está desaparecendo), exceto que eles não tendem a realmente olhar para o conteúdo do certificado.
Teoricamente, porém, é claramente mais útil com um certificado que declare informações sobre a entidade controladora. Mas os navegadores (ou outros aplicativos clientes) precisam começar a mostrar isso de uma maneira útil antes que isso tenha algum efeito para o usuário típico.
Instalação
Segurança
É possível fazer coisas incorretamente de maneiras que expõem chaves privadas ou similares. Com o LE, as ferramentas fornecidas são configuradas em torno de práticas razoáveis.
Com uma pessoa que sabe o que está fazendo, as etapas manuais obviamente também podem ser feitas com segurança.
Gestão
LE é muito destinado a ter todos os processos automatizados, seu serviço é inteiramente baseado em API e a curta vida útil também reflete como tudo está centrado na automação.
Ao comprar um certificado, mesmo com uma CA que forneça APIs para clientes regulares (não é realmente a norma neste momento), será difícil automatizar adequadamente qualquer coisa além do DV e com o DV você está pagando essencialmente a mesma coisa que o LE fornece.
Se você estiver indo para os níveis OV ou EV, provavelmente só poderá automatizar parcialmente o processo.
Impressão do usuário final
Se a instalação for feita corretamente, o usuário final obviamente não saberá como foi feita. As chances de estragar as coisas (por exemplo, esquecer de renovar ou fazer a instalação incorretamente ao renovar) são menores com um processo automatizado.
No geral
Os meios tradicionais de compra de certificados são particularmente úteis se você deseja certificados OV/EV, não está automatizando o gerenciamento de certificados ou deseja que os certificados sejam usados em algum outro contexto além do HTTPS.
Do ponto de vista puramente técnico:
Verificar com:
openssl x509 -in cert.pem -noout -textDo ponto de vista do usuário final:
Eu gostaria de oferecer alguns contrapontos para os argumentos usados contra o Let's Encrypt aqui.
Vida útil curta
Sim, eles têm uma vida útil curta, conforme explicado no faq: https://letsencrypt.org/2015/11/09/why-90-days.html Para citar a página:
Falta de EV
Não há plano para suporte EV. O raciocínio (de https://community.letsencrypt.org/t/plans-for-extended-validation/409 ) é:
Além disso, há alguns que acreditam que o EV é prejudicial, como este blogpost ( https://stripe.ian.sh/ ):
Um exemplo clássico do mundo real disso é sslstrip. Sites homógrafos com certificados adquiridos legitimamente são um ataque do mundo real para o qual o EV não oferece uma defesa suficiente atualmente.
A menos que você precise de um certificado para algo diferente da web , não há desvantagens reais , mas certamente percebidas . Embora os problemas sejam apenas percebidos, como proprietário de um site você pode não ter outra escolha a não ser resolvê-los (se o interesse comercial proibir mostrar o dedo do meio).
A maior desvantagem é, por enquanto, que seu site será exibido como um pouco inferior, talvez perigoso , porque não possui o belo emblema verde que alguns outros sites têm. O que significa esse emblema? Nada realmente. Mas sugere que seu site é "seguro" (alguns navegadores até usam essa palavra exata). Infelizmente, os usuários são pessoas, e as pessoas são estúpidas. Um ou outro considerará seu site não confiável (sem entender nenhuma das implicações) apenas porque o navegador não diz que é seguro.
Se ignorar esses clientes/visitantes é uma possibilidade válida, não há problema. Se você não puder arcar com isso em termos de negócios, terá que gastar dinheiro. Nenhuma outra opção.
O outro problema percebido é o do tempo de vida do certificado. Mas na verdade é uma vantagem, não uma desvantagem. Validade mais curta significa que os certificados precisam ser atualizados com mais frequência, tanto do lado do servidor quanto do lado do cliente, tudo bem.
Quanto ao lado do servidor, isso acontece com um
crontrabalho, então é realmente menos incômodo e mais confiável do que o normal. Não tem como esquecer, não tem como se atrasar, não tem como acidentalmente fazer algo errado, não precisa fazer login com uma conta administrativa (... mais de uma vez). Do lado do cliente, e daí? Os navegadores atualizam certificados o tempo todo, não é nada demais. O usuário nem sabe que isso acontece. Há um pouco mais de tráfego a ser obtido ao atualizar a cada 3 meses em vez de a cada 2 anos, mas sério ... issonão é um problema.Existem dois grupos de desvantagens que vale a pena considerar.
1. Desvantagens de usar o serviço Let's Encrypt
Let's Encrypt requer que o nome exato, ou o (sub)domínio, se você estiver solicitando um curinga, exista no DNS público da Internet. Mesmo se você provar o controle sobre example.com, a Let's Encrypt não emitirá certificados para some.other.name.in.example.com sem ver isso no DNS público. As máquinas nomeadas não precisam ter registros de endereço público, elas podem ser protegidas por firewall ou até mesmo desconectadas fisicamente, mas o nome DNS público precisa existir.
A vida útil do certificado Let's Encrypt de 90 dias significa que você precisa automatizar porque ninguém tem tempo para isso. Essa é, de fato, a intenção do serviço - conduzir as pessoas para automatizar esse trabalho essencial, em vez de fazê-lo manualmente de maneira perversa, enquanto automatizam muitas tarefas mais difíceis. Mas se você não puder automatizar por qualquer motivo, é negativo - se você tiver ferramentas, dispositivos ou qualquer outra automação de bloco, considere quaisquer custos de certificados SSL comerciais como parte do custo contínuo dessas ferramentas/dispositivos/qualquer coisa no planejamento de custos. Ao contrário, compense a economia de não precisar comprar certificados comerciais na precificação de novas ferramentas/aparelhos/etc. que automatizam isso (com Let's Encrypt ou não)
A prova de automação de controle da Let's Encrypt pode não se adequar às regras da sua organização. Por exemplo, se você tem funcionários que têm permissão para reconfigurar o Apache, mas não devem obter certificados SSL para nomes de domínio da empresa, o Let's Encrypt não é uma boa opção. Observe que, neste caso, apenas não usá-los é a coisa errada(TM), você deve usar o CAA para desabilitar explicitamente o Let's Encrypt para seus domínios.
Se a política da Let's Encrypt recusar você, o único "tribunal de apelação" é perguntar em seus fóruns públicos e esperar que um de seus funcionários seja capaz de oferecer um caminho a seguir. Isso pode acontecer se, por exemplo, seu site tiver um nome DNS, seus sistemas decidirem que é "confusamente semelhante" a certas propriedades famosas, como grandes bancos ou Google. Por razões sensatas, as políticas exatas de cada CA pública a esse respeito não estão abertas ao escrutínio público, portanto, você só pode perceber que não pode ter um certificado Let's Encrypt quando o solicita e recebe uma resposta "Política proíbe...".
2. Desvantagens do próprio certificado Let's Encrypt
Os certificados Let's Encrypt são confiáveis pelos principais navegadores da web hoje via ISRG (a instituição de caridade que fornece o serviço Let's Encrypt), mas sistemas mais antigos confiam no Let's Encrypt via IdenTrust, uma Autoridade de Certificação relativamente obscura que controla "DST Root CA X3". Isso faz o trabalho para a maioria das pessoas, mas não é a raiz mais confiável do mundo. Por exemplo, o console Nintendo WiiU abandonado tinha um navegador da web, obviamente a Nintendo não enviará atualizações para o WiiU e, portanto, esse navegador foi abandonado, ele não confia no Let's Encrypt.
Let's Encrypt apenas emite certificados para a Web PKI - servidores com nomes de Internet que usam o protocolo SSL/TLS. Então essa é a Web, obviamente, e seu IMAP, SMTP, alguns tipos de servidor VPN, dezenas de coisas, mas não tudo. Em particular, o Let's Encrypt não oferece certificados para S/MIME (uma maneira de criptografar e-mail em repouso, em vez de apenas quando está em trânsito) nem para assinatura de código ou assinatura de documento. Se você deseja um "balcão único" para certificados, isso pode ser motivo suficiente para não usar o Let's Encrypt.
Mesmo na Web PKI, o Let's Encrypt oferece apenas certificados "DV", o que significa que quaisquer detalhes sobre você ou sua organização que não sejam FQDNs não são mencionados no certificado. Mesmo que você os escreva em um CSR, eles são simplesmente descartados. Isso pode ser um bloqueador para alguns aplicativos especializados.
A automação Let's Encrypt significa que você está limitado exatamente pelo que a automação permite, mesmo que não haja outras razões pelas quais você não possa ter algo. Novos tipos de chave pública, novas extensões X.509 e outras adições precisam ser explicitamente habilitadas pelo Let's Encrypt em sua própria linha do tempo, e é claro que você não pode simplesmente oferecer um pagamento extra para obter os recursos que deseja, embora doações sejam bem-vindas.
No entanto, para quase todos, quase sempre, o Let's Encrypt é uma boa primeira escolha para colocar certificados em seus servidores TLS de uma maneira "dispare e esqueça". Começar com a suposição de que você usará o Let's Encrypt é uma maneira sensata de abordar essa decisão.
Vou adicionar um que forçou meu empregador a se afastar parcialmente do Lets Encrypt: a limitação de taxa da API. Devido à vida útil curta e à falta de suporte a curingas, é muito fácil chegar perto dos limites de taxa durante as operações automatizadas normais (renovação automática, etc.). Tentar adicionar um novo subdomínio pode levá-lo a ultrapassar o limite de taxa, e o LE não tem como substituir manualmente o limite uma vez atingido. Se você não fizer backup dos certificados antigos (quem faria isso em um ambiente automatizado de microsserviços do tipo nuvem, como o LE prevê?) todos os sites afetados ficarão offline, pois o LE não reemitirá os certificados.
Quando percebemos o que aconteceu, houve um momento de "oh $#!#" seguido por uma requisição de certificado comercial de emergência apenas para colocar os locais de produção online novamente. Um com uma vida útil de 1 ano mais razoável. Até que o LE implemente o suporte adequado a curingas (e mesmo assim), seremos muito cautelosos com suas ofertas.
Tl; dr: LE curinga + limites de API tornam o gerenciamento de algo mais complexo do que "Minha página inicial pessoal" inesperadamente desafiador e promove práticas de segurança ruins ao longo do caminho.
Sim.
Desvantagem de usar um certificado SSL gratuito ou Vamos criptografar-
Problema de compatibilidade – vamos criptografar o certificado SSL não compatível com todas as plataformas. Veja este link para conhecer a lista de plataformas incompatíveis –
Menos validade – Um Certificado SSL Let's Encrypt vem com uma validade limitada de 90 dias. Você tem que renovar seu Certificado SSL a cada 90 dias. Onde como um SSL pago como o Comodo vem com validade longa como 2 anos.
Sem validação de negócios – Um certificado SSL gratuito requer apenas validação de domínio. Nenhuma validação de negócios ou organização para garantir usuários para uma entidade comercial legal.
Adequado para sites de pequenas empresas ou blogs - Como adicionei no último ponto, um certificado SSL gratuito ou vamos criptografar pode ser aproveitado por meio de verificação de propriedade de domínio, não é apropriado para um site de negócios ou comércio eletrônico onde a confiança e a segurança são um fator importante para os negócios.
Sem barra de endereço verde – Você não pode ter uma barra de endereço verde com um certificado SSL gratuito. Um certificado SSL de validação estendida é a única maneira de exibir o nome da sua empresa com a barra de endereço verde no navegador.
Sem suporte – Se você ficou no meio do caminho com o Let's encrypt, você pode obter bate-papo online ou ligar para o suporte. Você pode entrar em contato através de fóruns apenas para se livrar do problema.
Recursos de segurança adicionais – Um certificado SSL gratuito não oferece nenhum recurso extra, como verificação de malware gratuita, selo do site, etc.
Sem garantia – Um certificado SSL gratuito ou Let's encrypt não oferece nenhum valor de garantia, enquanto um certificado SSL pago oferece garantia de US$ 10.000 a US$ 1.750.000.
De acordo com uma notícia , 14.766 certificados Let's Encrypt SSL emitidos para sites de phishing do PayPal, pois requer apenas validação de domínio
Então, de acordo com minha recomendação, pagar por um Certificado SSL realmente vale a pena.
Após algumas pesquisas, descobri que os certificados Let's Encrypt são menos compatíveis com navegadores do que os certificados pagos. (Fontes: Let's Encrypt vs Comodo PositiveSSL )