Let's Encrypt提供免费的 SSL 证书。与其他付费证书(例如AWS Certificate Manager)相比,是否有任何缺点?
AskOverflow.Dev
Let's Encrypt提供免费的 SSL 证书。与其他付费证书(例如AWS Certificate Manager)相比,是否有任何缺点?
证书有效期
安全
寿命越短越好。仅仅因为撤销主要是理论上的,在实践中它不能被依赖(公共 PKI 生态系统的一大弱点)。
管理
没有自动化:更长的使用寿命更方便。如果您出于某种原因无法自动化证书管理,则 LE 可能不可行
自动化:寿命无关紧要。
最终用户印象
最终用户不太可能有任何想法。
验证级别
安全
Letsencrypt 仅提供 DV 级别的验证。
购买证书,您将获得所要支付的任何费用(从 DV 开始,具有与 LE 相同的断言级别)。
DV = 仅验证域名控制。
OV = 所有者实体(组织)信息被另外验证。
EV = OV 的更彻底版本,传统上被授予“绿条”(但“绿条”似乎很快就会消失)。
管理
使用 LE 时,您所做的工作是设置必要的自动化(在这种情况下,证明域控制)。多少工作将取决于您的环境。
购买证书时,DV/OV/EV 级别将定义获得证书所需的手动工作量。对于 DV,它通常归结为通过向导支付和复制/粘贴某些内容或单击某些内容,对于 OV 和 EV,您几乎可以指望需要单独联系以执行其他步骤来确认您的身份。
最终用户印象
最终用户可能会认出当前的 EV“绿条”(正在消失),除了他们不倾向于实际查看证书内容。
但是,从理论上讲,使用说明控制实体信息的证书显然更有帮助。但是浏览器(或其他客户端应用程序)需要开始以一种有用的方式实际显示这一点,然后才能对典型用户产生任何影响。
安装
安全
以暴露私钥或类似方式的方式可能会做错事。使用 LE,所提供的工具是围绕合理的实践设置的。
有了一个知道自己在做什么的人,手动步骤显然也可以安全地完成。
管理
LE 非常希望使所有流程自动化,它们的服务完全基于 API,而短暂的生命周期也反映了一切都是如何以自动化为中心的。
购买证书时,即使使用为普通客户提供 API 的 CA(目前还不是真正的规范),也很难正确地自动化除 DV 之外的任何东西,而使用 DV,您支付的费用与 LE 提供的基本相同。
如果您想要 OV 或 EV 级别,您可能只能部分自动化该过程。
最终用户印象
如果安装正确完成,最终用户显然不会知道它是如何完成的。使用自动化过程,搞砸事情的机会(例如,忘记更新或更新时安装不正确)的可能性较小。
全面的
如果您需要 OV/EV 证书、不自动化证书管理或希望在 HTTPS 以外的其他环境中使用证书,则购买证书的传统方式特别有用。
从纯技术角度来看:
检查:
openssl x509 -in cert.pem -noout -text从最终用户的角度来看:
我想在这里为反对 Let's Encrypt 的论点提供一些反驳点。
寿命短
是的,它们的寿命很短,如常见问题解答中所述:https ://letsencrypt.org/2015/11/09/why-90-days.html引用该页面:
缺乏电动汽车
没有电动汽车支持计划。推理(来自https://community.letsencrypt.org/t/plans-for-extended-validation/409)是:
此外,还有一些人认为 EV 是有害的,例如这篇博文 ( https://stripe.ian.sh/ ):
一个经典的现实世界示例是 sslstrip。拥有合法购买证书的 Homograph 站点是一种真实世界的攻击,EV 目前无法提供足够的防御。
除非您需要除 web 以外的其他东西的证书,否则没有真正的缺点,但肯定有明显的缺点。虽然问题只是被察觉,但作为网站的所有者,您可能别无选择,只能解决它们(如果商业利益禁止竖起中指)。
就目前而言,最大的一个缺点是,您的网站会显得有些低劣,可能很危险,因为它没有其他一些网站所拥有的漂亮的绿色徽章。那个徽章是什么意思?真的没什么。但它确实表明您的网站是“安全的”(有些浏览器甚至使用这个词)。唉,用户是人,人是愚蠢的。仅仅因为浏览器没有说它是安全的,一个或另一个就会认为您的网站不值得信赖(不了解任何含义)。
如果忽略这些客户/访客是一种有效的可能性,那没问题。如果您在商业方面负担不起,您将不得不花钱。没有其他选择。
另一个感知到的问题是关于证书生命周期的问题。但这实际上是优势,而不是劣势。更短的有效期意味着证书必须更频繁地更新,无论是服务器端还是客户端,好吧。
至于服务器端,这发生在
cron工作中,因此它实际上比平时更轻松、更可靠。没有办法忘记,没有办法迟到,没有办法意外做错事,不需要使用管理帐户登录(......不止一次)。在客户端,那又怎样。浏览器一直在更新证书,这没什么大不了的。用户甚至不知道它发生了。每 3 个月而不是每 2 年更新一次时,流量会稍微多一点,但说真的……不是问题。有两组缺点值得考虑。
1. 使用 Let's Encrypt 服务的缺点
Let's Encrypt 要求公共 Internet DNS 中存在确切的名称或(子)域(如果您请求通配符)。即使您证明了对 example.com 的控制权,Let's Encrypt 也不会在没有在公共 DNS 中看到的情况下向您颁发 some.other.name.in.example.com 的证书。命名的机器不需要公共地址记录,它们可以被防火墙关闭,甚至物理断开,但公共 DNS 名称需要存在。
Let's Encrypt 证书有效期为 90 天,这意味着您需要自动化,因为没有人有时间去做。这实际上是该服务的目的 - 让人们将这项基本工作自动化,而不是在他们自动完成许多更困难的任务时手动进行。但是,如果您出于任何原因无法实现自动化,那就是负面的——如果您有工具、设备或任何阻止自动化的东西,请将任何商业 SSL 证书成本视为这些工具/设备/成本计划中任何内容的持续成本的一部分。相反,在自动执行此操作的新工具/设备/等的定价中,无需购买商业证书所节省的成本(无论是否使用 Let's Encrypt)
Let's Encrypt 控制自动化证明可能不适合您组织的规则。例如,如果您的员工被允许重新配置 Apache,但不应该获得公司域名的 SSL 证书,那么 Let's Encrypt 就不合适了。请注意,在这种情况下,不使用它们是错误的事情(TM),您应该使用 CAA 为您的域明确禁用 Let's Encrypt。
如果 Let's Encrypt 政策拒绝您,唯一的“上诉法院”就是在其公共论坛上提问,并希望他们的一名员工能够提供前进的道路。例如,如果您的网站有一个 DNS 名称,他们的系统认为该名称与某些著名的资产(如大银行或谷歌)“令人困惑地相似”,则可能会发生这种情况。出于合理的原因,每个公共 CA 在这方面的确切政策不接受公众审查,因此您可能只有在请求时才意识到您不能拥有 Let's Encrypt 证书并获得“政策禁止......”响应。
2. Let's Encrypt 证书本身的缺点
今天的主要网络浏览器通过 ISRG(提供 Let's Encrypt 服务的慈善机构)信任 Let's Encrypt 证书,但较旧的系统通过 IdenTrust 信任 Let's Encrypt,IdenTrust 是一个控制“DST Root CA X3”的相对模糊的证书颁发机构。这为大多数人完成了工作,但它并不是世界上最广泛信任的根。例如,废弃的任天堂 WiiU 控制台有一个网络浏览器,显然任天堂不会为 WiiU 提供更新,因此该浏览器被废弃,它不信任 Let's Encrypt。
Let's Encrypt 只为 Web PKI 颁发证书——使用 SSL/TLS 协议的 Internet 名称的服务器。这显然是网络,还有你的 IMAP、SMTP、某些类型的 VPN 服务器,还有很多东西,但不是全部。特别是 Let's Encrypt 根本不提供 S/MIME 证书(一种加密静态电子邮件的方法,而不仅仅是在传输过程中),也不为代码签名或文档签名提供证书。如果您想要证书的“一站式商店”,这可能足以成为不使用 Let's Encrypt 的理由。
即使在 Web PKI 中,Let's Encrypt 也仅提供“DV”证书,这意味着证书中不会提及除 FQDN 之外的有关您或您的组织的任何详细信息。即使您将它们写入 CSR,它们也会被丢弃。这可能是某些专业应用程序的障碍。
Let's Encrypt 自动化意味着您完全受自动化所允许的限制,即使没有其他原因导致您无法拥有某些东西。新类型的公钥、新的 X.509 扩展和其他添加必须由 Let's Encrypt 在他们自己的时间线上明确启用,当然,尽管欢迎捐款,但您不能只提供额外的费用来获得您想要的功能。
尽管如此,对于几乎每个人来说,几乎总是,Let's Encrypt 是一个很好的首选,它可以以一种即发即弃的方式将证书放在您的 TLS 服务器上。从假设您将使用 Let's Encrypt 开始,这是处理此决定的明智方法。
我将添加一个迫使我的雇主部分远离 Lets Encrypt 的内容:API 速率限制。由于生命周期短且缺乏通配符支持,在正常的自动化操作(自动更新等)期间很容易接近速率限制。尝试添加新的子域可能会使您超过速率限制,并且一旦命中,LE 无法手动覆盖该限制。如果您不备份旧证书(谁会在像 LE 设想的自动化、云类型的微服务环境中这样做?)所有受影响的站点都会脱机,因为 LE 不会重新颁发证书。
当我们意识到发生了什么事时,有一瞬间“哦,$#!#”,然后是紧急商业证书申请,只是为了让生产站点重新上线。一个具有更合理的 1 年寿命。在 LE 实施适当的通配符支持之前(甚至那时),我们将对他们的产品保持警惕。
Tl;dr:LE 通配符 + API 限制使得管理比“我的个人主页”更复杂的东西出人意料地具有挑战性,并在此过程中促进了糟糕的安全实践。
是的。
使用免费或让我们加密 SSL 证书的缺点-
兼容性问题 –让我们加密与所有平台不兼容的 SSL 证书。请参阅此链接以了解不兼容平台的列表 –
有效期较短——让我们加密 SSL 证书的有效期为 90 天。您必须每 90 天更新一次 SSL 证书。像 Comodo 这样的付费 SSL 具有 2 年的长期有效期。
无需业务验证——免费的 SSL 证书只需要域验证。没有商业或组织验证来确保合法商业实体的用户。
适用于小型企业或博客网站 –正如我在最后一点中添加的,可以通过域所有权验证获得免费或让我们加密的 SSL 证书,它不适合信任和安全性是企业主要因素的企业或电子商务网站。
没有绿色地址栏——你不能有一个带有免费 SSL 证书的绿色地址栏。扩展验证 SSL 证书是在浏览器上用绿色地址栏显示您的公司名称的唯一方法。
不支持 –如果您在 Let's encrypt 的方式中遇到问题,您可以在线聊天或致电支持。您只能通过论坛联系以摆脱问题。
额外的安全功能——免费的 SSL 证书不提供任何额外的功能,如免费的恶意软件扫描、站点密封等。
无保修 –免费或 Let's encrypt SSL 证书不提供任何保修金额,而付费 SSL 证书提供 10,000 至 1,750,000 美元的保修。
根据新闻,14,766 Let's Encrypt 颁发给 PayPal 钓鱼网站的 SSL 证书,因为它只需要域验证
因此,根据我的建议,购买 SSL 证书是非常值得的。
经过一番研究,我发现 Let's Encrypt 证书与浏览器的兼容性不如付费证书。(来源:Let's Encrypt vs. Comodo PositiveSSL)