Gibt es einen Grund, ein anderes SSL-Zertifikat als das kostenlose SSL von Let's Encrypt zu verwenden?


141

Let's Encrypt stellt kostenlose SSL-Zertifikate zur Verfügung. Gibt es Nachteile im Vergleich zu anderen bezahlten Zertifikaten, z. B. AWS Certificate Manager ?


1
Ich habe die meisten Kommentare zur sinnlosen Debatte entfernt, wenn LE aufgrund seiner freien Natur von Natur aus weniger vertrauenswürdig ist.
Sven

Antworten:


126

Gültigkeitsdauer des Zertifikats

Sicherheit

Kürzere Lebensdauer ist besser. Einfach weil Widerruf meistens theoretisch ist, kann man sich in der Praxis nicht darauf verlassen (große Schwäche im öffentlichen PKI-Ökosystem).

Verwaltung

Ohne Automatisierung: Eine längere Lebensdauer ist bequemer. LE ist möglicherweise nicht durchführbar, wenn Sie aus irgendeinem Grund die Zertifikatsverwaltung nicht automatisieren können.
Automatisierung: Die Lebensdauer spielt keine Rolle.

Endbenutzer-Eindruck

Es ist unwahrscheinlich, dass Endbenutzer auf die eine oder andere Weise eine Idee haben.

Überprüfungsgrad

Sicherheit

Letsencrypt bietet nur DV-Überprüfungslevel.
Wenn Sie ein Zertifikat kaufen, erhalten Sie alles, wofür Sie bezahlen (beginnend bei DV mit der gleichen Aussagekraft wie bei LE).

DV = Nur Domain Name Control wird verifiziert.
OV = Informationen zur Eigentümerentität (Organisation) werden zusätzlich überprüft.
EV = gründlichere Version von OV, die traditionell mit dem "grünen Balken" ausgezeichnet wurde (aber der "grüne Balken" scheint bald zu verschwinden).

Verwaltung

Bei der Verwendung von LE müssen Sie die erforderliche Automatisierung einrichten (in diesem Zusammenhang zum Nachweis der Domänensteuerung). Wie viel Arbeit das ist, hängt von Ihrer Umgebung ab.

Beim Kauf eines Zertifikats legt die DV / OV / EV-Stufe fest, wie viel manuelle Arbeit erforderlich ist, um das Zertifikat zu erhalten. Bei DV läuft es in der Regel darauf hinaus, dass ein Assistent etwas bezahlt und kopiert / einfügt oder auf etwas klickt. Bei OV und EV müssen Sie so gut wie getrennt kontaktiert werden, um zusätzliche Schritte zur Bestätigung Ihrer Identität auszuführen.

Endbenutzer-Eindruck

Endbenutzer erkennen wahrscheinlich den aktuellen "grünen Balken" des EV (der weggeht), ansonsten tendieren sie nicht dazu, den Zertifikatinhalt tatsächlich zu betrachten.
Theoretisch ist es jedoch mit einem Zertifikat, das Informationen über die kontrollierende Stelle enthält, deutlich hilfreicher. Browser (oder andere Client-Anwendungen) müssen dies jedoch zunächst auf nützliche Weise anzeigen, bevor sich dies auf den typischen Benutzer auswirkt.

Installation

Sicherheit

Es ist möglich, Dinge falsch zu machen, die private Schlüssel oder ähnliches offenlegen. Mit LE wird das mitgelieferte Werkzeug nach vernünftigen Praktiken eingerichtet.
Bei einer Person, die weiß, was sie tut, können manuelle Schritte natürlich auch sicher ausgeführt werden.

Verwaltung

LE ist sehr darauf ausgerichtet, alle Prozesse zu automatisieren, ihr Service ist vollständig API-basiert und die kurze Lebensdauer spiegelt auch wider, wie sich alles um die Automatisierung dreht.

Beim Kauf eines Zertifikats ist es selbst mit einer Zertifizierungsstelle, die Stammkunden APIs zur Verfügung stellt (derzeit nicht die Norm), schwierig, alles andere als DV ordnungsgemäß zu automatisieren, und mit DV bezahlen Sie im Wesentlichen dasselbe, was LE bereitstellt.
Wenn Sie OV- oder EV-Werte anstreben, können Sie den Prozess wahrscheinlich nur teilweise automatisieren.

Endbenutzer-Eindruck

Wenn die Installation korrekt durchgeführt wurde, weiß der Endbenutzer offensichtlich nicht, wie sie durchgeführt wurde. Bei einem automatisierten Prozess ist die Wahrscheinlichkeit geringer, dass Fehler auftreten (z. B. wenn die Erneuerung vergessen wird oder die Installation bei der Erneuerung nicht ordnungsgemäß ausgeführt wird).

Insgesamt

Herkömmliche Methoden zum Kaufen von Zertifikaten sind besonders nützlich, wenn Sie OV / EV-Zertifikate wünschen, die Zertifikatverwaltung nicht automatisieren oder Zertifikate in einem anderen Kontext als HTTPS verwenden möchten.


3
In einigen Fällen gibt es einen Versicherungsaspekt im Falle eines CA-seitigen Kompromisses.
John Keates

22
Hast du eine Quelle, aus der EV verschwindet?
Jamesbtate

4
@ Puddingfox Guter Punkt. Ich muss den aktuellen Status nachschlagen und ihn ggf. weiter qualifizieren. Das heißt, es sind nicht EV-Zertifikate, die verschwinden würden, sondern die dazugehörige "grüne Leiste" der Browser-Benutzeroberfläche.
Håkan Lindqvist

5
Meiner Erfahrung nach können Sie Lets Encrypt auch für E-Mails verwenden, sodass es für diesen Zweck flexibel genug ist.
Manngo

10
@kloddant Huh. Sie würden das Skript mehr als einmal pro Erneuerungszeitraum ausführen, und natürlich muss es wie jeder andere automatisierte Prozess überwacht werden (was ausgelöst wird, bevor das Zertifikat abläuft).
Jonas Schäfer

76

Aus rein technischer Sicht:

  • Die Tatsache, dass die Zertifikate nur 3 Monate gültig sind. Je nach Ihren Change-Management-Verfahren und Ihrer Infrastruktur kann die Wartung lästig sein.
  • Der Zweck von Let's Encrypt-Zertifikaten ist begrenzt. Sie können sie nicht für Ihre E-Mails, Codesignaturen oder Zeitstempel verwenden.
    Erkundigen Sie sich bei: openssl x509 -in cert.pem -noout -text

    Erweiterte X509v3-Schlüsselverwendung:
    TLS-Webserverauthentifizierung, TLS-Webclientauthentifizierung

Aus Sicht des Endbenutzers:


23
Beachten Sie, dass Chrome sich aktiv dafür einsetzt, überhaupt nichts Besonderes für HTTPS anzuzeigen. In der nächsten Hauptversion von OSX und iOS wird Safari nichts Besonderes für EV anzeigen. Es sieht so aus, als würden sich die wichtigsten Browser-Anbieter von EV entfernen. Viele der Top-Websites verwenden es nicht einmal.
Greg W

18
In Bezug auf das Änderungsmanagement ist die Idee hinter der dreimonatigen Lebensdauer, dass der Prozess des Erhaltens und Erneuerns von Zertifikaten vollständig automatisiert werden soll. Dh, bei bestimmungsgemäßer Verwendung würde die Änderung diese Automatisierung einrichten und Zertifikate nicht wiederholt manuell installieren. Aber wenn es eine Politik gegen die Automatisierung gibt, würde dies wahrscheinlich dazu führen, dass nichts unternommen wird.
Håkan Lindqvist

8
Die TLS-Webserverauthentifizierung ist ausreichend für die Sicherung von z. B. SMTP-, IMAP- und POP3-Servern. Dies gilt jedoch nicht für S / MIME.
Michael Hampton

5
Für die Kommentatoren - bitte beachten Sie, dass es sich bei dem obigen Wiki um ein Community-Wiki handelt , das von jedem bearbeitet werden soll
HBruijn,

12
@ ripper234 Du meinst, wie die seriöse / benutzerorientierte Website serverfault.com, auf der du gerade bist? Diese Seite verwendet kein EV-Zertifikat. Auch google.com nicht. Oder microsoft.com. Oder cisco.com. Und Browser setzen die grüne Leiste außer Kraft. Wenn ein EV-Zertifikat für Sie wichtig ist, zahlen Sie es auf jeden Fall, aber sicher sind viele wichtige und benutzerbezogene Websites zu einem anderen Schluss über seinen Wert gekommen.
Zach Lipton

30

Ich möchte einige Gegenpunkte für die Argumente anbieten, die hier gegen Let's Encrypt verwendet werden.

Kurze Lebensdauer

Ja, sie haben eine kurze Lebensdauer, wie in der FAQ erläutert: https://letsencrypt.org/2015/11/09/why-90-days.html So zitieren Sie die Seite:

  1. Sie begrenzen den Schaden durch Schlüsselkompromisse und falsche Ausgabe. Gestohlene Schlüssel und falsch ausgestellte Zertifikate sind kürzer gültig.

  2. Sie fördern die Automatisierung, die für die Benutzerfreundlichkeit von entscheidender Bedeutung ist. Wenn wir das gesamte Web auf HTTPS verlagern, können wir nicht weiter damit rechnen, dass Systemadministratoren Erneuerungen manuell abwickeln. Sobald Ausstellung und Erneuerung automatisiert sind, sind kürzere Lebensdauern nicht weniger bequem als längere.

Mangel an EV

Es gibt keinen Plan für die Unterstützung von Elektrofahrzeugen. Die Begründung (von https://community.letsencrypt.org/t/plans-for-extended-validation/409 ) lautet:

Wir gehen davon aus, dass Let's Encrypt EV nicht unterstützt, da der EV-Prozess immer menschliche Anstrengungen erfordert, für die jemand bezahlt werden muss. Unser Modell ist es, Zertifikate kostenlos auszustellen, was eine Level-Automatisierung erfordert, die mit EV nicht kompatibel zu sein scheint.

Darüber hinaus gibt es einige, die glauben, dass EV schädlich ist, wie dieser Blogpost ( https://stripe.ian.sh/ ):

James Burton zum Beispiel hat kürzlich ein EV-Zertifikat für sein Unternehmen "Identity Verified" erhalten. Leider sind Benutzer einfach nicht in der Lage, mit den Nuancen dieser Entitäten umzugehen, und dies erzeugt einen signifikanten Vektor für Phishing.

Ein klassisches Beispiel für die reale Welt ist sslstrip. Homograph-Sites mit zu Recht gekauften Zertifikaten sind ein realer Angriff, für den EV derzeit keine ausreichende Verteidigung bietet.


6

Es gibt zwei Gruppen von Nachteilen, die es wert sind, in Betracht gezogen zu werden.

1. Nachteile der Verwendung des Let's Encrypt-Dienstes

Let's Encrypt setzt voraus, dass der genaue Name oder die (Sub-) Domain, wenn Sie einen Platzhalter anfordern, im öffentlichen Internet-DNS vorhanden ist. Selbst wenn Sie die Kontrolle über example.com nachweisen, stellt Let's Encrypt keine Zertifikate für some.other.name.in.example.com aus, ohne dies im öffentlichen DNS zu sehen. Die genannten Computer müssen keine öffentlichen Adressdatensätze haben. Sie können durch eine Firewall geschützt oder sogar physisch getrennt werden, der öffentliche DNS-Name muss jedoch vorhanden sein.

Wenn Sie die Lebensdauer von Zertifikaten mit 90 Tagen verschlüsseln, bedeutet dies, dass Sie automatisieren müssen, da niemand Zeit dafür hat. Dies ist in der Tat die Absicht des Dienstes, Menschen dazu zu bringen, diese wesentliche Arbeit zu automatisieren, anstatt sie pervers manuell auszuführen, während sie viele härtere Aufgaben automatisieren. Wenn Sie jedoch aus irgendeinem Grund nicht automatisieren können, ist dies negativ. Wenn Sie über Tools, Appliances oder andere Elemente verfügen, die die Automatisierung blockieren, berücksichtigen Sie die kommerziellen Kosten für SSL-Zertifikate als Teil der laufenden Kosten für diese Tools / Appliances oder andere Aspekte der Kostenplanung. Einsparungen durch den Verzicht auf kommerzielle Zertifikate bei der Preisgestaltung für neue Tools / Geräte / usw., die dies automatisieren (mit oder ohne Let's Encrypt), werden umgekehrt ausgeglichen.

Der Kontrollautomatisierungsnachweis Let's Encrypt entspricht möglicherweise nicht den Regeln Ihres Unternehmens. Wenn Sie beispielsweise Mitarbeiter haben, die Apache neu konfigurieren dürfen, aber keine SSL-Zertifikate für Unternehmensdomänennamen erhalten sollen, ist Let's Encrypt nicht geeignet. Beachten Sie, dass Sie in diesem Fall, wenn Sie sie nicht verwenden, CAA verwenden sollten, um Let's Encrypt für Ihre Domains explizit zu deaktivieren.

Wenn die Richtlinie von Let's Encrypt Sie ablehnt, besteht das einzige "Berufungsgericht" darin, in den öffentlichen Foren nachzufragen und zu hoffen, dass einer ihrer Mitarbeiter in der Lage ist, einen Weg nach vorne anzubieten. Dies kann beispielsweise der Fall sein, wenn Ihre Site einen DNS-Namen hat, von dem das System feststellt, dass er bestimmten bekannten Immobilien wie Großbanken oder Google "verwirrend ähnlich" ist. Aus vernünftigen Gründen können die genauen Richtlinien jeder öffentlichen Zertifizierungsstelle in dieser Hinsicht nicht öffentlich überprüft werden. Daher stellen Sie möglicherweise nur fest, dass Sie kein Let's Encrypt-Zertifikat haben, wenn Sie es anfordern, und erhalten die Antwort "Richtlinie verbietet ...".

2. Nachteile eines Let's Encrypt-Zertifikats

Let 's Encrypt-Zertifikate werden heute von den wichtigsten Webbrowsern über ISRG (die Wohltätigkeitsorganisation, die den Let' s Encrypt-Dienst anbietet) als vertrauenswürdig eingestuft, ältere Systeme vertrauen jedoch auf Let 's Encrypt über IdenTrust, eine relativ undurchsichtige Zertifizierungsstelle, die "DST Root CA X3" kontrolliert. Dies erledigt die Arbeit für die meisten Menschen, aber es ist nicht die am weitesten vertrauenswürdige Wurzel der Welt. Zum Beispiel hatte die verlassene Nintendo WiiU-Konsole einen Webbrowser. Offensichtlich wird Nintendo keine Updates für WiiU ausliefern, und damit der Browser verlassen wird, vertraut er Let's Encrypt nicht.

Let's Encrypt stellt nur Zertifikate für die Web-PKI-Server mit Internetnamen aus, die das SSL / TLS-Protokoll verwenden. Das ist natürlich das Web und Ihr IMAP, SMTP, einige Arten von VPN-Servern, Dutzende von Dingen, aber nicht alles. Insbesondere bietet Let's Encrypt überhaupt keine Zertifikate für S / MIME (eine Methode zum Verschlüsseln von E-Mails im Ruhezustand und nicht nur während der Übertragung) oder zum Signieren von Codes oder Dokumenten. Wenn Sie einen "One-Stop-Shop" für Zertifikate wünschen, ist dies möglicherweise Grund genug, Let's Encrypt nicht zu verwenden.

Selbst in der Web-PKI bietet Let's Encrypt nur "DV" -Zertifikate an. Das bedeutet, dass im Zertifikat keine anderen Details zu Ihrer Person oder Ihrer Organisation als FQDNs erwähnt werden. Selbst wenn Sie sie in eine CSR schreiben, werden sie einfach verworfen. Dies kann für einige Spezialanwendungen ein Blocker sein.

Let's Encrypt-Automatisierung bedeutet, dass Sie genau von dem abhängig sind, was die Automatisierung zulässt, auch wenn es keine anderen Gründe gibt, warum Sie etwas nicht haben können. Neue Arten von öffentlichen Schlüsseln, neue X.509-Erweiterungen und andere Ergänzungen müssen explizit von Let's Encrypt auf ihrer eigenen Timeline aktiviert werden. Natürlich können Sie nicht einfach zusätzliche Gebühren anbieten, um die gewünschten Funktionen zu erhalten, auch wenn Spenden willkommen sind.

Trotzdem ist Let's Encrypt für fast alle, fast immer, eine gute erste Wahl, um Zertifikate auf Ihre TLS-Server zu kopieren und zu vergessen. Mit der Annahme zu beginnen, dass Sie Let's Encrypt verwenden, ist eine sinnvolle Methode, um diese Entscheidung zu treffen.


3
Ich frage mich, ob es eine große Sache ist, Nintendo WiiU nicht zu unterstützen, wenn man bedenkt, wie wenige Websites dieser Browser korrekt anzeigen kann.
Dmitry Grigoryev

Sie erwähnen die Nachteile des "Nachweises der Steuerungsautomatisierung", aber meiner Erfahrung nach wird jedes DV-Zertifikat ohnehin mit sehr ähnlichen Schemata verifiziert. Hier sind zum Beispiel die von Comodo angebotenen Methoden , die einen sehr ACME-ähnlichen HTTP-basierten Ansatz beinhalten. Der Schutz vor unerwünschten Registrierungen lässt sich wahrscheinlich am besten durch die Überwachung von Protokollen zur Transparenz von Zertifikaten erreichen.
IMSoP

Das Anschauen eines CT-Monitors ist in solchen Situationen eine gute Idee, und ja, es gibt nur die Ten Blessed-Methoden (die meiner Meinung nach derzeit 8 oder 9 Methoden sind), sodass Sie nur von einer Zertifizierungsstelle zur nächsten wechseln müssen sehen Sie eine andere Mischung von Methoden und einige Variationen in genau, wie sie funktionieren. Der Unterschied bei den angebotenen Methoden, die potenzielle vertragliche Verpflichtung zur Verwendung Ihrer bevorzugten Methode und sogar technische Ideen wie das Hinzufügen eines CAA-Felds, um zu zeigen, welche Methoden zulässig sind, variieren jedoch je nach CA und können bedeuten, dass es sinnvoll ist, diese nicht zu verwenden Lassen Sie uns verschlüsseln.
Tialaramex

Ein konkretes Beispiel: Facebook hat einen Vertrag mit einer großen kommerziellen Zertifizierungsstelle. Sie verwenden jetzt CAA, um anzugeben, dass nur diese CA Zertifikate für ihre Hauptdomänen wie facebook.com und fb.com ausstellen darf. Die Vertragsbedingungen stellen sicher, dass das interne technische Sicherheitsteam von Facebook jedes neue Zertifikat freischalten muss. Die Zertifizierungsstelle muss noch eine der zehn gesegneten Methoden anwenden, laut Vertrag müssen sie jedoch auch Facebook Security anrufen.
Tialaramex

5

Sofern Sie kein Zertifikat für etwas anderes als das Web benötigen , gibt es keine wirklichen Nachteile, aber sicher wahrgenommene . Obwohl die Probleme nur wahrgenommen werden, haben Sie als Inhaber einer Website möglicherweise keine andere Wahl, als sie anzusprechen (wenn das Geschäftsinteresse das Zeigen des Mittelfingers verbietet).

Der größte Nachteil ist, dass Ihre Website vorerst als etwas minderwertig und möglicherweise gefährlich eingestuft wird, da sie nicht das schöne grüne Abzeichen hat, das einige andere Websites haben. Was bedeutet dieses Abzeichen? Nichts wirklich. Es deutet jedoch darauf hin, dass Ihre Website "sicher" ist (einige Browser verwenden sogar genau dieses Wort). Leider sind Benutzer Menschen und Menschen sind dumm. Die eine oder andere Seite wird Ihre Website als nicht vertrauenswürdig erachten (ohne die Auswirkungen zu verstehen), nur weil der Browser nicht sagt, dass sie sicher ist.

Wenn das Ignorieren dieser Kunden / Besucher eine gültige Möglichkeit ist, kein Problem. Wenn Sie nicht , dass Business-weise leisten können, Sie müssen Geld ausgeben. Keine andere Option.

Das andere wahrgenommene Problem betrifft die Lebensdauer des Zertifikats. Aber es ist tatsächlich ein Vorteil, kein Nachteil. Kürzere Gültigkeit bedeutet, dass Zertifikate sowohl serverseitig als auch clientseitig häufiger aktualisiert werden müssen.
Was die Serverseite betrifft, geschieht dies bei einem cronJob, so dass es weniger stressig und zuverlässiger als gewöhnlich ist. Keine Möglichkeit zu vergessen, keine Möglichkeit zu spät zu kommen, keine Möglichkeit, versehentlich etwas falsch zu machen, keine Notwendigkeit, sich mit einem Administratorkonto anzumelden (... mehr als einmal). Auf der Client-Seite, na und? Browser aktualisieren Zertifikate ständig, das ist kein Problem. Der Benutzer weiß nicht einmal, dass es passiert. Wenn alle 3 Monate statt alle 2 Jahre ein Update durchgeführt wird, ist etwas mehr Verkehr zu verzeichnen, aber im Ernst ... das ist kein Problem.


2
@ HåkanLindqvist: Das ist genau das Problem. Ich kann eine Malware-Site einrichten und 5,99 US-Dollar ausgeben. Der durchschnittliche Benutzer vertraut meinen Malware-Inhalten, weil dort "sicher" steht. Derselbe Benutzer wird Ihrer völlig harmlosen, legitimen Site mit einem Lets-Encrypt-Zertifikat nicht vertrauen. Weil es nicht sicher ist . Aber leider sind dies Dinge, die Sie einfach nicht ändern können.
Damon

10
Das LE-Zertifikat ist jedoch nur ein Beispiel für ein DV-Zertifikat (das ist höchstwahrscheinlich alles, was Sie für nur 5,99 USD erhalten würden). LE-Zertifikate werden in aktuellen Browsern als "Sicher" angezeigt.
Håkan Lindqvist

1
Betrachten Sie E-Mail-Server als Teil der web? letsencrypt-zertifikate waren für mich nicht ausreichend, da ich meinen eigenen email-server
betreiben musste

7
@ Hanshenrik Sie können LE gut mit Mail-Servern verwenden. Zum Beispiel benutze ich github.com/hlandau/acme Lassen Sie uns Client nicht nur für mein HTTPS, sondern auch für TLS in SMTP, IMAP, POP3, XMPP verschlüsseln ...
Matija Nalis

4
@hanshenrik - Ich verwende LE-Zertifikate für meinen Mailserver: überhaupt keine Probleme
warren

5

Ich werde eine hinzufügen, die meinen Arbeitgeber teilweise von Lets Encrypt abhält: die API-Ratenbegrenzung. Aufgrund der kurzen Lebensdauer und des Mangels an Platzhalterunterstützung ist es im normalen automatisierten Betrieb (automatische Verlängerung usw.) sehr einfach, an die Ratengrenzen heranzukommen. Der Versuch, eine neue Unterdomäne hinzuzufügen, kann dazu führen, dass Sie das Ratenlimit überschreiten. LE hat keine Möglichkeit, das Limit manuell zu überschreiben, sobald Sie es erreicht haben. Wenn Sie die alten Zertifikate nicht sichern (wer würde dies in einer automatisierten Mikrodienstumgebung vom Cloud-Typ wie LE Envisions tun?), Werden alle betroffenen Sites offline geschaltet, da LE die Zertifikate nicht erneut ausstellt.

Als wir realisierten, was passierte, gab es einen Moment von "oh $ #! #", Gefolgt von einer kommerziellen Notfallzertifikatsanforderung, um die Produktionsstätten wieder online zu stellen. Eine mit einer vernünftigeren Lebensdauer von 1 Jahr. Bis LE die richtige Platzhalterunterstützung implementiert (und selbst dann), werden wir sehr vorsichtig mit ihren Angeboten sein.

Tl; dr: LE-Platzhalter- und API-Beschränkungen machen die Verwaltung komplexer als "My Personal Homepage" (Meine persönliche Homepage) und fördern gleichzeitig schlechte Sicherheitsmaßnahmen.


-1

Ja.

Nachteil der Verwendung eines kostenlosen oder Let's Encrypt SSL Certificate-

Kompatibilitätsproblem - Verschlüsseln Sie das SSL-Zertifikat, das nicht mit allen Plattformen kompatibel ist. Klicken Sie auf diesen Link , um die Liste der inkompatiblen Plattformen zu erfahren.

Geringere Gültigkeit - Ein SSL-Zertifikat wird mit einer begrenzten Gültigkeit von 90 Tagen geliefert. Sie müssen Ihr SSL-Zertifikat alle 90 Tage erneuern. Wobei als kostenpflichtiges SSL wie Comodo eine lange Gültigkeitsdauer wie 2 Jahre hat.

Keine Geschäftsvalidierung - Für ein kostenloses SSL-Zertifikat ist nur eine Domainvalidierung erforderlich. Keine Geschäfts- oder Organisationsvalidierung, um sicherzustellen, dass Benutzer für eine rechtmäßige Geschäftseinheit angemeldet sind.

Geeignet für kleine Unternehmen oder Blogsites - Wie ich im letzten Punkt hinzugefügt habe, kann ein kostenloses oder verschlüsseltes SSL-Zertifikat durch die Überprüfung des Domainbesitzes in Anspruch genommen werden. Es ist nicht geeignet für Geschäfts- oder E-Commerce-Websites, bei denen Vertrauen und Sicherheit ein wichtiger Faktor für Unternehmen sind.

Keine grüne Adressleiste - Sie können keine grüne Adressleiste mit einem kostenlosen SSL-Zertifikat verwenden. Ein SSL-Zertifikat mit erweiterter Validierung ist die einzige Möglichkeit, Ihren Firmennamen mit grüner Adressleiste im Browser anzuzeigen.

Keine Unterstützung - Wenn Sie mit Let's encrypt nicht weiterkommen, können Sie online chatten oder den Support anrufen. Sie können nur über Foren Kontakt aufnehmen, um das Problem zu beheben.

Zusätzliche Sicherheitsfunktionen - Ein kostenloses SSL-Zertifikat bietet keine zusätzlichen Funktionen wie einen kostenlosen Malware-Scan, Site Seal usw.

Keine Garantie - Ein kostenloses oder verschlüsseltes SSL-Zertifikat bietet keinen Garantiebetrag, wohingegen ein bezahltes SSL-Zertifikat eine Garantie von 10.000 bis 1.750.000 US-Dollar bietet.

Laut einer Nachricht verschlüsseln wir 14.766 an PayPal-Phishing-Sites ausgestellte SSL-Zertifikate, da nur eine Domain-Validierung erforderlich ist

Nach meiner Empfehlung lohnt es sich also wirklich, für ein SSL-Zertifikat zu bezahlen.


5
(1) LE ist nur mit älteren Systemen nicht kompatibel. (2) Die Gültigkeitsdauer ist aufgrund der Automatisierung kein Thema. (3) Die Validierung ist identisch mit allen anderen DV-Zertifikaten. (4) LE cert ist für jede Art von Organisation geeignet. (5) Die grüne Leiste ist nur für EV-Zertifikate gedacht (und wird in naher Zukunft verschwinden). (6) Ich kenne keinen Zertifizierungsanbieter, der einen Malware-Scan durchführt, und wozu soll ein Site-Siegel beitragen? (7) Welchen Haftbefehl müsste ein Zertifikat abgeben? (8) Shady bezahlt CAs Zertifikate verkaufen für Websites und Phishing (9) Der Link , den Sie beziehen sich selbstsignierten Zertifikaten diskutiert, das ist nicht verwandt
BlueCacti

1
Wenn die Liste "Inkompatible Systeme" aus Android-Versionen vor 2.3.6, Nintendo 3DS und Windows XP vor SP3 besteht, ist dies kein Problem für 99,999% der Benutzer, die SSL-Zertifikate benötigen. Außerdem bezieht sich der Link "Warum Sie nicht ..." am Ende Ihres Beitrags NUR auf selbstsigniertes SSL. Er sagt nichts über Let's Encrypt-Zertifikate aus. Die Verwendung dieses Links ist sachlich falsch.
Semi-Extrinsic

-6

Nach einigen Recherchen stellte ich fest, dass Let's Encrypt-Zertifikate mit Browsern weniger kompatibel sind als bezahlte Zertifikate. (Quellen: Let's Encrypt vs. Comodo PositiveSSL )


Die zweite Verbindung ist unterbrochen.
Iamnotmaynard

5
Was interessiert Sie an Browsern und Plattformen, die ein Jahrzehnt alt sind und etwas nicht unterstützen?
Warren

1
@warren mag es oder nicht, aber viele Geräte und Computer in besonders großen Organisationen verwenden immer noch Windows XP oder Betriebssysteme ähnlichen Alters und erfordern möglicherweise (streng kontrolliert, viele Firewalls und Proxys) einen Internetzugang, um miteinander zu kommunizieren . Denken Sie an Handheld-Terminals oder Kioske. Ich schreibe gerade die Serverseite eines Systems, das mit 15 Jahre alten Geräten über https / ssl kommuniziert. Während die meisten Kunden ein Upgrade auf neue Geräte durchgeführt haben, haben einige dies nicht getan.
Jwenting
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.