Soru Let's Encrypt'in ücretsiz SSL'si dışında bir SSL sertifikası kullanmak için bir neden var mı?


Şifreleyelim ücretsiz SSL sertifikası sağlıyor. Diğer, ödenmiş sertifikalara kıyasla herhangi bir olumsuzluk var mı? AWS Sertifika Yöneticisi?


133
2017-08-18 09:29


Menşei


LE'nin doğası gereği doğası gereği daha az güvenilir olması durumunda, anlamsız tartışma hakkındaki yorumların çoğunu kaldırdım. - Sven♦


Cevaplar:


Sertifika ömrü

Güvenlik

Daha kısa kullanım ömrü daha iyidir. Basitçe, iptal çoğunlukla teorik olduğu için, pratikte güvendilemez (kamu PKI ekosistemindeki büyük güçsüzlük).

yönetim

Otomasyon olmadan: Daha uzun kullanım ömrü daha uygundur. Herhangi bir nedenden dolayı, sertifika yönetimini otomatikleştiremezseniz, LE uygun olmayabilir.
Otomasyon ile: Ömrü farketmez.

Son kullanıcı gösterimi

Son kullanıcıların herhangi bir fikre sahip olma olasılıkları yoktur.

Doğrulama seviyesi

Güvenlik

Letsencrypt sadece DV doğrulama seviyesi sağlar.
Bir cert satın almak için ödediğiniz her şeyi alırsınız (DV'den başlayarak, LE ile aynı seviyede bir iddia ile).

DV = sadece alan adı kontrolü doğrulandı.
OV = sahip varlık (kuruluş) bilgileri ek olarak doğrulanır.
EV = geleneksel olarak "yeşil çubuk" ile ödüllendirilen OV'nin daha kapsamlı bir sürümü (ancak "yeşil çubuk" yakında yayılıyor gibi görünüyor).

yönetim

LE kullanırken, koyduğunuz iş gerekli otomasyonu kuruyor (bu bağlamda, etki alanı denetimini kanıtlamak için). Bu ne kadar çalışma ortamınıza bağlı olacaktır.

Bir sertifika alırken DV / OV / EV seviyesi, sertifikayı almak için ne kadar manuel çalışmanın gerekeceğini tanımlayacaktır. DV için tipik olarak, bir şeyi ödeyen ve kopyalayıp yapıştıran bir sihirbazdan aşağıya doğru ilerlerken ya da bir şey tıklattığınızda, OV ve EV için, kimliğinizi doğrulamak için ek adımlar atacak şekilde ayrı ayrı temasa geçmeniz gerekebileceğinden emin olabilirsiniz.

Son kullanıcı gösterimi

Son kullanıcılar muhtemelen sertifika içeriğine bakma eğiliminde olmadıklarından farklı olarak mevcut EV "yeşil çubuğunu" (ki buradan da uzaklaşır) tanırlar.
Bununla birlikte, teorik olarak, kontrol eden varlık hakkında bilgi veren bir sertifika ile açıkça daha yararlıdır. Ancak, tarayıcıların (veya diğer istemci uygulamalarının), bunu tipik kullanıcı için herhangi bir etkisi olmadan önce bunu yararlı bir şekilde göstermeye başlaması gerekir.

Kurulum

Güvenlik

Özel anahtarları veya benzerlerini açığa çıkaran şekillerde yanlış şeyler yapmak mümkündür. LE ile, sağlanan takım makul uygulamalar etrafında kurulur.
Ne yaptığını bilen bir kişi ile, el ile yapılan adımlar kesinlikle güvenli bir şekilde yapılabilir.

yönetim

LE, tüm süreçlerin otomatikleştirilmesini, hizmetlerinin tamamen API tabanlı olmasını ve kısa kullanım ömrünün de her şeyin otomasyon etrafında nasıl merkezlendiğini yansıtır.

Bir cert satın alırken, düzenli müşterilere (gerçekten bu noktada norm değil) API'leri sağlayan bir CA ile bile, DV'den başka bir şeyi otomatik hale getirmek zor olacak ve DV ile esasen LE'nin sağladığı aynı şeyi ödüyorsunuz.
OV veya EV seviyelerine gidiyorsanız, muhtemelen süreci kısmen otomatik hale getirebilirsiniz.

Son kullanıcı gösterimi

Yükleme doğru yapıldığında, son kullanıcı nasıl yapıldığını bilmeyecektir. İşleri karıştırmanın şansı (örneğin yenilendiğinde yenilemeyi unutmak veya kurulumu yanlış yapmak) otomatik bir süreçle daha azdır.

tüm

OV / EV sertifikalarını arzu ettiğiniz, sertifika yönetimini otomatikleştirmediğiniz veya sertifikaların HTTPS'den başka bir bağlamda kullanılmasını istemiyorsanız, geleneksel satın alma araçları özellikle kullanışlıdır.


118
2017-08-18 12:46



Bazı durumlarda, bir CA tarafı uzlaşma durumunda, bir sigorta yönü vardır. - John Keates
EV'de giden bir kaynağın var mı? - Puddingfox
@Puddingfox İyi nokta. Mevcut duruma bakmalı ve gerekirse daha fazla hak kazanmalıyım. Bununla birlikte, gitmeyecek olan EV sertifikaları değil, ilgili "yeşil çubuk" tarayıcı kullanıcı arayüzü göstergesi. - Håkan Lindqvist
Deneyimlerim arasında, Posta için Şifrele'yi de kullanabilirsiniz, bu nedenle bu amaç için yeterince esnektir. - Manngo
@kloddant Huh. Senaryoyu, her yenileme süreci için bir kereden fazla çalıştırırdınız ve elbette ki diğer otomatik işlemlerde olduğu gibi, izlemeye ihtiyaç duyarsınız. önce Sertifika süresi dolar. - Jonas Schäfer


Tamamen teknik bir bakış açısından:

  • Sertifikaların sadece 3 ay boyunca geçerli olması gerçeği. Değişim yönetimi prosedürlerinize ve altyapınıza bağlı olarak sürdürmek bir sıkıntı olabilir.
  • Let's Encrypt sertifikalarının amacı sınırlıdır. E-postanız, kod imzalama veya zaman damgası için bunları kullanamazsınız.
    İle kontrol edin: openssl x509 -in cert.pem -noout -text

    X509v3 Genişletilmiş Anahtar Kullanımı:
                  TLS Web Sunucusu Kimlik Doğrulaması, TLS Web İstemcisi Kimlik Doğrulaması

Son kullanıcı bakış açısından:


75
2017-08-18 11:47



Chrome'un, HTTPS için özel bir şey göstermeyecek şekilde aktif bir şekilde hareket ettiğini ve OSX'in bir sonraki büyük sürümünün iOS'un iOS için EV için özel bir şey göstermediğini göreceğini unutmayın. Büyük tarayıcı satıcılarının EV'den uzaklaştığı anlaşılıyor. En iyi web sitelerinin çoğu bunu kullanmıyor. - Greg W
Değişim yönetimi ile ilgili olarak, 3 aylık ömrünün arkasındaki fikir, sertifika alma ve yenileme işlemlerinin tamamen otomatik hale getirilmesidir. Yani, amaçlandığı gibi kullanılırsa değişiklik Sertifikaları manuel olarak tekrar yüklemeyen otomasyon olacaktı. Ancak, otomatize etmeye karşı politika varsa, muhtemelen bunu bir yokluk haline getirecektir. - Håkan Lindqvist
TLS Web Sunucusu Kimlik Doğrulaması, güvenceye almak için yeterlidir, örn. SMTP, IMAP, POP3 sunucuları. S / MIME için geçerli değil. - Michael Hampton♦
Yorumcular için-lütfen yukarıda olduğunu unutmayın topluluk wiki herkes tarafından düzenlenecek olan - HBruijn
@ ripper234 Şu an bulunduğunuz ciddi / kullanıcı web sunucu serverfault.com gibi mi demek istiyorsunuz? Bu site bir EV sertifikası kullanmamaktadır. Google.com da yok. Veya microsoft.com. Veya cisco.com. Ve tarayıcılar yeşil çubuğu aşamalıyor. Bir EV sertifikası sizin için önemliyse, bunun için ödeme yapmak anlamına gelir, ancak kesinlikle çok sayıda önemli ve kullanıcı tarafından karşılanan siteler, değeri hakkında farklı bir sonuca varmıştır. - Zach Lipton


Let's Encrypt'a karşı kullanılan argümanlar için bazı karşı puanlar sunmak istiyorum.

Kısa ömür

Evet, SSS'de açıklandığı gibi kısa ömürleri vardır: https://letsencrypt.org/2015/11/09/why-90-days.html Sayfayı alıntılamak için:

  1. Anahtar uzlaşma ve yanlış ihraçtan kaynaklanan zararı sınırlandırıyorlar. Çalınan anahtarlar ve yanlış verilen sertifikalar daha kısa bir süre için geçerlidir.

  2. Kullanım kolaylığı için kesinlikle gerekli olan otomasyonu teşvik ederler. Tüm Web’i HTTPS’e taşıyacaksak, yapamayız.   Sistem yöneticilerinin yenilemeleri el ile ele almasını beklemeye devam edin.   Yayınlama ve yenileme otomatik hale getirildikçe, daha kısa ömürler olmayacak   Daha uzun olanlardan daha az uygun.

EV eksikliği

EV desteği için bir plan bulunmamaktadır. Muhakeme https://community.letsencrypt.org/t/plans-for-extended-validation/409):

Let'in Şifrelemesinin EV'yi desteklemesini beklemekteyiz, çünkü EV süreci her zaman birilerinin ödeme yapmasını gerektiren insani çaba gerektirecektir. Modelimiz, EV ile uyumlu görünmeyen düzey bir otomasyon gerektiren, ücretsiz sertifika vermek.

Üstelik EV'in zararlı olduğuna inanan bazıları var, bu blog yazısı gibi (https://stripe.ian.sh/):

Örneğin, James Burton kısa bir süre önce "Identity Verified" adlı şirketi için bir EV sertifikası aldı. Ne yazık ki, kullanıcılar bu varlıkların nüansları ile ilgilenmek için yeterli donanıma sahip değildir ve bu da kimlik avı için önemli bir vektör oluşturur.

Bunun klasik bir gerçek dünya örneği sslstrip. Yasal olarak satın alınmış sertifikalara sahip homografik siteler, EV'in şu an yeterli bir savunma sağlamadığı gerçek bir dünya saldırısıdır.


30
2017-08-18 12:43





İçin bir sertifikaya ihtiyacınız olmadıkça web dışında bir şey, hayır yok gerçek downsides, ama kesinlikle algılanan olanlar. Sorunlar sadece bir web sitesinin sahibi olarak algılanmakla birlikte, başka bir seçeneğiniz olmasa da onlara hitap etmekten başka bir seçeneğiniz olmayabilir (iş ilgisi orta parmağı göstermeyi engelliyorsa).

En büyük tek dezavantajı şu an için sitenizin biraz daha aşağı, belki tehlikeli çünkü diğer bazı sitelerin sahip olduğu güzel yeşil rozete sahip değil. Bu rozet ne anlama geliyor? Gerçekten hiçbir şey. Ama öyle önermek sitenizin "güvenli" olduğunu (bazı tarayıcılar bile bu kelimeyi kullanır). Ne yazık ki, kullanıcılar insanlar ve insanlar aptaldır. Birisi ya da diğeri, sitenizin güvenli olmadığını söylemesinden dolayı sitenizi güvenilir olmayacaktır (herhangi bir anlamı anlamadan).

Bu müşterileri / ziyaretçileri göz ardı etmek geçerli bir olasılıksa, sorun değil. Eğer bu iş zekasını karşılayamazsan, gerekecektir para harcamak. Başka seçenek yok.

Diğer algılanan sorun, sertifika ömrü ile ilgili sorun. Ama aslında bir avantaj, dezavantaj değil. Daha kısa geçerlilik, sertifikaların hem sunucu tarafı hem de istemci tarafı daha sık güncellenmesi gerektiği anlamına gelir.
Sunucu tarafında olduğu gibi, bu bir cron iş, aslında daha az güçlük ve daha güvenilir normalden daha. Unutmanın hiçbir yolu yoktur, geç kalmanın bir yolu yoktur, yanlışlıkla bir şey yapmanın bir yolu yoktur, bir yönetim hesabına giriş yapmanıza gerek yoktur (... bir kereden fazla). İstemci tarafında, ne yani. Tarayıcılar her zaman sertifikaları güncelliyor, biggie yok. Kullanıcı bunun olduğunu bile bilmiyor. Her 2 yılda bir değil, her 3 ayda bir güncellenirken çok daha fazla trafik var. o bir sorun değil.


5
2017-08-20 13:58



@ HåkanLindqvist: Bu tam olarak sorun. Kötü amaçlı bir site kurabilir ve 5,99 ABD doları harcayabilirim ve ortalama kullanıcı "güvenli" yazdığı için kötü amaçlı yazılım içeriğime güvenir. Aynı kullanıcı tamamen izinsiz, yasal siteye bir izin-şifreleme sertifikası ile güvenmeyecektir. Çünkü iyi güvenli değil. Ama ne yazık ki bunlar değişemeyeceğiniz şeyler. - Damon
LE cert, DV cert'in bir örneğidir, ancak (büyük olasılıkla sadece 5,99 $ için alacağınız). LE certs mevcut tarayıcılarda "Güvenli" olarak gösterilir. - Håkan Lindqvist
e-posta sunucularını web? kendi e-posta sunucumu çalıştırmam gerektiğinden, letsencrypt sertifikaları benim için yetersizdi - hanshenrik
@hanshenrik LE'yi sadece posta sunucuları ile kullanabilirsiniz. Örneğin kullanıyorum github.com/hlandau/acme İstemciyi sadece HTTPS'im için değil, SMTP, IMAP, POP3, XMPP'deki TLS için de Şifreleyin ... - Matija Nalis
@hanshenrik - Posta sunucum için LE sertifikaları çalıştırıyorum: hiç sorun yok - warren


Dikkate değer iki dezavantaj grubu vardır.

1. Let's Encrypt hizmetini kullanmanın olumsuz tarafı

Encrypt edelim, genel Internet DNS'de tam isminin veya (joker) bir joker karakteri isteğinizin olmasını gerektirir. Example.com üzerinde kontrolü ispat etseniz bile, Encrypt, public DNS'de görmeden size some.other.name.in.example.com için sertifika vermeyecektir. Adındaki makinelerin genel adres kayıtlarına sahip olmaları, güvenlik duvarlarının kapalı olması veya fiziksel olarak bağlantısının kesilmesi gerekebilir, ancak genel DNS adının bulunması gerekir.

Sertifikaların 90 gün boyunca şifrelerini şifreleyelim, çünkü otomatikleştirmek için gerek yok çünkü bunun için zamanınız yok. Aslında bu, hizmetin amacıdır - sürü insanlara, bu zor işin otomatikleştirilmesinden ziyade, çok daha zorlu görevleri otomatikleştirirken, bu temel işi otomatik hale getirmeye yönlendirmesidir. Ancak, herhangi bir nedenden dolayı otomatikleştiremezseniz, bu bir negatiftir - araçlarınız, cihazlarınız veya otomasyonunuzu engelleyen herhangi bir şey varsa, herhangi bir ticari SSL sertifikasını, bu araçların / araçların / maliyet planlamasında ne pahasına olursa olsun devam eden maliyetlerin bir parçası olarak düşünün. Kontrendikçe, yeni araçların / cihazların / etcetera'nın fiyatlandırılmasında ticari cetvellerin satın alınmasına gerek kalmadan tasarruf sağlar (Let's Encrypt ile değil)

Kontrol otomasyonunun En Güvenli Şifreli kanıtı kuruluşunuzun kurallarına uymayabilir. Örneğin, Apache'yi yeniden yapılandırmasına izin verilen ancak şirket alan adları için SSL sertifikası almaması gereken çalışanlarınız varsa, o zaman Encrypt’ın zayıf bir uyumluluğudur. Bu durumda onları kullanmamanın Yanlış Thing (TM) olduğunu, CAA'yı etki alanlarınız için Let's Encrypt'ı açıkça devre dışı bırakmak için kullanmanız gerektiğini unutmayın.

Eğer Encrypt politikasının sizi reddetmesi durumunda, tek “temyiz mahkemesi” kamu forumlarında sormak ve çalışanlarından birinin ileriye doğru bir yol sunmasını ummaktır. Örneğin, sitenizin bir DNS adına sahip olması durumunda, sistemlerin karar vermesi, büyük bankalar ya da Google gibi belirli ünlü mülklere "kafa karıştırıcı bir şekilde benziyor" şeklinde olabilir. Mantıklı nedenlerden dolayı, bu bağlamda her bir genel CA'nın kesin politikaları kamuya açık bir incelemeye açık değildir; bu nedenle, yalnızca istediğiniz zaman bir Let's Encrypt sertifikanıza sahip olamayacağınızı ve bir "Policy forbids ..." yanıtı alabileceğinizi anlayabilirsiniz.

2. Bir Encrypt sertifikasının kendisinin dezavantajı

Let's Encrypt sertifikaları, ISRG (Let's Encrypt hizmetini sağlayan sadaka) aracılığıyla büyük web tarayıcıları tarafından güvendiğini, ancak eski sistemlerin "DST Root CA X3" i kontrol eden nispeten belirsiz bir Sertifika Yetkilisi olan IdenTrust aracılığıyla Encrypt'e güvenme güvenini kazanacağına inanıyoruz. Bu, çoğu insan için yapılan işi alır, ancak dünyadaki en geniş güvenilen kök değildir. Örneğin, terk edilmiş Nintendo WiiU konsolunun bir web tarayıcısı vardı, Nintendo WiiU için nakliye güncellemeleri olmayacak ve tarayıcıyı terkedecek, Encrypt'a güvenmeyecek.

Sadece şifrelemeyi, Web PKI - SSL / TLS protokolünü kullanan İnternet isimleri olan sunucuların sertifikalarını verelim. Öyleyse bu açık Web ve IMAP, SMTP, bazı VPN sunucusu türleri, düzinelerce şey, ama her şey değil. Özellikle, Let's Encrypt, S / MIME için (sadece transit olduğunda değil, dinlenme sırasında e-postayı şifrelemenin bir yolu) sertifikalar sunmaz, ya da kod imzalama veya belge imzalama için. Sertifikalar için "tek noktadan alışveriş" istiyorsanız, bu şifrelemeyi kullanmamak için yeterli sebep olabilir.

Web PKI'sında bile, Encrypt sadece "DV" sertifikaları sunar, yani sertifika hakkında FQDN'lerden başka kendiniz ya da kuruluşunuzla ilgili herhangi bir ayrıntı belirtilmez. Bunları bir CSR'ye yazsanız bile, sadece atılırlar. Bu, bazı uzman uygulamalar için bir engelleyici olabilir.

Encrypt otomasyonu, bir şeylere sahip olamamanın başka nedenleri olmasa bile otomasyonun izin verdiği ölçüde tam olarak kısıtladığınız anlamına gelir. Yeni anahtarlar, yeni X.509 uzantıları ve diğer eklentiler, Let's Encrypt tarafından kendi zaman çizelgesinde açıkça etkinleştirilmeli ve elbette, bağışlar hoş karşılansa da, istediğiniz özellikleri almak için fazladan ödeme yapamazsınız.

Bununla birlikte, hemen hemen herkes için, hemen hemen her zaman, Let's Encrypt TLS sunucularınıza sertifikaları yangın ve unut-ma şekilde koymak için iyi bir ilk tercihtir. Let's Encrypt'ı kullanacağınız varsayımı ile başlamak bu karara yaklaşmanın mantıklı bir yoludur.


5
2017-08-26 11:07



Nintendo WiiU'yi desteklemiyor mu, merak ediyorum, tarayıcının doğru şekilde görüntüleyebildiği birkaç web sitesi göz önünde bulundurulduğunda. - Dmitry Grigoryev
"Kontrol otomasyonunun kanıtı" nın olumsuz taraflarından bahsediyorsunuz, fakat tecrübelerime göre, herhangi bir DV sertifikası zaten benzer şemalarla doğrulanacaktır. Örneğin, İşte Comodo'nun sunduğu yöntemlerçok ACME benzeri bir HTTP tabanlı yaklaşım içerir. Sahte kayıtlara karşı koruma, muhtemelen Sertifika Şeffaflığı günlüklerini izleyerek en iyi şekilde yönetilebilir. - IMSoP
CT monitörünün izlenmesi bu tür bir durum için iyi bir fikirdir ve evet, sadece On Mübarek Yöntem (aslında şu anda 8 ya da 9 gerçek yöntemi düşünüyorum) vardır, bu yüzden bir CA'dan diğerine sadece gideceksin Yöntemlerin farklı bir karışımını ve tam olarak nasıl çalıştıklarını gösteren bazı varyasyonları görebilirsiniz. Ancak, hangi yöntemlerin sunulduğu, tercih ettiğiniz yöntemi kullanmak için sözleşme yükümlülüklerine sahip olma potansiyeli ve hangi yöntemlere izin verildiğini göstermek için bir CAA alanı eklemek gibi teknik fikirlerin bile CA'ya göre değişkenlik göstermesi ve kullanımının mantıklı olacağı anlamına gelebilir. Şifreleyelim. - tialaramex
Somut bir örnek olarak: Facebook'un büyük bir ticari CA ile bir sözleşmesi var. Artık CA'nın yalnızca CA'nın facebook.com ve fb.com gibi ana alan adları için sertifika verebileceğini belirtmek için kullanıyorlar; sözleşme şartları, Facebook'un şirket içi teknik güvenlik ekibinin her yeni sertifikayı temizlemesini sağlamıştır. CA hala On Mübarek Yöntemlerden birini kullanmak zorundadır, ancak sözleşme aynı zamanda Facebook Güvenliği'ni çağırmasını gerektirir. - tialaramex


İşverenimi Lets Encrypt'dan kısmen uzaklaştıran bir API ekleyeceğim: API oranı sınırlaması. Kısa ömürler ve joker desteğin olmaması nedeniyle, normal otomatik işlemlerde (otomatik yenileme, vb.) Oran limitlerine yaklaşmak çok kolaydır. Yeni bir alt alan eklemeyi denemek, ücret sınırını aşmanıza yol açabilir ve LE, vurulduktan sonra sınırı manuel olarak geçersiz kılmanın bir yolu yoktur. Eski sertifikaları yedeklemezseniz (LE tahminleri gibi otomatik, bulut tipi bir mikro hizmet ortamında bunu kim yapar?) Etkilenen tüm siteler çevrimdışı hale gelir ve LE sertifikaları yeniden yayınlamaz.

Ne olduğunu anladığımızda, "oh $ #! #" Adlı bir an vardı ve ardından üretim sitelerini tekrar çevrimiçi hale getirmek için acil bir ticari sertifika talebi geldi. Biri daha makul bir 1 yıllık kullanım ömrüne sahip. LE, uygun joker desteğini uygulayana kadar (ve hatta o zaman bile), onların tekliflerine çok dikkatli davranacağız.

Tl; dr: LE joker karakterleri + API limitleri, "Kişisel Sayfam" dan beklenmedik bir şekilde zorlaşan bir şeyi daha karmaşık bir şekilde yönetmeyi ve yol boyunca kötü güvenlik uygulamalarını teşvik ediyor.


5
2017-08-23 09:58





Evet.

Ücretsiz veya Diyelim şifreli SSL Sertifikası kullanmanın dezavantajı

Uyumluluk sorunu - SSL Sertifikasını, tüm platformlarla uyumlu olmayan şifreleyelim. Görmek bu bağlantı Uyumsuz platformların listesini bilmek -

Daha az geçerlilik - Bir SSL şifresini şifreleyelim, 90 gün gibi sınırlı bir geçerlilik ile gelir. SSL sertifikanızı her 90 günde bir yenilemeniz gerekir. Nerede Comodo gibi ücretli bir SSL 2 yıl gibi uzun geçerlilik ile birlikte gelir.

İş doğrulama yok - Ücretsiz bir SSL Sertifikası sadece alan adı doğrulaması gerektirir. Kullanıcıları yasal bir işletme için sağlamak için hiçbir işletme veya kuruluş doğrulaması yoktur.

Küçük işletme veya blog siteleri için uygun - Son noktada eklediğim gibi, ücretsiz veya SSL şifrelemeyi şifreleyebiliriz, alan sahipliği doğrulaması yoluyla kullanılabilir, iş ve e-ticaret web sitesi için uygun değildir, burada güven ve güvenlik iş için önemli bir faktördür.

Yeşil adres çubuğu yok - Ücretsiz SSL Sertifikasına sahip yeşil adres çubuğuna sahip olamazsınız. Genişletilmiş bir doğrulama SSL sertifikası, işletme adınızı tarayıcıda yeşil adres çubuğuyla görüntülemenin tek yoludur.

Destek yok - Let’in şifrelenmesi ile aralarında sıkıştıysanız, çevrimiçi sohbet edin veya destek arayın. Forumdan sadece konudan kurtulmak için iletişime geçebilirsiniz.

Ek güvenlik özellikleri - Ücretsiz bir SSL Sertifikası, ücretsiz kötü amaçlı yazılım taraması, site mührü vb. Gibi ekstra özellikler sunmaz.

Garanti yok - Ücretsiz veya Let şifrelemeli SSL Sertifikası herhangi bir garanti bedeli sunmazken, ödenmiş bir SSL Sertifikası 10,000 $ ile 1.750.000 $ arasında garanti sunar.

Habere göre, 14,766 Sadece etki alanı doğrulaması gerektirdiği için PayPal Kimlik Avı Sitelerine Verilen SSL Sertifikalarını Şifreleyelim

Yani, benim önerim uyarınca, bir SSL Sertifikası ödemek gerçekten değer.


-1
2017-08-20 16:11



(1) LE sadece eski sistemlerle uyumsuzdur. (2) Geçerlilik süresi otomasyon nedeniyle bir sorun değildir. (3) Doğrulama, diğer DV belgeleri ile aynıdır. (4) LE cert herhangi bir org türü için uygundur. (5) Yeşil çubuk sadece EV sertifikaları içindir (ve yakın gelecekte gider). (6) Bunu yapan hiçbir cert satıcısı tanımıyorum. kötü amaçlı yazılım taraması ve ne site mührü katkıda bulunacak mı? (7) Bir sertifikanın hangi şartlara bağlı kalması gerekir? (8) Gölgeli ödeme yapan CA'lar, kimlik avı siteleri için de sertifika satarlar (9) Referans olarak verdiğiniz bağlantı, kendinden İmzalı sertifikaları tartışır. - BlueCacti
"Uyumsuz sistemler" listesi 2.3.6'dan önceki Android sürümleri, Nintendo 3DS ve SP3'ten önceki Windows XP gibi şeyler olduğunda, SSL sertifikalarına ihtiyaç duyan kullanıcıların% 99,999'u için bir endişe değil. Ayrıca, postanızın altındaki "Neden olmasın ..." bağlantısı SADECE kendinden imzalı SSL ile ilgili, Encrypt sertifikaları hakkında bir şey söylemez, bu bağlantının kullanımı aslında yanlıştır. - semi-extrinsic


Bazı araştırmalardan sonra, Let's Encrypt sertifikalarının, tarayıcılarla ücretli sertifikalardan daha az uyumlu olduğunu öğrendim. (Kaynak: Şifreleyelim vs. Comodo PozitifSSL)


-6



İkinci bağlantı bozuk. - iamnotmaynard
On yıl öncesine ait bir şeyi desteklemeyen tarayıcılar ve platformlar hakkında ne düşünüyorsunuz? - warren
@warren ister beğenmeyin ister beğenmeyin, ancak özellikle büyük kuruluşlardaki birçok cihaz ve bilgisayar hala Windows XP veya benzer yaştaki işletim sistemlerini çalıştırıyor ve birbirleriyle iletişim kurmak için (tamamen kontrol edilen çok sayıda güvenlik duvarı ve vekil) internet erişimini gerektirebilir . El terminalleri konuşan veya büfeler düşünün. Heck, şu anda 15 yaşındaki cihazları https / ssl üzerinden konuşan bir sistemin sunucularını yazıyorum. Çoğu müşteri yeni cihazlara geçtiyse de, bazıları yok. - jwenting