क्या लेट्स एनक्रिप्ट फ्री एसएसएल के अलावा एक एसएसएल प्रमाणपत्र का उपयोग करने का कोई कारण है?


141

आइए Encrypt मुफ्त SSL प्रमाणपत्र प्रदान कर रहे हैं। क्या AWS सर्टिफिकेट मैनेजर जैसे अन्य, सशुल्क प्रमाणपत्रों की तुलना में कोई डाउनसाइड है ?


1
मैंने निरर्थक बहस के बारे में टिप्पणियों के बहुमत को हटा दिया है अगर ले अपनी स्वतंत्र प्रकृति के कारण स्वाभाविक रूप से कम भरोसेमंद है।
स्वेन

जवाबों:


126

प्रमाण पत्र जीवनकाल

सुरक्षा

छोटा जीवनकाल बेहतर होता है। केवल इसलिए कि निरसन ज्यादातर सैद्धांतिक होता है, व्यवहार में इसे (सार्वजनिक PKI पारिस्थितिकी तंत्र में बड़ी कमजोरी) पर निर्भर नहीं किया जा सकता है।

प्रबंध

स्वचालन के बिना: लंबा जीवनकाल अधिक सुविधाजनक है। यदि आप किसी भी कारण से ले तो संभव नहीं हैं, तो प्रमाण पत्र प्रबंधन को
ऑटोमेशन के साथ स्वचालित नहीं किया जा सकता है : लाइफस्पेसन कोई फर्क नहीं पड़ता।

अंत-उपयोगकर्ता की छाप

अंतिम उपयोगकर्ताओं को किसी भी तरह से एक विचार या किसी अन्य होने की संभावना नहीं है।

सत्यापन का स्तर

सुरक्षा

Letsencrypt केवल सत्यापन का DV स्तर प्रदान करता है।
एक सर्टिफिकेट खरीदने पर आपको जो भी भुगतान करना है (डीवी पर शुरू करके, ले के साथ उतने ही स्तर पर)।

DV = केवल डोमेन नाम नियंत्रण सत्यापित है।
OV = स्वामी इकाई (संगठन) जानकारी इसके अतिरिक्त सत्यापित है।
ईवी = ओवी का अधिक गहन संस्करण, जिसे पारंपरिक रूप से "ग्रीन बार" से सम्मानित किया गया है (लेकिन "ग्रीन बार" जल्द ही खत्म हो जाता है)।

प्रबंध

LE का उपयोग करते समय, आपके द्वारा डाला गया कार्य आवश्यक स्वचालन स्थापित कर रहा है (इस संदर्भ में, डोमेन नियंत्रण साबित करने के लिए)। कितना काम है जो आपके पर्यावरण पर निर्भर करेगा।

प्रमाणपत्र खरीदते समय DV / OV / EV स्तर यह परिभाषित करेगा कि प्रमाणपत्र प्राप्त करने के लिए कितना मैनुअल काम करना आवश्यक है। DV के लिए, यह आमतौर पर एक जादूगर द्वारा भुगतान करने और किसी चीज़ को कॉपी / पेस्ट करने या ओवी और ईवी के लिए क्लिक करने से उबलता है, आप अपनी पहचान की पुष्टि करने के लिए अतिरिक्त चरणों के लिए अलग से संपर्क करने की आवश्यकता पर बहुत अधिक भरोसा कर सकते हैं।

अंत-उपयोगकर्ता की छाप

एंड-यूजर्स शायद वर्तमान ईवी "ग्रीन बार" (जो दूर जा रहे हैं) को पहचानते हैं, इसके अलावा वे वास्तव में प्रमाण पत्र सामग्री को नहीं देखते हैं।
सैद्धांतिक रूप से, हालांकि, यह स्पष्ट रूप से एक प्रमाण पत्र के साथ अधिक सहायक है जो नियंत्रण इकाई के बारे में जानकारी बताता है। लेकिन ब्राउज़रों (या अन्य क्लाइंट एप्लिकेशन) को वास्तव में इसे उपयोगी तरीके से दिखाना शुरू करने की आवश्यकता होती है, इससे पहले कि विशिष्ट उपयोगकर्ता के लिए कोई प्रभाव न हो।

स्थापना

सुरक्षा

निजी कुंजी या समान को उजागर करने वाले तरीकों से चीजों को गलत तरीके से करना संभव है। LE के साथ, प्रदत्त टूलींग उचित प्रथाओं के आसपास स्थापित की गई है।
एक व्यक्ति के साथ जो जानता है कि वे क्या कर रहे हैं, मैन्युअल कदम स्पष्ट रूप से सुरक्षित रूप से भी किया जा सकता है।

प्रबंध

LE को सभी प्रक्रियाओं को स्वचालित करने का बहुत इरादा है, उनकी सेवा पूरी तरह से एपीआई-आधारित है और छोटी उम्र भी दर्शाती है कि स्वचालन के आसपास सब कुछ कैसे केंद्रित है।

एक प्रमाण पत्र खरीदते समय, यहां तक ​​कि एक सीए के साथ जो नियमित ग्राहकों को एपीआई प्रदान करता है (वास्तव में इस बिंदु पर आदर्श नहीं है) डीवी के अलावा किसी अन्य चीज को ठीक से स्वचालित करना मुश्किल होगा और डीवी के साथ आप अनिवार्य रूप से उसी चीज के लिए भुगतान कर रहे हैं जो LE प्रदान करता है।
यदि आप ओवी या ईवी स्तरों के लिए जा रहे हैं, तो आप संभवतः केवल आंशिक रूप से प्रक्रिया को स्वचालित कर सकते हैं।

अंत-उपयोगकर्ता की छाप

यदि स्थापना सही ढंग से की गई है, तो अंत-उपयोगकर्ता स्पष्ट रूप से नहीं जान पाएंगे कि यह कैसे किया गया था। चीजों को गड़बड़ाने की संभावना (उदाहरण के लिए, नवीनीकरण करने या स्थापना के समय गलत तरीके से इंस्टॉलेशन करना भूल जाना) एक स्वचालित प्रक्रिया के साथ कम है।

संपूर्ण

यदि आप ओवी / ईवी सेर्ट्स की इच्छा रखते हैं, तो सर्ट खरीदने के पारंपरिक साधन विशेष रूप से उपयोगी हैं, प्रमाण पत्र प्रबंधन को स्वचालित नहीं कर रहे हैं या एचटीटीपीएस की तुलना में कुछ अन्य संदर्भों में इस्तेमाल किए जाने वाले सेर्ट्स चाहते हैं।


3
कुछ मामलों में एक सीए-साइड समझौता होने की स्थिति में एक बीमा पहलू होता है।
जॉन कीट्स

22
क्या आपके पास ईवी से दूर जाने का स्रोत है?
jamesbtate

4
@Puddingfox अच्छी बात है। मुझे वर्तमान स्थिति को देखना होगा और यदि आवश्यक हो तो इसे और अधिक योग्य बनाना चाहिए। उस ने कहा, यह ईवी सेर्ट्स नहीं है जो दूर हो जाएगा लेकिन संबंधित "ग्रीन बार" ब्राउज़र यूआई संकेतक है।
हाकन लिंडक्विस्ट

5
मेरे अनुभव में, आप लेट्स एनक्रिप्ट को मेल के लिए भी उपयोग कर सकते हैं, इसलिए यह उस उद्देश्य के लिए पर्याप्त लचीला है।
मंजींगो

10
@ चकौदन्त हुंह। आप नवीनीकरण की अवधि के अनुसार एक से अधिक बार स्क्रिप्ट चलाएंगे, और निश्चित रूप से किसी भी अन्य स्वचालित प्रक्रिया की तरह, इसे निगरानी की आवश्यकता होती है (जो प्रमाणपत्र समाप्त होने से पहले ट्रिगर होता है)।
जोनास शफर

76

विशुद्ध रूप से तकनीकी दृष्टिकोण से:

  • तथ्य यह है कि प्रमाण पत्र केवल 3 महीने के लिए वैध हैं। आपकी परिवर्तन प्रबंधन प्रक्रियाओं और बुनियादी ढांचे के आधार पर बनाए रखने के लिए एक उपद्रव हो सकता है।
  • लेट्स एनक्रिप्ट सर्टिफिकेट का उद्देश्य सीमित है। आप उन्हें अपने ईमेल, कोड साइनिंग या टाइमस्टैम्पिंग के लिए उपयोग नहीं कर सकते।
    इससे जाँच करें: openssl x509 -in cert.pem -noout -text

    X509v3 विस्तारित कुंजी उपयोग:
    टीएलएस वेब सर्वर प्रमाणीकरण, टीएलएस वेब क्लाइंट प्रमाणीकरण

अंतिम-उपयोगकर्ता के दृष्टिकोण से:


23
ध्यान दें कि क्रोम सक्रिय रूप से HTTPS के लिए कुछ भी विशेष दिखाने की दिशा में आगे नहीं बढ़ रहा है और OSX और iOS की अगली प्रमुख रिलीज़ सफारी को EV के लिए कुछ विशेष नहीं दिखाएगा। ऐसा लगता है कि प्रमुख ब्राउज़र विक्रेता EV से दूर जा रहे हैं। कई शीर्ष वेब साइटें भी इसका उपयोग नहीं करती हैं।
ग्रेग डब्ल्यू १

18
परिवर्तन प्रबंधन के बारे में किए गए बिंदु के बारे में, 3 महीने के जीवनकाल के पीछे का विचार यह है कि सीट्स प्राप्त करने और नवीनीकृत करने की प्रक्रिया पूरी तरह से स्वचालित होने का मतलब है। यानी, यदि इरादा के रूप में उपयोग किया जाता है, तो परिवर्तन उस स्वचालन को स्थापित करेगा, बार-बार प्रमाण पत्र मैन्युअल रूप से स्थापित नहीं करेगा। लेकिन अगर इसे स्वचालित करने के खिलाफ नीति है, तो यह संभवत: इसे एक गैर-चलन बना देगा।
हाकन लिंडक्विस्ट

8
TLS वेब सर्वर प्रमाणीकरण सुरक्षित करने के लिए पर्याप्त है, जैसे SMTP, IMAP, POP3 सर्वर। हालांकि यह S / MIME के ​​लिए मान्य नहीं है।
माइकल हैम्पटन

5
टिप्पणीकारों के
लिए-

12
@ ripper234 का मतलब है कि आप गंभीर / उपयोगकर्ता का सामना करने वाले वेबसाइट serverfault.com की तरह हैं जो आप अभी कर रहे हैं? यह साइट EV प्रमाणपत्र का उपयोग नहीं करती है। न ही google.com करता है। या microsoft.com। या cisco.com। और ब्राउज़र हरी पट्टी को चरणबद्ध कर रहे हैं। यदि कोई ईवी प्रमाण पत्र आपके लिए महत्वपूर्ण है, तो इसके लिए हर तरह से भुगतान करें, लेकिन निश्चित रूप से बहुत सारे महत्वपूर्ण और उपयोगकर्ता का सामना करने वाली साइटें इसके मूल्य के बारे में एक अलग निष्कर्ष पर पहुंची हैं।
जच लिपटन

30

चलो यहाँ एनक्रिप्ट के खिलाफ इस्तेमाल होने वाले तर्कों के लिए कुछ काउंटर पॉइंट्स की पेशकश करना चाहता हूँ।

लघु जीवनकाल

हां, उनके पास एक छोटा जीवनकाल है जैसा कि faq में समझाया गया है: https://letsencrypt.org/2015/11/09/why-90-days.html पेज को उद्धृत करने के लिए:

  1. वे प्रमुख समझौता और गलत जारी से नुकसान को सीमित करते हैं। चोरी की चाबियाँ और गलत जारी किए गए प्रमाण पत्र समय की एक छोटी अवधि के लिए मान्य हैं।

  2. वे स्वचालन को प्रोत्साहित करते हैं, जो आसानी से उपयोग के लिए आवश्यक है। यदि हम पूरे वेब को HTTPS में स्थानांतरित करने जा रहे हैं, तो हम सिस्टम प्रशासकों से मैन्युअल रूप से नवीनीकरण को संभालने की अपेक्षा करना जारी नहीं रख सकते। एक बार जारी करने और नवीनीकरण स्वचालित होने के बाद, छोटे जीवनकाल लंबे लोगों की तुलना में कम सुविधाजनक नहीं होंगे।

ईवी की कमी

ईवी सपोर्ट की कोई योजना नहीं है। तर्क ( https://community.letsencrypt.org/t/plans-for-extended-validation/409 से है:

हम उम्मीद करते हैं कि आइए एनक्रिप्ट को ईवी का समर्थन नहीं करेंगे, क्योंकि ईवी प्रक्रिया को हमेशा मानव प्रयास की आवश्यकता होगी, जिसे किसी को भुगतान करने की आवश्यकता होगी। हमारा मॉडल नि: शुल्क प्रमाण पत्र जारी करना है, जिसमें एक स्तर के स्वचालन की आवश्यकता होती है जो ईवी के साथ संगत नहीं लगती है।

इसके अलावा कुछ ऐसे भी हैं जो मानते हैं कि EV हानिकारक है, जैसे कि यह ब्लॉगपोस्ट ( https://stripe.ian.sh/ ):

उदाहरण के लिए, जेम्स बर्टन ने हाल ही में अपनी कंपनी "आइडेंटिटी सत्यापित" के लिए ईवी प्रमाणपत्र प्राप्त किया। दुर्भाग्य से, उपयोगकर्ता केवल इन संस्थाओं की बारीकियों से निपटने के लिए सुसज्जित नहीं हैं, और यह फ़िशिंग के लिए एक महत्वपूर्ण वेक्टर बनाता है।

इसका एक क्लासिक वास्तविक विश्व उदाहरण है sllstrip। वैध रूप से खरीदे गए प्रमाणपत्रों के साथ होमोग्राफ साइट एक वास्तविक दुनिया का हमला है जिसके लिए ईवी वर्तमान में पर्याप्त सुरक्षा प्रदान नहीं करता है।


6

डाउनसाइड्स के दो समूह हैं जो विचार करने लायक हैं।

1. लेट्स एनक्रिप्ट सेवा का उपयोग करने के लिए डाउनसाइड करता है

मान लें कि यदि आप वाइल्डकार्ड के लिए अनुरोध कर रहे हैं, तो सटीक नाम या उप (डोमेन) डोमेन की आवश्यकता है, जो सार्वजनिक इंटरनेट DNS में मौजूद है। यदि आप example.com पर नियंत्रण सिद्ध करते हैं, तो भी, आप एनक्रिप्ट नहीं कर सकते हैं। आप कुछ प्रमाणों के लिए प्रमाण पत्र जारी नहीं करेंगे। जिन मशीनों के नाम की जरूरत होती है, उनका सार्वजनिक पता रिकॉर्ड नहीं होता है, उन्हें फ़ायरवॉल से बंद किया जा सकता है, या यहां तक ​​कि शारीरिक रूप से डिस्कनेक्ट किया जा सकता है, लेकिन सार्वजनिक DNS नाम की आवश्यकता है।

चलो 90 दिनों के प्रमाण पत्र के जीवनकाल को एन्क्रिप्ट करें मतलब है कि आपको स्वचालित करने की आवश्यकता है क्योंकि उसके लिए किसी को भी समय नहीं मिला है। यह वास्तव में सेवा का इरादा है - लोगों को इस आवश्यक कार्य को स्वचालित रूप से करने के बजाय झुंड के बजाय इसे मैन्युअल रूप से कर रहे हैं जबकि वे कई कठिन कार्यों को स्वचालित करते हैं। लेकिन अगर आप किसी भी कारण से इसे स्वचालित नहीं कर सकते हैं तो यह एक नकारात्मक है - यदि आपके पास उपकरण, उपकरण हैं या जो भी ब्लॉक ऑटोमेशन किसी भी व्यावसायिक एसएसएल प्रमाणित लागत को उन उपकरणों / उपकरणों / चल रही लागत की लागत के हिस्से के रूप में मानते हैं। कॉन्ट्रैरेवाइज ने नए टूल / उपकरण / वगैरह के मूल्य निर्धारण में वाणिज्यिक सीरियल्स खरीदने की आवश्यकता से ऑफसेट बचत की जो इसे स्वचालित करते हैं (चलो एनक्रिप्ट करें या नहीं)

नियंत्रण स्वचालन के प्रमाण को एन्क्रिप्ट करें आपके संगठन के नियमों के अनुरूप नहीं हो सकता है। उदाहरण के लिए यदि आपके पास ऐसे कर्मचारी हैं, जिन्होंने अपाचे को फिर से कॉन्फ़िगर करने की अनुमति दी है, लेकिन कंपनी के डोमेन नाम के लिए एसएसएल सेर्ट्स नहीं मिलना चाहिए, तो चलो एनक्रिप्ट एक खराब फिट है। ध्यान दें कि इस मामले में सिर्फ उनका उपयोग नहीं करना गलत थिंग (TM) है, आपको सीएए का उपयोग स्पष्ट रूप से अक्षम करने के लिए करना चाहिए ताकि आप अपने डोमेन को एन्क्रिप्ट कर सकें।

यदि लेट एनक्रिप्ट नीति आपको मना कर देती है, तो केवल "अपील की अदालत" अपने सार्वजनिक मंचों में पूछती है और आशा करती है कि उनका एक कर्मचारी आगे की राह प्रदान करने में सक्षम है। यह तब हो सकता है, उदाहरण के लिए, आपकी साइट में DNS नाम है, जो उनके सिस्टम का निर्णय बड़े बैंकों या Google जैसी कुछ प्रसिद्ध संपत्तियों के लिए "भ्रम के समान" है। समझदार कारणों के लिए इस संबंध में प्रत्येक सार्वजनिक सीए की सटीक नीतियां सार्वजनिक जांच के लिए खुली नहीं हैं, इसलिए आप केवल यह महसूस कर सकते हैं कि आपके पास अनुरोध करते समय लेट्स एनक्रिप्ट क्रिप्ट नहीं हो सकता है और आपको "पॉलिसी मना ..." प्रतिक्रिया मिल सकती है।

2. लेट्स एनक्रिप्ट सर्टिफिकेट के लिए डाउनसाइड करता है

आइएसआरजी के माध्यम से आज प्रमुख वेब ब्राउज़रों द्वारा एनक्रिप्ट क्रिप्ट पर भरोसा किया जाता है (लेट्स एनक्रिप्ट सेवा प्रदान करने वाला चैरिटी) लेकिन पुराने सिस्टम पर भरोसा करते हैं आइए आइडेंट्रिस्ट के माध्यम से एनक्रिप्ट करें, एक अपेक्षाकृत अस्पष्ट प्रमाणपत्र प्राधिकरण जो "डीएसटी रूट सीए एक्स 3" को नियंत्रित करता है। यह ज्यादातर लोगों के लिए काम करता है, लेकिन यह दुनिया में सबसे व्यापक रूप से विश्वसनीय जड़ नहीं है। उदाहरण के लिए छोड़े गए निंटेंडो WiiU कंसोल में एक वेब ब्राउज़र था, जाहिर है कि Nintendo WiiU के लिए अपडेट अपडेट नहीं किया जाएगा और इसलिए ब्राउज़र को छोड़ दिया जाता है, यह विश्वास नहीं करता है कि चलो एनक्रिप्ट करें।

आइए केवल वेब पीकेआई के लिए प्रमाणपत्र जारी करें - इंटरनेट नामों वाले सर्वर जो एसएसएल / टीएलएस प्रोटोकॉल का उपयोग करते हैं। तो यह वेब जाहिर है, और आपके IMAP, SMTP, कुछ प्रकार के वीपीएन सर्वर, दर्जनों चीजें, लेकिन सब कुछ नहीं। विशेष रूप से आइए Encrypt S / MIME के ​​लिए सभी को प्रमाणपत्र प्रदान नहीं करता है (आराम से ईमेल को एन्क्रिप्ट करने का एक तरीका, इसके बजाय जब यह संक्रमण में हो) या न ही कोड हस्ताक्षर या दस्तावेज़ पर हस्ताक्षर करने के लिए। यदि आप प्रमाण पत्र के लिए "वन स्टॉप शॉप" चाहते हैं, तो यह पर्याप्त कारण हो सकता है कि लेट्स एनक्रिप्ट का उपयोग न करें।

यहां तक ​​कि वेब पीकेआई में, चलो एनक्रिप्ट केवल "डीवी" प्रमाण पत्र प्रदान करता है, जिसका अर्थ है कि एफक्यूडीएन के अलावा अपने या अपने संगठन के बारे में कोई भी विवरण प्रमाण पत्र में उल्लिखित नहीं है। यहां तक ​​कि अगर आप उन्हें एक सीएसआर में लिखते हैं, तो वे सिर्फ खारिज कर दिए जाते हैं। यह कुछ विशेषज्ञ अनुप्रयोगों के लिए अवरोधक हो सकता है।

चलो एनक्रिप्ट स्वचालन का मतलब है कि आप ठीक उसी तरह से विवश हैं जो स्वचालन की अनुमति देता है, भले ही कोई अन्य कारण न हो कि आपके पास कुछ क्यों न हो। नई प्रकार की सार्वजनिक कुंजी, नए X.509 एक्सटेंशन और अन्य परिवर्धन को स्पष्ट रूप से सक्षम किया जाना चाहिए चलो अपनी समयरेखा पर एन्क्रिप्ट करें, और निश्चित रूप से आप केवल उन सुविधाओं को प्राप्त करने के लिए अतिरिक्त भुगतान करने की पेशकश नहीं कर सकते हैं जो आप चाहते हैं कि दान का स्वागत है।

फिर भी, लगभग सभी के लिए, लगभग हमेशा, आइए एनक्रिप्ट एक फायर-एंड-भूल तरीके से अपने टीएलएस सर्वर पर प्रमाण पत्र डालने के लिए एक अच्छी पहली पसंद है। इस धारणा के साथ शुरू करें कि आप लेट्स एनक्रिप्ट का उपयोग करेंगे, इस निर्णय के लिए एक समझदार तरीका है।


3
मुझे आश्चर्य है कि क्या Nintendo WiiU का समर्थन नहीं करना एक बड़ी बात है, यह देखते हुए कि कुछ वेबसाइटें जो ब्राउज़र को सही ढंग से प्रदर्शित कर सकती हैं।
दिमित्री ग्रिगोरीव

आप "नियंत्रण स्वचालन के प्रमाण" के डाउनसाइड्स का उल्लेख करते हैं, लेकिन मेरे अनुभव में, किसी भी DV प्रमाण पत्र को वैसे भी बहुत ही समान योजनाओं के साथ सत्यापित किया जाएगा। उदाहरण के लिए, यहां कॉमोडो की पेशकश के तरीके , जिसमें बहुत ही एसीएमई-जैसे HTTP- आधारित दृष्टिकोण शामिल है। दुष्ट पंजीकरण से बचाव संभवत: सर्टिफिकेट ट्रांसपेरेंसी लॉग्स की निगरानी के द्वारा किया जाएगा।
IMSoP

इस प्रकार की स्थिति में एक सीटी मॉनिटर देखना एक अच्छा विचार है, और हाँ, केवल दस धन्य तरीके हैं (जो वास्तव में वर्तमान में मुझे लगता है कि 8 या 9 वास्तविक तरीके हैं) इसलिए एक सीए से दूसरे में केवल आप ही जा रहे हैं तरीकों का एक अलग मिश्रण और कुछ भिन्नता देखें कि वे कैसे काम करते हैं। हालाँकि, जिन तरीकों से तरीकों की पेशकश की जाती है, उनमें आपके पसंदीदा तरीके और यहां तक ​​कि तकनीकी विचारों का उपयोग करने के लिए संविदात्मक दायित्वों की क्षमता होती है जैसे कि सीएए फ़ील्ड को जोड़ने के लिए कि कौन सी विधियों को अनुमति दी जाती है, जो कि सीए द्वारा भिन्न होती है, और इसका मतलब यह हो सकता है कि इसका उपयोग न करने का अर्थ है आइए एनक्रिप्ट करें।
tialaramex

एक ठोस उदाहरण के रूप में: फेसबुक का एक बड़े वाणिज्यिक सीए के साथ एक अनुबंध है। अब वे यह बताने के लिए CAA का उपयोग करते हैं कि केवल CA ही उनके मुख्य डोमेन जैसे facebook.com और fb.com के लिए प्रमाणपत्र जारी कर सकता है; अनुबंध की शर्तें यह सुनिश्चित करती हैं कि फेसबुक की इन-हाउस तकनीकी सुरक्षा टीम को हर नए प्रमाणपत्र को साफ करना होगा। CA को अभी भी टेन धन्य तरीकों में से एक का उपयोग करना है, लेकिन अनुबंध के लिए उन्हें फेसबुक सुरक्षा को कॉल करने की भी आवश्यकता है।
tialaramex

5

जब तक आपको वेब के अलावा किसी अन्य चीज के लिए प्रमाण पत्र की आवश्यकता नहीं होती है, तब तक वास्तविक डाउनसाइड नहीं होते हैं , लेकिन निश्चित रूप से माना जाता है। हालाँकि समस्याओं को केवल माना जाता है, एक वेबसाइट के मालिक के रूप में आपके पास कोई अन्य विकल्प नहीं हो सकता है, लेकिन उन्हें संबोधित करने के लिए (यदि व्यावसायिक रुचि मध्य उंगली दिखाने से मना करती है)।

सबसे बड़ा नकारात्मक पक्ष यह है कि इस समय, आपकी साइट कुछ हद तक हीन दिखाई देगी , शायद खतरनाक क्योंकि इसमें कुछ अन्य साइटों के लिए अच्छा हरा बिल्ला नहीं है। उस बैज का क्या मतलब है? कुछ भी सच नहीं। लेकिन यह सुझाव देता है कि आपकी साइट "सुरक्षित" है (कुछ ब्राउज़र भी उस सटीक शब्द का उपयोग करते हैं)। काश, उपयोगकर्ता लोग हैं, और लोग मूर्ख हैं। एक या दूसरे आपकी साइट को भरोसेमंद नहीं मानेंगे (बिना किसी निहितार्थ को समझे) सिर्फ इसलिए कि ब्राउज़र यह सुरक्षित नहीं है।

यदि इन ग्राहकों / आगंतुकों की अनदेखी करना एक वैध संभावना है, तो कोई समस्या नहीं है। यदि आप उस व्यवसाय-वार को वहन नहीं कर सकते हैं, तो आपको पैसे खर्च करने होंगे । कोई अन्य विकल्प नहीं।

अन्य कथित समस्या प्रमाणपत्र जीवनकाल के बारे में है। लेकिन यह वास्तव में एक फायदा है, नुकसान नहीं है। शॉर्टर वैधता का मतलब है कि सर्टिफिकेट को अधिक बार, सर्वर-साइड और क्लाइंट-साइड, दोनों में ही अपडेट किया जाना चाहिए।
सर्वर-साइड के लिए, यह एक cronनौकरी के साथ होता है , इसलिए यह वास्तव में कम परेशानी और सामान्य से अधिक विश्वसनीय है। कोई रास्ता नहीं आप भूल सकते हैं, देर से आने का कोई रास्ता नहीं, किसी तरह से गलती करने का कोई तरीका नहीं, एक प्रशासनिक खाते से लॉग इन करने की आवश्यकता नहीं है (... एक से अधिक बार)। क्लाइंट-साइड पर, तो क्या। ब्राउज़र हर समय प्रमाण पत्र अपडेट करते हैं, यह कोई बड़ी बात नहीं है। उपयोगकर्ता को यह भी पता नहीं है कि ऐसा होता है। वहाँ जब हर 2 साल के बजाय हर 3 महीने अद्यतन करने किया जा करने के लिए बहुत थोड़ा और अधिक यातायात है, लेकिन गंभीरता से ... कि यह कोई मुद्दा नहीं है।


2
@ HåkanLindqvist: यह सटीक समस्या है। मैं एक मैलवेयर साइट सेट कर सकता हूं और $ 5.99 खर्च कर सकता हूं, और औसत उपयोगकर्ता मेरी मैलवेयर सामग्री पर भरोसा करेगा क्योंकि यह "सुरक्षित" कहता है। एक ही उपयोगकर्ता आपके पूरी तरह से हानिरहित, एक वैध-एन्क्रिप्ट प्रमाण पत्र के साथ वैध साइट पर भरोसा नहीं करेगा। क्योंकि, ठीक है, यह सुरक्षित नहीं है । लेकिन अफसोस, ये ऐसी चीजें हैं जिन्हें आप बदल नहीं सकते।
डेमॉन

10
LE सर्टिफिकेट एक DV सर्टिफिकेट का एक उदाहरण है, हालाँकि (जो सबसे अधिक संभावना है कि आपको सिर्फ $ 5.99 में मिल रहा होगा)। ले केर्ट्स वर्तमान ब्राउज़रों में "सिक्योर" के रूप में दिखाते हैं।
हाकन लिंडक्विस्ट

1
क्या आप ईमेल सर्वर को इसका हिस्सा मानते हैं web? Letencrypt प्रमाण पत्र मेरे लिए अपर्याप्त थे क्योंकि मुझे अपना ईमेल सर्वर चलाना था
hanshenrik

7
@hanshenrik आप मेल सर्वर के साथ ले ठीक का उपयोग कर सकते हैं। उदाहरण के लिए, मैं github.com/hlandau/acme का उपयोग करता हूं ग्राहक को न केवल मेरे HTTPS के लिए, बल्कि SMTP, IMAP, POP3, XMPP में TLS के लिए भी उपयोग करें ...
Matija Nalis

4
@hanshenrik - मैं अपने मेल सर्वर के लिए LE सेर्ट्स चलाता हूं: कोई भी समस्या नहीं है
वॉरेन

5

मैं अपने नियोक्ता को आंशिक रूप से Lets Encrypt: API दर सीमित करने से दूर रखने वाला एक जोड़ दूंगा। कम जीवनकाल और वाइल्डकार्ड समर्थन की कमी के कारण सामान्य स्वचालित संचालन (स्वचालित नवीनीकरण, आदि) के दौरान दर सीमाओं के करीब आना बहुत आसान है। एक नया उपडोमेन जोड़ने की कोशिश आपको दर सीमा से अधिक धकेल सकती है, और LE के पास एक बार हिट करने पर सीमा को मैन्युअल रूप से ओवरराइड करने का कोई तरीका नहीं है। यदि आप पुराने प्रमाणपत्र (जो ले-इन जैसे स्वचालित, क्लाउड-प्रकार के माइक्रोसर्विस वातावरण में ऐसा नहीं करेंगे) का समर्थन नहीं करते हैं, तो प्रभावित सभी साइटें ऑफ़लाइन हो जाती हैं क्योंकि LE प्रमाणपत्रों को फिर से जारी नहीं करेगा।

जब हमें महसूस हुआ कि क्या हुआ है, तो "ओह $ #! #" का एक क्षण था, जिसके बाद एक आपातकालीन वाणिज्यिक प्रमाणपत्र की आवश्यकता थी, जो कि उत्पादन साइटों को ऑनलाइन वापस लाने के लिए है। एक अधिक उचित 1 वर्ष के जीवनकाल के साथ। जब तक LE उचित वाइल्डकार्ड समर्थन (और तब भी) लागू करता है, तब तक हम उनके प्रसाद से बहुत सावधान रहने वाले हैं।

Tl; dr: LE वाइल्डकार्ड + API सीमाएं "माई पर्सनल होमपेज" की तुलना में अप्रत्याशित रूप से चुनौतीपूर्ण कुछ अधिक जटिल बना देती हैं, और रास्ते में खराब सुरक्षा अभ्यास को बढ़ावा देती हैं।


-1

हाँ।

नि: शुल्क या लेट्स एनक्रिप्टेड एसएसएल सर्टिफिकेट का उपयोग करने के बारे में-

संगतता समस्या - सभी प्लेटफ़ॉर्म के साथ संगत नहीं होने पर SSL प्रमाणपत्र एन्क्रिप्ट करें। असंगत प्लेटफार्मों की सूची जानने के लिए यह लिंक देखें -

कम वैधता - A एन्क्रिप्टेड SSL प्रमाणपत्र 90 दिनों तक सीमित वैधता के साथ आता है। आपको हर 90 दिनों में अपने एसएसएल प्रमाणपत्र को नवीनीकृत करना होगा। जहां पर एक पेड एसएसएल जैसे कोमोडो 2 साल की तरह लंबी वैधता के साथ आता है।

कोई व्यावसायिक सत्यापन नहीं - एक निशुल्क एसएसएल प्रमाणपत्र के लिए केवल डोमेन सत्यापन की आवश्यकता होती है। कानूनी व्यवसाय इकाई के लिए उपयोगकर्ताओं को सुनिश्चित करने के लिए कोई व्यवसाय या संगठन सत्यापन नहीं।

छोटे व्यवसाय या ब्लॉग साइटों के लिए उपयुक्त - जैसा कि मैंने अंतिम बिंदु में जोड़ा है, डोमेन स्वामित्व सत्यापन के माध्यम से एक नि: शुल्क या चलो एन्क्रिप्टेड एसएसएल प्रमाणपत्र का लाभ उठाया जा सकता है, यह एक व्यवसाय या ईकॉमर्स वेबसाइट के लिए उपयुक्त नहीं है जहां विश्वास और सुरक्षा व्यवसाय के लिए एक प्रमुख कारक है।

कोई ग्रीन एड्रेस बार नहीं - आपके पास एक मुफ्त एसएसएल प्रमाणपत्र के साथ एक ग्रीन एड्रेस बार नहीं हो सकता है। एक विस्तारित सत्यापन एसएसएल प्रमाणपत्र ब्राउज़र पर हरे पते की पट्टी के साथ अपने व्यवसाय के नाम को प्रदर्शित करने का एकमात्र तरीका है।

कोई सहायता नहीं - यदि आप लेट्स एनक्रिप्ट के रास्ते के बीच फंस गए हैं, तो आप ऑनलाइन चैट या कॉल समर्थन प्राप्त कर सकते हैं। आप समस्या से छुटकारा पाने के लिए केवल मंचों के माध्यम से संपर्क कर सकते हैं।

अतिरिक्त सुरक्षा सुविधाएँ - एक नि: शुल्क एसएसएल सर्टिफिकेट किसी भी अतिरिक्त सुविधा की पेशकश नहीं करता है जैसे कि मुफ्त मालवेयर स्कैन, साइट सील आदि।

कोई वारंटी नहीं - एक नि: शुल्क या चलो एन्क्रिप्ट एसएसएल प्रमाणपत्र किसी भी वारंटी राशि की पेशकश नहीं करता है, जबकि एक भुगतान एसएसएल प्रमाणपत्र $ 10,000 से $ 1,750,000 तक की वारंटी प्रदान करता है।

एक खबर के अनुसार , 14,766 लेट्स एनक्रिप्टेड एसएसएल सर्टिफिकेट्स को पेपाल फिशिंग साइट्स को जारी किया गया क्योंकि इसमें केवल डोमेन सत्यापन की आवश्यकता होती है

इसलिए, मेरी सिफारिश के अनुसार, SSL प्रमाणपत्र के लिए भुगतान करना वास्तव में लायक है।


5
(1) LE केवल पुराने सिस्टम के साथ असंगत है। (2) स्वचालन के कारण वैधता अवधि एक गैर-मुद्दा है। (३) सत्यापन किसी भी अन्य DV प्रमाण के समान है। (4) LE प्रमाणपत्र किसी भी प्रकार के org के लिए उपयुक्त है। (5) ग्रीन बार केवल ईवी सेर्ट्स के लिए है (और निकट भविष्य में चले जाएंगे)। (६) मुझे ऐसे किसी भी सर्टिफिकेट विक्रेता का पता नहीं है जो मालवेयर स्कैन करता है और साइट सील क्या योगदान देने वाली है? (() किसी वारंट को प्रमाणित करने की क्या आवश्यकता होगी? (() छायांकित सीए ने फ़िशिंग साइटों के लिए
सीरीज़ बेचीं

1
जब "असंगत सिस्टम" सूची 2.3.6 से पहले एंड्रॉइड संस्करणों की तरह सामान है, तो निनटेंडो 3 डीएस और विंडोज एक्सपी एसपी 3 से पहले है, यह 99.999% लोगों के लिए चिंता का विषय नहीं है, जिन्हें एसएसएल सेर्ट्स की जरूरत है। साथ ही, आपकी पोस्ट के निचले भाग में "आप क्यों नहीं ..." लिंक केवल स्व-हस्ताक्षरित एसएसएल के बारे में है, यह लेट्स एनक्रिप्ट क्रिप्ट के बारे में कुछ नहीं कहता है, आप उस लिंक का उपयोग तथ्यात्मक रूप से गलत है।
सेमी-एक्सट्रिक्टिक

-6

कुछ शोधों के बाद मुझे पता चला कि पेड सर्टिफिकेट की तुलना में ब्राउज़रों के साथ एन्क्रिप्टेड सर्टिफिकेट कम संगत हैं। (स्रोत: आइए एनक्रिप्ट बनाम कोमोडो पॉजिटिवएलएसएल )


दूसरा लिंक टूट गया है।
Inotnotayaynard

5
आप उन ब्राउज़रों और प्लेटफार्मों के बारे में क्या सोचते हैं जो एक दशक पुराने हैं, कुछ का समर्थन नहीं कर रहे हैं?
वॉरेन

1
@warren इसे पसंद करते हैं या नहीं, लेकिन बहुत सारे डिवाइस और कंप्यूटर विशेष रूप से बड़े संगठनों में अभी भी विंडोज एक्सपी, या समान उम्र के ऑपरेटिंग सिस्टम चलाते हैं, और एक दूसरे के साथ संवाद करने के लिए (कड़ाई से नियंत्रित, फ़ायरवॉल और प्रॉक्सी के बहुत सारे) इंटरनेट एक्सेस की आवश्यकता हो सकती है । थिंक हैंडेड टर्मिनल्स बात कर रहे हैं या कियोस्क। हेक, मैं वर्तमान में एक सिस्टम के सर्वरसाइड को लिख रहा हूं जो कि https / ssl पर 15 साल पुराने उपकरणों से बात करता है। जबकि अधिकांश ग्राहकों ने नए उपकरणों को अपग्रेड किया है, कुछ ने नहीं किया है।
अक्टूबर को jwenting
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.