आइए Encrypt मुफ्त SSL प्रमाणपत्र प्रदान कर रहे हैं। क्या AWS सर्टिफिकेट मैनेजर जैसे अन्य, सशुल्क प्रमाणपत्रों की तुलना में कोई डाउनसाइड है ?
आइए Encrypt मुफ्त SSL प्रमाणपत्र प्रदान कर रहे हैं। क्या AWS सर्टिफिकेट मैनेजर जैसे अन्य, सशुल्क प्रमाणपत्रों की तुलना में कोई डाउनसाइड है ?
जवाबों:
छोटा जीवनकाल बेहतर होता है। केवल इसलिए कि निरसन ज्यादातर सैद्धांतिक होता है, व्यवहार में इसे (सार्वजनिक PKI पारिस्थितिकी तंत्र में बड़ी कमजोरी) पर निर्भर नहीं किया जा सकता है।
स्वचालन के बिना: लंबा जीवनकाल अधिक सुविधाजनक है। यदि आप किसी भी कारण से ले तो संभव नहीं हैं, तो प्रमाण पत्र प्रबंधन को
ऑटोमेशन के साथ स्वचालित नहीं किया जा सकता है : लाइफस्पेसन कोई फर्क नहीं पड़ता।
अंतिम उपयोगकर्ताओं को किसी भी तरह से एक विचार या किसी अन्य होने की संभावना नहीं है।
Letsencrypt केवल सत्यापन का DV स्तर प्रदान करता है।
एक सर्टिफिकेट खरीदने पर आपको जो भी भुगतान करना है (डीवी पर शुरू करके, ले के साथ उतने ही स्तर पर)।
DV = केवल डोमेन नाम नियंत्रण सत्यापित है।
OV = स्वामी इकाई (संगठन) जानकारी इसके अतिरिक्त सत्यापित है।
ईवी = ओवी का अधिक गहन संस्करण, जिसे पारंपरिक रूप से "ग्रीन बार" से सम्मानित किया गया है (लेकिन "ग्रीन बार" जल्द ही खत्म हो जाता है)।
LE का उपयोग करते समय, आपके द्वारा डाला गया कार्य आवश्यक स्वचालन स्थापित कर रहा है (इस संदर्भ में, डोमेन नियंत्रण साबित करने के लिए)। कितना काम है जो आपके पर्यावरण पर निर्भर करेगा।
प्रमाणपत्र खरीदते समय DV / OV / EV स्तर यह परिभाषित करेगा कि प्रमाणपत्र प्राप्त करने के लिए कितना मैनुअल काम करना आवश्यक है। DV के लिए, यह आमतौर पर एक जादूगर द्वारा भुगतान करने और किसी चीज़ को कॉपी / पेस्ट करने या ओवी और ईवी के लिए क्लिक करने से उबलता है, आप अपनी पहचान की पुष्टि करने के लिए अतिरिक्त चरणों के लिए अलग से संपर्क करने की आवश्यकता पर बहुत अधिक भरोसा कर सकते हैं।
एंड-यूजर्स शायद वर्तमान ईवी "ग्रीन बार" (जो दूर जा रहे हैं) को पहचानते हैं, इसके अलावा वे वास्तव में प्रमाण पत्र सामग्री को नहीं देखते हैं।
सैद्धांतिक रूप से, हालांकि, यह स्पष्ट रूप से एक प्रमाण पत्र के साथ अधिक सहायक है जो नियंत्रण इकाई के बारे में जानकारी बताता है। लेकिन ब्राउज़रों (या अन्य क्लाइंट एप्लिकेशन) को वास्तव में इसे उपयोगी तरीके से दिखाना शुरू करने की आवश्यकता होती है, इससे पहले कि विशिष्ट उपयोगकर्ता के लिए कोई प्रभाव न हो।
निजी कुंजी या समान को उजागर करने वाले तरीकों से चीजों को गलत तरीके से करना संभव है। LE के साथ, प्रदत्त टूलींग उचित प्रथाओं के आसपास स्थापित की गई है।
एक व्यक्ति के साथ जो जानता है कि वे क्या कर रहे हैं, मैन्युअल कदम स्पष्ट रूप से सुरक्षित रूप से भी किया जा सकता है।
LE को सभी प्रक्रियाओं को स्वचालित करने का बहुत इरादा है, उनकी सेवा पूरी तरह से एपीआई-आधारित है और छोटी उम्र भी दर्शाती है कि स्वचालन के आसपास सब कुछ कैसे केंद्रित है।
एक प्रमाण पत्र खरीदते समय, यहां तक कि एक सीए के साथ जो नियमित ग्राहकों को एपीआई प्रदान करता है (वास्तव में इस बिंदु पर आदर्श नहीं है) डीवी के अलावा किसी अन्य चीज को ठीक से स्वचालित करना मुश्किल होगा और डीवी के साथ आप अनिवार्य रूप से उसी चीज के लिए भुगतान कर रहे हैं जो LE प्रदान करता है।
यदि आप ओवी या ईवी स्तरों के लिए जा रहे हैं, तो आप संभवतः केवल आंशिक रूप से प्रक्रिया को स्वचालित कर सकते हैं।
यदि स्थापना सही ढंग से की गई है, तो अंत-उपयोगकर्ता स्पष्ट रूप से नहीं जान पाएंगे कि यह कैसे किया गया था। चीजों को गड़बड़ाने की संभावना (उदाहरण के लिए, नवीनीकरण करने या स्थापना के समय गलत तरीके से इंस्टॉलेशन करना भूल जाना) एक स्वचालित प्रक्रिया के साथ कम है।
यदि आप ओवी / ईवी सेर्ट्स की इच्छा रखते हैं, तो सर्ट खरीदने के पारंपरिक साधन विशेष रूप से उपयोगी हैं, प्रमाण पत्र प्रबंधन को स्वचालित नहीं कर रहे हैं या एचटीटीपीएस की तुलना में कुछ अन्य संदर्भों में इस्तेमाल किए जाने वाले सेर्ट्स चाहते हैं।
विशुद्ध रूप से तकनीकी दृष्टिकोण से:
openssl x509 -in cert.pem -noout -text
X509v3 विस्तारित कुंजी उपयोग:
टीएलएस वेब सर्वर प्रमाणीकरण, टीएलएस वेब क्लाइंट प्रमाणीकरण
अंतिम-उपयोगकर्ता के दृष्टिकोण से:
चलो यहाँ एनक्रिप्ट के खिलाफ इस्तेमाल होने वाले तर्कों के लिए कुछ काउंटर पॉइंट्स की पेशकश करना चाहता हूँ।
लघु जीवनकाल
हां, उनके पास एक छोटा जीवनकाल है जैसा कि faq में समझाया गया है: https://letsencrypt.org/2015/11/09/why-90-days.html पेज को उद्धृत करने के लिए:
वे प्रमुख समझौता और गलत जारी से नुकसान को सीमित करते हैं। चोरी की चाबियाँ और गलत जारी किए गए प्रमाण पत्र समय की एक छोटी अवधि के लिए मान्य हैं।
वे स्वचालन को प्रोत्साहित करते हैं, जो आसानी से उपयोग के लिए आवश्यक है। यदि हम पूरे वेब को HTTPS में स्थानांतरित करने जा रहे हैं, तो हम सिस्टम प्रशासकों से मैन्युअल रूप से नवीनीकरण को संभालने की अपेक्षा करना जारी नहीं रख सकते। एक बार जारी करने और नवीनीकरण स्वचालित होने के बाद, छोटे जीवनकाल लंबे लोगों की तुलना में कम सुविधाजनक नहीं होंगे।
ईवी की कमी
ईवी सपोर्ट की कोई योजना नहीं है। तर्क ( https://community.letsencrypt.org/t/plans-for-extended-validation/409 से है:
हम उम्मीद करते हैं कि आइए एनक्रिप्ट को ईवी का समर्थन नहीं करेंगे, क्योंकि ईवी प्रक्रिया को हमेशा मानव प्रयास की आवश्यकता होगी, जिसे किसी को भुगतान करने की आवश्यकता होगी। हमारा मॉडल नि: शुल्क प्रमाण पत्र जारी करना है, जिसमें एक स्तर के स्वचालन की आवश्यकता होती है जो ईवी के साथ संगत नहीं लगती है।
इसके अलावा कुछ ऐसे भी हैं जो मानते हैं कि EV हानिकारक है, जैसे कि यह ब्लॉगपोस्ट ( https://stripe.ian.sh/ ):
उदाहरण के लिए, जेम्स बर्टन ने हाल ही में अपनी कंपनी "आइडेंटिटी सत्यापित" के लिए ईवी प्रमाणपत्र प्राप्त किया। दुर्भाग्य से, उपयोगकर्ता केवल इन संस्थाओं की बारीकियों से निपटने के लिए सुसज्जित नहीं हैं, और यह फ़िशिंग के लिए एक महत्वपूर्ण वेक्टर बनाता है।
इसका एक क्लासिक वास्तविक विश्व उदाहरण है sllstrip। वैध रूप से खरीदे गए प्रमाणपत्रों के साथ होमोग्राफ साइट एक वास्तविक दुनिया का हमला है जिसके लिए ईवी वर्तमान में पर्याप्त सुरक्षा प्रदान नहीं करता है।
डाउनसाइड्स के दो समूह हैं जो विचार करने लायक हैं।
1. लेट्स एनक्रिप्ट सेवा का उपयोग करने के लिए डाउनसाइड करता है
मान लें कि यदि आप वाइल्डकार्ड के लिए अनुरोध कर रहे हैं, तो सटीक नाम या उप (डोमेन) डोमेन की आवश्यकता है, जो सार्वजनिक इंटरनेट DNS में मौजूद है। यदि आप example.com पर नियंत्रण सिद्ध करते हैं, तो भी, आप एनक्रिप्ट नहीं कर सकते हैं। आप कुछ प्रमाणों के लिए प्रमाण पत्र जारी नहीं करेंगे। जिन मशीनों के नाम की जरूरत होती है, उनका सार्वजनिक पता रिकॉर्ड नहीं होता है, उन्हें फ़ायरवॉल से बंद किया जा सकता है, या यहां तक कि शारीरिक रूप से डिस्कनेक्ट किया जा सकता है, लेकिन सार्वजनिक DNS नाम की आवश्यकता है।
चलो 90 दिनों के प्रमाण पत्र के जीवनकाल को एन्क्रिप्ट करें मतलब है कि आपको स्वचालित करने की आवश्यकता है क्योंकि उसके लिए किसी को भी समय नहीं मिला है। यह वास्तव में सेवा का इरादा है - लोगों को इस आवश्यक कार्य को स्वचालित रूप से करने के बजाय झुंड के बजाय इसे मैन्युअल रूप से कर रहे हैं जबकि वे कई कठिन कार्यों को स्वचालित करते हैं। लेकिन अगर आप किसी भी कारण से इसे स्वचालित नहीं कर सकते हैं तो यह एक नकारात्मक है - यदि आपके पास उपकरण, उपकरण हैं या जो भी ब्लॉक ऑटोमेशन किसी भी व्यावसायिक एसएसएल प्रमाणित लागत को उन उपकरणों / उपकरणों / चल रही लागत की लागत के हिस्से के रूप में मानते हैं। कॉन्ट्रैरेवाइज ने नए टूल / उपकरण / वगैरह के मूल्य निर्धारण में वाणिज्यिक सीरियल्स खरीदने की आवश्यकता से ऑफसेट बचत की जो इसे स्वचालित करते हैं (चलो एनक्रिप्ट करें या नहीं)
नियंत्रण स्वचालन के प्रमाण को एन्क्रिप्ट करें आपके संगठन के नियमों के अनुरूप नहीं हो सकता है। उदाहरण के लिए यदि आपके पास ऐसे कर्मचारी हैं, जिन्होंने अपाचे को फिर से कॉन्फ़िगर करने की अनुमति दी है, लेकिन कंपनी के डोमेन नाम के लिए एसएसएल सेर्ट्स नहीं मिलना चाहिए, तो चलो एनक्रिप्ट एक खराब फिट है। ध्यान दें कि इस मामले में सिर्फ उनका उपयोग नहीं करना गलत थिंग (TM) है, आपको सीएए का उपयोग स्पष्ट रूप से अक्षम करने के लिए करना चाहिए ताकि आप अपने डोमेन को एन्क्रिप्ट कर सकें।
यदि लेट एनक्रिप्ट नीति आपको मना कर देती है, तो केवल "अपील की अदालत" अपने सार्वजनिक मंचों में पूछती है और आशा करती है कि उनका एक कर्मचारी आगे की राह प्रदान करने में सक्षम है। यह तब हो सकता है, उदाहरण के लिए, आपकी साइट में DNS नाम है, जो उनके सिस्टम का निर्णय बड़े बैंकों या Google जैसी कुछ प्रसिद्ध संपत्तियों के लिए "भ्रम के समान" है। समझदार कारणों के लिए इस संबंध में प्रत्येक सार्वजनिक सीए की सटीक नीतियां सार्वजनिक जांच के लिए खुली नहीं हैं, इसलिए आप केवल यह महसूस कर सकते हैं कि आपके पास अनुरोध करते समय लेट्स एनक्रिप्ट क्रिप्ट नहीं हो सकता है और आपको "पॉलिसी मना ..." प्रतिक्रिया मिल सकती है।
2. लेट्स एनक्रिप्ट सर्टिफिकेट के लिए डाउनसाइड करता है
आइएसआरजी के माध्यम से आज प्रमुख वेब ब्राउज़रों द्वारा एनक्रिप्ट क्रिप्ट पर भरोसा किया जाता है (लेट्स एनक्रिप्ट सेवा प्रदान करने वाला चैरिटी) लेकिन पुराने सिस्टम पर भरोसा करते हैं आइए आइडेंट्रिस्ट के माध्यम से एनक्रिप्ट करें, एक अपेक्षाकृत अस्पष्ट प्रमाणपत्र प्राधिकरण जो "डीएसटी रूट सीए एक्स 3" को नियंत्रित करता है। यह ज्यादातर लोगों के लिए काम करता है, लेकिन यह दुनिया में सबसे व्यापक रूप से विश्वसनीय जड़ नहीं है। उदाहरण के लिए छोड़े गए निंटेंडो WiiU कंसोल में एक वेब ब्राउज़र था, जाहिर है कि Nintendo WiiU के लिए अपडेट अपडेट नहीं किया जाएगा और इसलिए ब्राउज़र को छोड़ दिया जाता है, यह विश्वास नहीं करता है कि चलो एनक्रिप्ट करें।
आइए केवल वेब पीकेआई के लिए प्रमाणपत्र जारी करें - इंटरनेट नामों वाले सर्वर जो एसएसएल / टीएलएस प्रोटोकॉल का उपयोग करते हैं। तो यह वेब जाहिर है, और आपके IMAP, SMTP, कुछ प्रकार के वीपीएन सर्वर, दर्जनों चीजें, लेकिन सब कुछ नहीं। विशेष रूप से आइए Encrypt S / MIME के लिए सभी को प्रमाणपत्र प्रदान नहीं करता है (आराम से ईमेल को एन्क्रिप्ट करने का एक तरीका, इसके बजाय जब यह संक्रमण में हो) या न ही कोड हस्ताक्षर या दस्तावेज़ पर हस्ताक्षर करने के लिए। यदि आप प्रमाण पत्र के लिए "वन स्टॉप शॉप" चाहते हैं, तो यह पर्याप्त कारण हो सकता है कि लेट्स एनक्रिप्ट का उपयोग न करें।
यहां तक कि वेब पीकेआई में, चलो एनक्रिप्ट केवल "डीवी" प्रमाण पत्र प्रदान करता है, जिसका अर्थ है कि एफक्यूडीएन के अलावा अपने या अपने संगठन के बारे में कोई भी विवरण प्रमाण पत्र में उल्लिखित नहीं है। यहां तक कि अगर आप उन्हें एक सीएसआर में लिखते हैं, तो वे सिर्फ खारिज कर दिए जाते हैं। यह कुछ विशेषज्ञ अनुप्रयोगों के लिए अवरोधक हो सकता है।
चलो एनक्रिप्ट स्वचालन का मतलब है कि आप ठीक उसी तरह से विवश हैं जो स्वचालन की अनुमति देता है, भले ही कोई अन्य कारण न हो कि आपके पास कुछ क्यों न हो। नई प्रकार की सार्वजनिक कुंजी, नए X.509 एक्सटेंशन और अन्य परिवर्धन को स्पष्ट रूप से सक्षम किया जाना चाहिए चलो अपनी समयरेखा पर एन्क्रिप्ट करें, और निश्चित रूप से आप केवल उन सुविधाओं को प्राप्त करने के लिए अतिरिक्त भुगतान करने की पेशकश नहीं कर सकते हैं जो आप चाहते हैं कि दान का स्वागत है।
फिर भी, लगभग सभी के लिए, लगभग हमेशा, आइए एनक्रिप्ट एक फायर-एंड-भूल तरीके से अपने टीएलएस सर्वर पर प्रमाण पत्र डालने के लिए एक अच्छी पहली पसंद है। इस धारणा के साथ शुरू करें कि आप लेट्स एनक्रिप्ट का उपयोग करेंगे, इस निर्णय के लिए एक समझदार तरीका है।
जब तक आपको वेब के अलावा किसी अन्य चीज के लिए प्रमाण पत्र की आवश्यकता नहीं होती है, तब तक वास्तविक डाउनसाइड नहीं होते हैं , लेकिन निश्चित रूप से माना जाता है। हालाँकि समस्याओं को केवल माना जाता है, एक वेबसाइट के मालिक के रूप में आपके पास कोई अन्य विकल्प नहीं हो सकता है, लेकिन उन्हें संबोधित करने के लिए (यदि व्यावसायिक रुचि मध्य उंगली दिखाने से मना करती है)।
सबसे बड़ा नकारात्मक पक्ष यह है कि इस समय, आपकी साइट कुछ हद तक हीन दिखाई देगी , शायद खतरनाक क्योंकि इसमें कुछ अन्य साइटों के लिए अच्छा हरा बिल्ला नहीं है। उस बैज का क्या मतलब है? कुछ भी सच नहीं। लेकिन यह सुझाव देता है कि आपकी साइट "सुरक्षित" है (कुछ ब्राउज़र भी उस सटीक शब्द का उपयोग करते हैं)। काश, उपयोगकर्ता लोग हैं, और लोग मूर्ख हैं। एक या दूसरे आपकी साइट को भरोसेमंद नहीं मानेंगे (बिना किसी निहितार्थ को समझे) सिर्फ इसलिए कि ब्राउज़र यह सुरक्षित नहीं है।
यदि इन ग्राहकों / आगंतुकों की अनदेखी करना एक वैध संभावना है, तो कोई समस्या नहीं है। यदि आप उस व्यवसाय-वार को वहन नहीं कर सकते हैं, तो आपको पैसे खर्च करने होंगे । कोई अन्य विकल्प नहीं।
अन्य कथित समस्या प्रमाणपत्र जीवनकाल के बारे में है। लेकिन यह वास्तव में एक फायदा है, नुकसान नहीं है। शॉर्टर वैधता का मतलब है कि सर्टिफिकेट को अधिक बार, सर्वर-साइड और क्लाइंट-साइड, दोनों में ही अपडेट किया जाना चाहिए।
सर्वर-साइड के लिए, यह एक cron
नौकरी के साथ होता है , इसलिए यह वास्तव में कम परेशानी और सामान्य से अधिक विश्वसनीय है। कोई रास्ता नहीं आप भूल सकते हैं, देर से आने का कोई रास्ता नहीं, किसी तरह से गलती करने का कोई तरीका नहीं, एक प्रशासनिक खाते से लॉग इन करने की आवश्यकता नहीं है (... एक से अधिक बार)। क्लाइंट-साइड पर, तो क्या। ब्राउज़र हर समय प्रमाण पत्र अपडेट करते हैं, यह कोई बड़ी बात नहीं है। उपयोगकर्ता को यह भी पता नहीं है कि ऐसा होता है। वहाँ जब हर 2 साल के बजाय हर 3 महीने अद्यतन करने किया जा करने के लिए बहुत थोड़ा और अधिक यातायात है, लेकिन गंभीरता से ... कि यह कोई मुद्दा नहीं है।
web
? Letencrypt प्रमाण पत्र मेरे लिए अपर्याप्त थे क्योंकि मुझे अपना ईमेल सर्वर चलाना था
मैं अपने नियोक्ता को आंशिक रूप से Lets Encrypt: API दर सीमित करने से दूर रखने वाला एक जोड़ दूंगा। कम जीवनकाल और वाइल्डकार्ड समर्थन की कमी के कारण सामान्य स्वचालित संचालन (स्वचालित नवीनीकरण, आदि) के दौरान दर सीमाओं के करीब आना बहुत आसान है। एक नया उपडोमेन जोड़ने की कोशिश आपको दर सीमा से अधिक धकेल सकती है, और LE के पास एक बार हिट करने पर सीमा को मैन्युअल रूप से ओवरराइड करने का कोई तरीका नहीं है। यदि आप पुराने प्रमाणपत्र (जो ले-इन जैसे स्वचालित, क्लाउड-प्रकार के माइक्रोसर्विस वातावरण में ऐसा नहीं करेंगे) का समर्थन नहीं करते हैं, तो प्रभावित सभी साइटें ऑफ़लाइन हो जाती हैं क्योंकि LE प्रमाणपत्रों को फिर से जारी नहीं करेगा।
जब हमें महसूस हुआ कि क्या हुआ है, तो "ओह $ #! #" का एक क्षण था, जिसके बाद एक आपातकालीन वाणिज्यिक प्रमाणपत्र की आवश्यकता थी, जो कि उत्पादन साइटों को ऑनलाइन वापस लाने के लिए है। एक अधिक उचित 1 वर्ष के जीवनकाल के साथ। जब तक LE उचित वाइल्डकार्ड समर्थन (और तब भी) लागू करता है, तब तक हम उनके प्रसाद से बहुत सावधान रहने वाले हैं।
Tl; dr: LE वाइल्डकार्ड + API सीमाएं "माई पर्सनल होमपेज" की तुलना में अप्रत्याशित रूप से चुनौतीपूर्ण कुछ अधिक जटिल बना देती हैं, और रास्ते में खराब सुरक्षा अभ्यास को बढ़ावा देती हैं।
हाँ।
नि: शुल्क या लेट्स एनक्रिप्टेड एसएसएल सर्टिफिकेट का उपयोग करने के बारे में-
संगतता समस्या - सभी प्लेटफ़ॉर्म के साथ संगत नहीं होने पर SSL प्रमाणपत्र एन्क्रिप्ट करें। असंगत प्लेटफार्मों की सूची जानने के लिए यह लिंक देखें -
कम वैधता - A एन्क्रिप्टेड SSL प्रमाणपत्र 90 दिनों तक सीमित वैधता के साथ आता है। आपको हर 90 दिनों में अपने एसएसएल प्रमाणपत्र को नवीनीकृत करना होगा। जहां पर एक पेड एसएसएल जैसे कोमोडो 2 साल की तरह लंबी वैधता के साथ आता है।
कोई व्यावसायिक सत्यापन नहीं - एक निशुल्क एसएसएल प्रमाणपत्र के लिए केवल डोमेन सत्यापन की आवश्यकता होती है। कानूनी व्यवसाय इकाई के लिए उपयोगकर्ताओं को सुनिश्चित करने के लिए कोई व्यवसाय या संगठन सत्यापन नहीं।
छोटे व्यवसाय या ब्लॉग साइटों के लिए उपयुक्त - जैसा कि मैंने अंतिम बिंदु में जोड़ा है, डोमेन स्वामित्व सत्यापन के माध्यम से एक नि: शुल्क या चलो एन्क्रिप्टेड एसएसएल प्रमाणपत्र का लाभ उठाया जा सकता है, यह एक व्यवसाय या ईकॉमर्स वेबसाइट के लिए उपयुक्त नहीं है जहां विश्वास और सुरक्षा व्यवसाय के लिए एक प्रमुख कारक है।
कोई ग्रीन एड्रेस बार नहीं - आपके पास एक मुफ्त एसएसएल प्रमाणपत्र के साथ एक ग्रीन एड्रेस बार नहीं हो सकता है। एक विस्तारित सत्यापन एसएसएल प्रमाणपत्र ब्राउज़र पर हरे पते की पट्टी के साथ अपने व्यवसाय के नाम को प्रदर्शित करने का एकमात्र तरीका है।
कोई सहायता नहीं - यदि आप लेट्स एनक्रिप्ट के रास्ते के बीच फंस गए हैं, तो आप ऑनलाइन चैट या कॉल समर्थन प्राप्त कर सकते हैं। आप समस्या से छुटकारा पाने के लिए केवल मंचों के माध्यम से संपर्क कर सकते हैं।
अतिरिक्त सुरक्षा सुविधाएँ - एक नि: शुल्क एसएसएल सर्टिफिकेट किसी भी अतिरिक्त सुविधा की पेशकश नहीं करता है जैसे कि मुफ्त मालवेयर स्कैन, साइट सील आदि।
कोई वारंटी नहीं - एक नि: शुल्क या चलो एन्क्रिप्ट एसएसएल प्रमाणपत्र किसी भी वारंटी राशि की पेशकश नहीं करता है, जबकि एक भुगतान एसएसएल प्रमाणपत्र $ 10,000 से $ 1,750,000 तक की वारंटी प्रदान करता है।
एक खबर के अनुसार , 14,766 लेट्स एनक्रिप्टेड एसएसएल सर्टिफिकेट्स को पेपाल फिशिंग साइट्स को जारी किया गया क्योंकि इसमें केवल डोमेन सत्यापन की आवश्यकता होती है
इसलिए, मेरी सिफारिश के अनुसार, SSL प्रमाणपत्र के लिए भुगतान करना वास्तव में लायक है।
कुछ शोधों के बाद मुझे पता चला कि पेड सर्टिफिकेट की तुलना में ब्राउज़रों के साथ एन्क्रिप्टेड सर्टिफिकेट कम संगत हैं। (स्रोत: आइए एनक्रिप्ट बनाम कोमोडो पॉजिटिवएलएसएल )