मुझे SSL प्रमाणपत्र के लिए भुगतान क्यों करना चाहिए?


62

मैंने Namecheap से एक SSL प्रमाणपत्र के लिए भुगतान किया, मुझे लगता है कि यह ComodoSSL द्वारा प्रमाणित था। इसने मुझे $ 7 का खर्च दिया, इसे सक्रिय होने में एक सप्ताह का समय लगा और मुझे अपनी साइट की कॉन्फ़िगरेशन फ़ाइलों को संपादित करते समय SSH से स्वयं करना पड़ा।

तब एक मित्र ने मुझे लेट्स एनक्रिप्ट के बारे में अवगत कराया, जो न केवल मुफ्त एसएसएल प्रमाणपत्र देते हैं, बल्कि उन्हें एक ही कमांड चलाकर स्थापित किया जा सकता है।

मुझे यकीन है कि मैं यहां कुछ याद कर रहा हूं, लेकिन मैं एक SSL प्रमाणपत्र के लिए भुगतान क्यों करना चाहता हूं जब मैं आसानी से स्थापित किया जा सकता हूं, मुफ्त में, स्वत: नवीनीकरण सेट अप के साथ?


2
यह हाल ही में पॉप अप हुआ है और ज्यादातर एक ही सवाल है: Security.stackexchange.com/questions/45491/… हाल ही में अपडेट किए गए पहले से मान्य उत्तर अभी भी ज्यादातर मौजूद हैं। लेकिन सभी जवाबों में मैं किसी को कीमतों और लागत और मूल्य बनाम मूल्य (संबंधित गारंटी और बीमा - आदि पर विश्वास करने या नहीं, आदि) के बीच अंतर को देखकर दुखी हूं
पैट्रिक मेवज़ेक

मैं एक के लिए भुगतान देख सकता हूं, जहां विस्तारित मान्यता के लिए एक व्यावसायिक मामला है, आदि के लिए कंपनी का नाम लॉक आइकन के बगल में है, आदि तकनीकी दृष्टिकोण से कोई वास्तविक कारण नहीं है।
ivanivan

पूरे उत्तर को इस एक वाक्य से मार्सेलम के उत्तर से अभिव्यक्त किया जा सकता है , "एक प्रमाण पत्र के सार्थक होने के लिए, जारी करने वाले CA को सॉफ़्टवेयर विक्रेताओं द्वारा भरोसा किया जाना चाहिए, अन्यथा प्रमाणपत्र बेकार है।" सभी प्रमाणपत्र एक एन्क्रिप्शन द्वारा मान्य है। पार्टी। यदि आप मानते हैं कि चलो एनक्रिप्ट कभी भी खराब नहीं होगा और इसे कभी भी हैक नहीं किया जाएगा, तो आपको इससे मूल्य मिलेगा। लेकिन लोगों के भुगतान का कारण वे अन्य सीए अधिक सच हैं। इतना ही आसान।
जेकगोल्ड

ऑल ए सर्टिफिकेट एनक्रिप्शन थर्ड पार्टी द्वारा मान्य एन्क्रिप्शन है ’व्यर्थ है। एक प्रमाणपत्र एन्क्रिप्ट नहीं किया गया है, एक शुरुआत के लिए, यह हस्ताक्षरित है । @JakeGould
user207421

मुझे आश्चर्य है कि किसी ने अभी तक यह नहीं कहा है: "आमतौर पर संदेह के साथ Letencrypt का इलाज करने वाले उद्यमों को लक्षित करते समय कानूनी रूप से कुछ पास करना"।
एलेक टीले

जवाबों:


82

मुझे SSL प्रमाणपत्र के लिए भुगतान क्यों करना चाहिए?

अधिकांश उपयोगों के लिए, उनके लिए भुगतान करने का कोई अच्छा कारण नहीं है।
अपवादों के सारांश के लिए बहुत नीचे देखें।

चलो एक कदम पीछे लेते हैं और समझाते हैं कि प्रमाणपत्र क्या करते हैं और मोटे तौर पर कैसे।

आमतौर पर "सर्टिफिकेट" कहा जाता है जिसमें दो जुड़े हुए टुकड़े होते हैं:

  • प्रमाण पत्र उचित है, जो एक सार्वजनिक कुंजी और कुछ पहचान (जैसे एक डोमेन नाम के रूप में) में शामिल है।
  • निजी कुंजी है, जो धारक (और केवल धारक) को डिजिटल रूप से इस तरह से है कि वे ऊपर प्रमाणपत्र का उपयोग सत्यापित किया जा सकता में संदेशों पर हस्ताक्षर करने के लिए अनुमति देता है।

यदि आप एक प्रमाण पत्र चाहते हैं yourdomain.com, तो आप:

  • एक निजी / सार्वजनिक कीपर बनाएँ, और निजी हिस्से को, अच्छी तरह से, निजी रखें।
  • yourdomain.comअपनी सार्वजनिक कुंजी के साथ एक प्रमाण पत्र बनाने के लिए किसी विश्वसनीय तृतीय पक्ष ("क्रेडिकोर") से पूछें
  • किसी तरह से साबित करें कि आप नियंत्रित करें yourdomain.com
  • अपने सर्वर पर निजी कुंजी और प्राप्त प्रमाण पत्र डालें, और उन्हें उपयोग करने के लिए वेब सर्वर को कॉन्फ़िगर करें।

फिर, यदि ऐलिस का दौरा किया yourdomain.comजाता है, तो उसके ब्राउज़र को आपके निजी सर्वर द्वारा हस्ताक्षरित संदेश के साथ आपके वेब सर्वर से प्रमाण पत्र मिलता है। फिर उसका ब्राउज़र तीन चीजों की जाँच करता है:

  • उस हस्ताक्षरित संदेश को आपके प्रमाणपत्र द्वारा प्रमाणित किया जा सकता है (यह साबित करते हुए कि यह केवल उसी निजी कुंजी द्वारा हस्ताक्षरित yourdomain.comहै)।
  • प्रमाणपत्र का डोमेन वह डोमेन है जिसे ब्राउज़र देखने की कोशिश कर रहा है ( yourdomain.com)।
  • यह प्रमाण पत्र CrediCorp का है।

इन तीन चीजों के संयोजन से ऐलिस की गारंटी मिलती है कि वह वास्तव में बात कर रही है yourdomain.com, न कि कुछ अधीर से ... बशर्ते कि ऐलिस क्रेडेंकोर्प पर भरोसा करे

( इस प्रामाणिकता को गोपनीयता में बदलने के लिए कुछ क्रिप्टो वूडू नृत्य का भी अनुसरण किया गया है।)

ऐलिस CrediCorp पर कैसे भरोसा करता है ?

यहाँ असली क्रूर है। संक्षेप में, कुछ बिंदु पर CrediCorp ने कहा "अरे, हम प्रमाण पत्र बनाने जा रहे हैं"। बहुत सारे नियमों का पालन करने के बाद बहुत सारे प्रयास करने के बाद , वे कुछ लोगों को यह समझाने में कामयाब रहे कि क्रेडाईकॉर्प वास्तव में, भरोसेमंद हैं, और वे केवल सही तरीके से प्रमाण पत्र जारी करेंगे।

विशेष रूप से, वे फ़ायरफ़ॉक्स, के निर्माताओं को समझाने में कामयाब रहे। नतीजतन, CrediCorp फ़ायरफ़ॉक्स की ए-सूची पर हो जाता है, और उनके प्रमाण पत्र फ़ायरफ़ॉक्स द्वारा डिफ़ॉल्ट रूप से विश्वसनीय होते हैं। तो वास्तव में, ऐलिस फ़ायरफ़ॉक्स पर भरोसा करता है, फ़ायरफ़ॉक्स क्रेडाइकॉर्प पर भरोसा करता है, और क्रेडिकोर्प ने आपके द्वारा नियंत्रित होने का दावा करने के बाद आपको भरोसा दिया (सत्यापित करने के बाद) yourdomain.com। यह लगभग एक श्रृंखला की तरह है ।

लेकिन, फ़ायरफ़ॉक्स सिर्फ प्रमाण पत्र जारी करने के लिए CrediCorp पर भरोसा नहीं करता है yourdomain.com, यह किसी भी डोमेन के लिए CrediCorp प्रमाणपत्रों पर भरोसा करता है । और फ़ायरफ़ॉक्स भी ShabbyCorp पर भरोसा करता है, किसी भी डोमेन के लिए।

इसके परिणाम हैं। अगर कोई शब्बीकॉर्प को यह समझाने में कामयाब होता है कि वे नियंत्रण करते हैं yourdomain.com(क्योंकि शब्बीकोर्प बहुत अच्छी तरह से नहीं है), तो वे yourdomain.comसंबंधित निजी कुंजी के साथ शब्बीकोर्प प्रमाणपत्र प्राप्त कर सकते हैं । और उस प्रमाण पत्र के साथ वे आपके वेब सर्वर को प्रतिरूपित कर सकते हैं। आखिरकार, उनके पास एक प्रमाण पत्र (प्लस कुंजी) है, yourdomain.comजिस पर फ़ायरफ़ॉक्स द्वारा भरोसा किया जाता है!

CrediCorp और ShabbyCorp को सर्टिफिकेट अथॉरिटी , सीए फॉर शॉर्ट कहा जाता है । वास्तविक दुनिया में, ComodoSSL और लेट्स एनक्रिप्ट, CA के उदाहरण हैं। लेकिन उनमें से एक बहुत अधिक है; इस लेखन के रूप में, फ़ायरफ़ॉक्स 154 सीए पर भरोसा करता है

वाह। लेकिन यह मेरे सवाल का जवाब कैसे देता है?

मैं अहम् हूँ, उस से ...

ये रही चीजें। ऊपर दिए गए मैकेनिक्स मैं सभी प्रमाणपत्रों पर लागू होते हैं। यदि आपके पास अपनी वेबसाइट के लिए एक सही, विश्वसनीय प्रमाण पत्र है, तो यह काम करेगा। ब्रांड ए प्रमाणपत्र बनाम ब्रांड बी प्रमाण पत्र के बारे में कुछ खास नहीं है; वे सभी एक ही सीए आवश्यकताओं, और एक ही क्रिप्टो गणित के अधीन हैं।

और यहां तक ​​कि अगर आप CrediCorp को बेहतर पसंद करते हैं - क्योंकि आप जानते हैं, वे सिर्फ बहुत अधिक भरोसेमंद ध्वनि करते हैं - उनका उपयोग करना वास्तव में आपकी मदद नहीं करेगा। यदि कोई हमलावर शब्बीकॉर्प को आपकी साइट के लिए प्रमाण पत्र देने के लिए मना सकता है, तो हमलावर उस प्रमाणपत्र का उपयोग आपकी साइट पर प्रतिरूपण करने के लिए कर सकता है, भले ही आप कहीं भी हों।

जब तक फ़ायरफ़ॉक्स ShabbyCorp पर भरोसा करता है, तब तक आगंतुकों को अंतर दिखाई नहीं देगा। (हां, आगंतुक प्रमाणपत्र को खींच सकते हैं, और वहां से खुदाई कर सकते हैं, देखें कि इसे किसने जारी किया है। लेकिन कौन ऐसा करता है?) जहां तक ​​प्रमाण पत्र बनाने का सवाल है, यह पूरी प्रणाली को 150+ सीए के सबसे कमजोर के रूप में कमजोर बनाता है। क्यों हाँ, यह डरावना है, और यह शायद सबसे बड़ी आलोचना लोगों को इस पूरी योजना है। फिर भी, यह वही है जिसके साथ हम फंस गए हैं।

बिंदु है, यदि आप "अच्छा" प्रमाण पत्र देने के लिए किसी सीए पर भरोसा नहीं करते हैं, तो आपके प्रमाण पत्र कहीं और प्राप्त करने से आपको बहुत मदद नहीं मिलती है।

मिल गया, सब कुछ समान रूप से बर्बाद है। कोई चेतावनी नहीं?

Weeeelllll ...

  1. आइए अंतिम बिंदु में मेरे द्वारा किए गए बिंदु को मारने के साथ शुरू करें। आजकल डीएनएस-सीएए का उपयोग करके अपने डोमेन को सिर्फ सीए को चुनना संभव है । मान लीजिए कि आप कोमोडो पर भरोसा करते हैं, और अन्य सीए पर भरोसा नहीं करते हैं, तो आपके डोमेन के लिए प्रमाणपत्र जारी नहीं करने के लिए कोमोडो के अलावा सभी सीए से अनुरोध करना संभव है। सिद्धांत रूप में। (क्योंकि DNS-CAA को केवल CA जारी करके ब्राउज़रों द्वारा चेक नहीं किया जाता है। इसलिए एक समझौता किया हुआ CA इस सुरक्षा गार्ड की उपेक्षा कर सकता है।)

    यदि आप उस परेशानी से गुजरने के लिए तैयार हैं, तो यह सवाल बन जाता है: लेट्स एनक्रिप्ट वास्तव में कम भरोसेमंद है? या कम सुरक्षित है? विश्वसनीयता एक कठिन है, आप इसे कैसे निर्धारित करते हैं? मैं केवल इतना कह सकता हूं कि मेरी धारणा में आइए एनक्रिप्ट अन्य सीए की तुलना में कम भरोसेमंद नहीं है। उनकी मान्यताओं की सुरक्षा के लिए, वे वाणिज्यिक सीए क्या करते हैं (डीवी प्रमाण पत्र के लिए वैसे भी) के समान हैं। यह प्रश्न भी देखें ।

    इसके लायक क्या है: StackExchange नेटवर्क, जो इस साइट का एक हिस्सा है, वर्तमान में लेट्स एनक्रिप्ट क्रिप्ट का उपयोग करता है। अधिकांश लोग इस पर कभी गौर नहीं करेंगे, और अगर उन्होंने ईमानदारी से संदेह किया तो यह उनके लिए बहुत मायने रखेगा।

  2. एक प्रमाण पत्र सार्थक होने के लिए, जारी करने वाले सीए को सॉफ़्टवेयर विक्रेताओं द्वारा भरोसा किया जाना चाहिए , अन्यथा प्रमाणपत्र बेकार है। मैंने फ़ायरफ़ॉक्स का उपयोग एक उदाहरण के रूप में किया था, लेकिन वास्तव में आप चाहते हैं कि सीए को फ़ायरफ़ॉक्स, क्रोम, विंडोज, मैक ओएस एक्स, आईओएस, और एंड्रॉइड के कम से कम वर्तमान और कुछ पुराने संस्करणों द्वारा भरोसा किया जाए। और दर्जनों छोटे खिलाड़ी। विचार करने लायक सीए (जिसमें कोमोडोएसएसएल और लेट्स एनक्रिप्ट शामिल हैं) इन सभी संस्थाओं द्वारा विश्वसनीय हैं।

  3. यदि कोई CA दुर्व्यवहार करता है, या असत्य के रूप में प्रकट होता है, तो यह प्रमाणपत्र मालिकों के दिन को बर्बाद करने के लिए विभिन्न ट्रस्ट स्टोर्स से जल्दी से हटा दिया जाएगा । दो उल्लेखनीय उदाहरण मुझे पता है कि DigiNotar और StartCom / WoSign हैं (लेख देखें, वे ट्रस्ट डायनामिक्स में दिलचस्प जानकारी प्रदान करते हैं!)। तो अगर आपको लगता है कि चलो एनक्रिप्ट एन्क्रिप्ट हो जाएगा, या किसी अन्य कारण से गिरा दिया जाएगा, तो उनका उपयोग न करने से आप उस विशेष गिरावट में फंसने से बच जाएंगे।

  4. प्रमाण पत्र कुछ क्रिप्टो गणित जादू को रोजगार देते हैं ; सवाल यह है कि कौन सा क्रिप्टो गणित जादू है ? अगर यह कमजोर जादू है तो क्या होगा? यह वास्तव में एक वास्तविक चिंता का विषय है, और सीए ने इसे उन्नत करने के लिए अपने पैरों को खींचने के लिए दिखाया है। सौभाग्य से, ब्राउज़र विक्रेताओं ने प्रमाण पत्र स्वीकार किए जाने के लिए यहां न्यूनतम सेट करके स्लैक उठाया है। उदाहरण के लिए, RSA-1024 या SHA-1 का उपयोग करने वाले प्रमाणपत्र अब अधिकांश ब्राउज़रों द्वारा अस्वीकार कर दिए गए हैं, इसलिए कोई भी प्रमाणपत्र जो व्यवहार में काम करता है, इन अस्वीकृत क्रिप्टो प्राइमेटिव का उपयोग नहीं करता है। अब तक, इस भाग को निराश करने के लिए किसी भी सीए (चलो एनक्रिप्ट शामिल) के लिए यह बहुत कठिन है ।

  5. इससे पहले, मैंने कम या ज्यादा कहा कि सभी प्रमाण पत्र समान रूप से बनाए गए हैं। मैंने झूठ बोला, वे नहीं हैं। विशेष रूप से, जो मैंने अब तक चर्चा की वह " डोमेन वैध (डीवी) प्रमाण पत्र" हैं, जो कि अधिकांश वेबसाइटों का उपयोग करते हैं। वे निश्चितता प्रदान करते हैं कि आपका ब्राउज़र वास्तव में उस डोमेन से बात कर रहा है जिसे वह URL बार में दिखाता है। "ऑर्गनाइज्ड वैलिडेट (OV)" और " एक्सटेंडेड वैलिडेशन (EV)" सर्टिफिकेट भी हैं, जिन्हें CA से अधिक विस्तृत जांच की आवश्यकता होती है। विशेष रूप से, आप केवल के लिए एक EV प्रमाण पत्र प्राप्त करने में सक्षम होना चाहिए somebank.com, / SomeBank इंक यदि आप वास्तव में साबित कर सकते हैं कि आप कर रहे हैं SomeBank, Inc

    EV प्रमाण पत्र प्राप्त करने के लिए बहुत अधिक महंगे हैं (बॉलपार्क: प्रति वर्ष सैकड़ों EUR / USD), और उन्हें ब्राउज़र में हरे URL बार या पैडलॉक के साथ पुरस्कृत किया जा सकता है, शायद "SomeBank, Inc." प्रदर्शित करता है। भी। DV प्रमाणपत्रों के विपरीत, वे कुछ विचार भी प्रस्तुत करते हैं कि वेबसाइट वास्तव में किसकी है। उल्टा है, वे अधिक वैध लग सकता है। निराशा है, उपयोगकर्ताओं को शायद ही कभी उन पर ध्यान देना है, इसलिए उनकी प्रभावशीलता सीमित है।

    जाली डीवी प्रमाण पत्र वाला एक हमलावर अभी भी साइट को प्रतिरूपित कर सकता है, बिना अतिरिक्त दृश्य सुराग के एक ईवी प्रमाण पत्र पेश कर सकता है, और उपयोगकर्ता आमतौर पर अंतर को नोटिस नहीं करते हैं। इसके विपरीत, फ़िशिंग को आसान बनाने के लिए एक भ्रामक EV प्रमाण पत्र प्राप्त करना संभव है। परिणामस्वरूप, क्रोम और फ़ायरफ़ॉक्स दोनों ही ईवी प्रमाणपत्रों के लिए अपने दृश्य नोड्स को छोड़ देंगे, और कुछ लोगों का मानना ​​है कि वे पूरी तरह से चले जाएंगे।

    यदि आप एक बैंक हैं, तो आप अभी भी अभी के लिए EV प्रमाणपत्र चाहते हैं। नहीं तो इतना नहीं। लेकिन अगर आप कर ईवी की जरूरत है, आइए एन्क्रिप्ट नहीं आप के लिए है क्योंकि वे बस EV प्रमाणपत्र की पेशकश नहीं करते है।

  6. प्रमाणपत्र सीमित समय के लिए ही मान्य हैं । एक विशिष्ट वाणिज्यिक सीए से प्रमाण पत्र एक वर्ष के लिए मान्य होते हैं, लेकिन मैंने तीन महीने से तीन साल तक कुछ भी देखा है। मान लें कि एन्क्रिप्ट प्रमाण पत्र 90 दिनों के लिए मान्य हैं , जो उस सीमा के नीचे है, इसलिए आपको उन्हें अक्सर नवीनीकृत करना होगा। उपयोगकर्ताओं को एन्क्रिप्ट करने के लिए, यह आमतौर पर स्वचालित होता है ताकि प्रमाणपत्र हर 60 दिनों में बदल दिए जाएं।

    व्यापक रूप से उपलब्ध सॉफ़्टवेयर के साथ नवीनीकरण को स्वचालित करने में सक्षम होने के नाते वास्तव में वार्षिक ओह से अधिक सुखद है कि मेरा प्रमाण पत्र समाप्त हो गया है? सीए में मेरा लॉगिन क्या है? यह फिर से कैसे काम करता है? अनुष्ठान कि ज्यादातर छोटी साइटें वाणिज्यिक सीए के साथ समाप्त होती हैं।

  7. इससे पहले, मैंने इसे डरावना कहा था कि हम पर भरोसा करने के लिए बहुत सारे सीए हैं। हालांकि, कई सीए होने का एक फायदा यह भी है कि इस मायने में कि हमारे ट्रस्ट स्टोर्स से किसी एक को हटाने का उपयोगकर्ताओं पर सीमित प्रभाव पड़ता है। विशेष रूप से, एकल CA को निष्कासित करने से केवल उसी CA द्वारा जारी किए गए प्रमाणपत्र प्रभावित होंगे। यदि सभी एक ही सीए का उपयोग करते हुए समाप्त हो जाते हैं (जो कुछ लोगों को डर हो सकता है कि चलो एनक्रिप्ट करें ), हम अपने सभी ट्रस्ट को वहां केंद्रित करते हैं, और उस विखंडन के फायदे खो देते हैं।

  8. और अंत में, एक अन्य लाभ है जो एक भुगतान किया गया सीए प्रदान कर सकता है, जैसे वाणिज्यिक समर्थन, या एक मिलियन-डॉलर एसएसएल वारंटी । मुझे इन दोनों पहलुओं में थोड़ा विश्वास है, लेकिन वे ऐसी चीजें हैं जो लेट्स एनक्रिप्ट नहीं करती हैं।

मेरे सिर में दर्द होता है ... मेरा सवाल था, मुझे लगता है?

जिस चीज़ के साथ आप सहज महसूस करते हैं, उसका उपयोग करें! DV प्रमाणपत्रों के लिए, बहुत कम है जो वास्तव में विभिन्न सीए को अलग करता है। मैं पेशेवर और निजी तौर पर दोनों को एन्क्रिप्ट करता हूं, और मैं इससे खुश हूं।

वास्तव में केवल चार संभावित कारण हैं जो मुझे एनक्रिप्ट करने से बचने के लिए देखते हैं:

  • यदि आपको ईवी (या ओवी) प्रमाणपत्रों की आवश्यकता है।
  • यदि आप प्रमाणपत्र नवीनीकरण को स्वचालित नहीं कर सकते हैं या नहीं करना चाहते हैं और आपके लिए तीन महीने का प्रमाणपत्र वैधता बहुत कम है।
  • यदि आपको लेट एनक्रिप्ट का भरोसा नहीं है (लेकिन DNS-CAA जैसे अन्य उपायों पर भी विचार करना सुनिश्चित करें, और आपको संभवतः अपने ब्राउज़र में भी आइए एन्क्रिप्ट करें, तो भी ब्लैकलिस्ट करना चाहिए)।
  • यदि आपको लगता है कि चलो किसी कारण से ब्राउज़र से एन्क्रिप्ट को बंद या छोड़ दिया जाएगा।

यदि आप में से कोई भी आप पर लागू नहीं होता है, तो बेझिझक अपने प्रमाणपत्रों का भुगतान न करें।


17
ध्यान दें कि ईवी प्रमाणपत्रों को अब उपयोगी नहीं माना जाता है क्योंकि उपयोगकर्ता उन्हें अनदेखा करते हैं; ब्राउज़र, विशेष रूप से क्रोम और मोबाइल उपकरणों पर, नाम के हरे पाठ और प्रदर्शन को हटा या दफन कर रहे हैं।
सरल

8
कृपया ध्यान रखें कि आप भरोसेमंद तीसरे पक्ष को अपनी निजी कुंजी के लिए प्रमाण पत्र बनाने के लिए नहीं कहते हैं, बल्कि इसी सार्वजनिक कुंजी के लिए कहते हैं। मामूली नाइटिक, लेकिन महत्वपूर्ण। आपकी निजी कुंजी आपके सिस्टम को कभी नहीं छोड़ती है।
मेचएमके 1

दोनों अच्छे अंक; मैं एक बड़े-चित्र के रूप में सही होते हुए भी विस्तार के स्तर का प्रबंधन करने की कोशिश कर रहा था, लेकिन मुझे इन दो चीजों पर स्पष्ट होना चाहिए था। मैंने इन तथ्यों को थोड़ा बेहतर ढंग से दर्शाने के लिए उत्तर को अद्यतन किया।
मार्सेल

4
Chrome v77 (वर्तमान में v67) के रूप में अधिक विशिष्ट होने के लिए, Chrome अब सीधे EV प्रमाणपत्र प्रदर्शित नहीं करेगा। फ़ायरफ़ॉक्स (वर्तमान में 68) v70 के समान करने की योजना है।
नॉलफ्रोश

1
और EV प्रमाण पत्र के बारे में एक तीसरी टिप्पणी जोड़ने के लिए, ट्रॉय हंट (पुनः) एक अच्छा लेख लिखकर बताते हैं कि वे वास्तव में मर क्यों रहे हैं: troyhunt.com/…
Neyt

7

चलो एनक्रिप्ट कई मायनों में बेहतर है, जिसमें आपके द्वारा उल्लेखित हैं, जैसे:

  1. यह निःशुल्क है। उस अतीत को पाने के लिए कठिन।
  2. इसका स्वचालित नवीनीकरण है (मुझे यकीन है कि यह सिर्फ एनक्रिप्ट के साथ अनन्य नहीं है, हालांकि)
  3. इसे स्थापित करना बहुत आसान है।
  4. Google इसे एक हस्ताक्षरित एसएसएल के रूप में समर्थन करता है, जो कि एसईओ और सुरक्षा के लिए बहुत बड़ी बात है।

हालांकि, वहाँ विपक्ष के एक जोड़े हैं।

  1. सत्यापन प्रणाली जो यह सुनिश्चित करने के लिए काम करती है कि, आप, अच्छी तरह से, साइट के मालिक हैं, कुछ वेबसाइट मेजबान के साथ संगत नहीं है, मुझे सिरदर्द की उचित मात्रा मिल रही है चलो इन्फिनिटीफ्री पर काम एन्क्रिप्ट करें और मैंने सिर्फ भाग्य को स्वीकार किया कि मैं यह नहीं कर सका।
  2. आपको किसी भी प्रकार का बीमा नहीं मिलता है जो कहता है कि "यदि यह टूट जाता है, तो हम आपकी मदद करेंगे" चूंकि यह खुला-स्रोत है, तो आप अपने दम पर हैं यदि लेट्स एनक्रिप्ट नहीं है या किसी तरह फटा है।

"सत्यापन प्रणाली जो यह काम करती है" यह एक मानक तंत्र है, जो HTTP और 01 और DNS-01 दोनों IETF और CST फोरम आवश्यकताओं के अनुसार वर्णित है। सभी CA, DV प्रमाणपत्रों के लिए सटीक एक ही से बाध्य हैं।
पैट्रिक मेव्ज़ेक

10
"चूंकि यह ओपन-सोर्स है" यह मुफ़्त है (बीयर में) ओपनसोर्स नहीं। एपीआई मानक है (IETF में ACME देखें) और खुले स्रोत ग्राहक हैं (और शायद सर्वर)।
पैट्रिक मेव्ज़ेक

4
"इसका स्वत: नवीनीकरण है" यह स्वयं द्वारा एन्क्रिप्ट नहीं किया जाता है। आप, जैसा कि प्रमाणपत्र स्वामी को नवीनीकरण के लिए पूछने के लिए उनसे संपर्क करना होगा। वे इसे अपने आप नहीं धकेल देते हैं। यह सर्टिफिकेट जारी करने के लिए एसीएमई जैसे स्वचालित प्रोटोकॉल का उपयोग करने का एक दुष्प्रभाव है।
पैट्रिक मेव्ज़ेक

"Google केवल एक हस्ताक्षरित एसएसएल के रूप में इसका समर्थन करता है," न केवल Google और आप शायद यह कहना चाहते थे कि यह इसे (चलो एनक्रिप्ट) एक "पूरी तरह से विश्वसनीय सीए" के रूप में समर्थन करता है ("हस्ताक्षरित एसएसएल" सार्थक नहीं है)। देखें letsencrypt.org/2018/08/06/...
पैट्रिक Mevzek

HTTPS संचार के लिए उपयोग किए जाने वाले X.509 प्रमाणपत्रों पर बीमा के लिए, सुरक्षा भी देखें। stackexchange.com/questions/179415/…
पैट्रिक मेवज़ेक

4

LetsEncrypt प्रमाणपत्र महान हैं। मैं उन्हें प्रमाण पत्र खरीदने के बजाय खुद का उपयोग करता हूं। कुछ कमियां हैं:

  • LetsEncrypt प्रमाणपत्र केवल पिछले 3 महीनों में। अधिकांश खरीदे गए प्रमाण पत्र एक या दो साल के लिए अच्छे हैं। इसका मतलब है कि आपको अपने प्रमाणपत्रों को नवीनीकृत करने के लिए बिल्कुल एक स्वचालित प्रक्रिया की आवश्यकता है या इसे भूलना बहुत आसान है।
  • LetsEncrypt केवल प्रमाणपत्र का निम्नतम सत्यापन प्रकार प्रदान करता है। डोमेन सत्यापन (DV) केवल यह पुष्टि करता है कि प्रमाणपत्र के मालिक का डोमेन पर नियंत्रण है। ऑर्गनाइजेशन वैलिडेशन (OV) सर्टिफिकेट सर्टिफिकेट के लिए अनुरोध करने वाले व्यक्ति या कंपनी के दस्तावेज की भी जांच करते हैं। विस्तारित सत्यापन (EV) प्रमाणपत्रों को और भी अधिक जाँच की आवश्यकता है। आपका प्रमाण पत्र जितना बेहतर होगा, उतनी ही जाली होनी चाहिए, और इसकी वजह से आपकी साइट की प्रामाणिकता पर भरोसा किया जा सकता है। व्यवहार में, ब्राउज़र केवल ईवी सेर्ट्स को एक दृश्य संकेत देते हैं, आमतौर पर उनके लिए पता बार में हरे रंग में कुछ दिखाते हैं। इस बिंदु तक, अधिकांश उपयोगकर्ता विभिन्न सत्यापन स्तरों के बारे में नहीं जानते या परवाह नहीं करते हैं।
  • LetsEncrypt से वाइल्ड कार्ड सर्टिफिकेट मिलना थोड़ा कठिन है। अन्य स्थानों से आप आम तौर पर सिर्फ अधिक पैसा देते हैं। LetsEncrypt को वाइल्डकार्ड प्रमाणपत्र के लिए DNS सत्यापन की आवश्यकता होती है।

ऐतिहासिक रूप से, सुरक्षा प्रमाणपत्रों में हमेशा कुछ खर्च होता है। नि: शुल्क प्रमाण पत्र देने वाली अन्य कंपनियां आकर चली गई हैं। मैं स्टार्टएसएसएल का उपयोग करता था जो एक एकल डोमेन मुफ्त प्रमाण पत्र की पेशकश करता था जब तक कि उन्होंने कुछ छायादार सामान नहीं किया और ब्राउज़रों ने अपने प्रमाण पत्र पर भरोसा करना बंद कर दिया। LetsEncrypt में पिछले नि: शुल्क प्रमाणपत्र विक्रेताओं की तुलना में कम सीमाएं हैं और यह कहीं अधिक स्वचालित है। इसके कुछ बड़े समर्थक भी हैं जैसे कि EFF, मोज़िला, क्रोम और सिस्को। Https://letsencrypt.org/sponsors/ देखें तो यह अच्छी तरह से चलता है कि मुझे उम्मीद है कि यह सालों तक रहेगा।


1
क्या DV और OF / EV के बीच कोई वास्तविक कार्यात्मक अंतर है? या यह सचमुच एक अधिक गहन जाँच है?
आठ

4
"पिछले 3 महीनों में केवल सर्टिफिकेट्स को लेट करें।" यह उद्देश्य पर किया जाता है और इसे कमियां नहीं बल्कि वास्तव में सकारात्मक चीजों के रूप में देखा जाता है।
पैट्रिक मेव्ज़ेक

1
@ आठ अलग-अलग चेक और अलग-अलग अंतिम परिणाम भी: एक DV प्रमाणपत्र एक होस्टनाम, एक OV / EV प्रमाणपत्र एक इकाई की पहचान करता है। इसके अलावा कैब फोरम की आवश्यकताओं ने अलग-अलग अड़चनें डालीं, आपके पास उदाहरण के लिए 3 साल के लिए ईवी नहीं हो सकता है, न ही वाइल्डकार्ड के लिए।
पैट्रिक मेव्ज़ेक

5
"LetsEncrypt केवल सबसे कम सत्यापन प्रकार का प्रमाणपत्र प्रदान करता है। [..] आपका प्रमाणपत्र जितना बेहतर होगा, उतना ही आपके भरोसेमंद हो सकता है।" यह बेहद निजी पसंद का मामला है न कि सार्वभौमिक सच्चाई। और यह ज्यादातर मायने नहीं रखता है क्योंकि वर्तमान पीकेआई वेब के कारण यह आपके ट्रस्ट स्टोर में सबसे कम सुरक्षित सीए की सुरक्षा है जो पूरे पारिस्थितिकी तंत्र की सुरक्षा को परिभाषित करता है .. जब तक कि हर कोई अपने डोमेन पर सीएए + डीएनएसएसईसी का उपयोग नहीं करता है, और सभी सीए उपयोग करते हैं सत्यापन और कई सहूलियत बिंदुओं के दौरान कम से कम DNSSEC।
पैट्रिक मेव्ज़ेक

2
"इस बिंदु तक, अधिकांश उपयोगकर्ता विभिन्न सत्यापन स्तरों के बारे में नहीं जानते या परवाह नहीं करते हैं।" - जो उन्हें बहुत व्यर्थ बनाता है। यदि उपयोगकर्ता EV / DV सेर्ट्स को अलग नहीं करते हैं, तो एक हमलावर जो कुछ डोमेन के लिए एक वैध DV प्रमाणपत्र प्राप्त करता है, उस डोमेन पर MITM हमलों को अंजाम दे सकता है, भले ही मूल साइट में EV प्रमाणपत्र हो।
मार्सेल

0

सब कुछ स्वचालित नवीनीकरण का उपयोग नहीं कर सकता है

CertBot वेबसाइटों के लिए उपयोग करना आसान बनाता है ... लेकिन क्या होगा यदि आप अन्य चीजों के लिए प्रमाण पत्र का उपयोग कर रहे हैं?

हमारे पास एक LDAP सर्वर है, जिससे हमारी वेबसाइट प्रमाणित होती है। यह एक सुरक्षित बंदरगाह पर चलता है, लेकिन इसे चलाने के लिए एक हस्ताक्षरित प्रमाण पत्र की आवश्यकता होती है। मैं एक मुफ्त वाइल्डकार्ड प्रमाण पत्र के साथ जा सकता था ... लेकिन इसका मतलब है कि प्रमाण पत्र को पीकेसीएस 12 में हर 3 महीने में बदलना (वेब ​​सर्वर पीईएम का उपयोग करता है) और फिर नए प्रमाणपत्र का आयात करता है। ओह, और हमारा नेटवर्क फ़ायरवॉल PKCS12 का भी उपयोग करता है। यह मुफ्त के लिए बहुत परेशानी है।


1
यदि आप इतने इच्छुक हैं, तो आप उस रूपांतरण को स्वचालित भी कर सकते हैं; प्रमाणपत्र को नवीनीकृत करने के लिए पहले से ही एक क्रोनजॉब चल रहा है certbot/ acmetool/ whathaveyou, आप एक ऐसा जोड़ सकते हैं opensslजो रूपांतरण करने के लिए आमंत्रित करता है।
19:00

-1

इसका सरल उत्तर यह है कि बहुत से वेबमास्टर्स इन चीजों को नहीं करना चाहते हैं, जो अनावश्यक रूप से अपने कीमती समय का उपभोग करते हैं। Letencrypt को उपयोग करने में आसान और मुफ्त के मामले में, लेकिन आपको हर 3 महीने में प्रमाणपत्र को याद रखना और फिर से स्थापित करना होगा। यदि आप इसे करना या बस करना नहीं भूलते हैं, तो आप अपने आगंतुकों और खोज इंजन को 404 त्रुटि दिखाएंगे।


10
"आपको याद रखना होगा" नहीं, आपको आवश्यक स्वचालन लगाने की आवश्यकता है और इसे याद रखने के लिए कुछ भी किए बिना अपना काम करने दें। आपको मॉनीटरिंग भी करनी होगी।
पैट्रिक मेव्ज़ेक

14
"यह तो आप साइट 404 त्रुटि दिखाएगा" निश्चित रूप से नहीं। एक समय सीमा समाप्त प्रमाणपत्र एक TLS हैंडशेक विफलता को ट्रिगर करेगा और HTTP स्तर पर कुछ भी नहीं आएगा। ग्राहकों को अपने ब्राउज़र में कुछ पाठ के साथ एक बड़ी चेतावनी दिखाई देगी (कि वे मूल रूप से समझ नहीं पाएंगे) और एक बटन उन्हें पूछ रहा है कि क्या वे गुजरना चाहते हैं या नहीं।
पैट्रिक मेव्ज़ेक

कई होस्टिंग साइटें केवल बिना किसी अतिरिक्त शुल्क के एक बटन पुश करने की सुविधा दे रही हैं। आप सचमुच वेबसाइट कॉन्फ़िगरेशन पैनल में एक बटन पर क्लिक करते हैं जो कहता है "मुझे यह चाहिए!" और सब कुछ उस बिंदु से स्वचालित रूप से होता है, जिसमें नवीकरण शामिल है।
जेम्स के पोल्क

1
~ 100 डोमेन के लिए एक पेशेवर व्यवस्थापक के रूप में, मैं आपको बता सकता हूं कि मैं बहुत पसंद करता हूं चलो हर साल प्रमाणपत्रों को मैन्युअल रूप से नवीनीकृत करने के लिए स्वचालित नवीनीकरण के साथ एन्क्रिप्ट करें क्योंकि मुझे अपने पिछले सीए के साथ पहले करना था।
मार्सेल

acme.shलेट्स एनक्रिप्ट क्रिप्ट को स्थापित करने के लिए उपयोग करने से नवीनीकरण भी स्थापित होता है। इसे न करना ज्यादा काम है।
कॉलिन की टी हार्ट
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.