Frage Gibt es einen Grund, ein anderes SSL-Zertifikat als das kostenlose SSL von Let's Encrypt zu verwenden?


Lass uns verschlüsseln stellen kostenlose SSL-Zertifikate zur Verfügung. Gibt es irgendwelche Nachteile im Vergleich zu anderen, bezahlten Zertifikaten, z. AWS-Zertifikat-Manager?


133
2017-08-18 09:29


Ursprung


Ich habe die meisten Kommentare in Bezug auf die sinnlose Debatte entfernt, wenn LE aufgrund seiner freien Natur von Natur aus weniger vertrauenswürdig ist. - Sven♦


Antworten:


Lebensdauer des Zertifikats

Sicherheit

Kürzere Lebensdauer ist besser. Einfach, weil der Widerruf meist theoretisch ist, kann man sich in der Praxis nicht darauf verlassen (große Schwäche im öffentlichen PKI-Ökosystem).

Verwaltung

Ohne Automatisierung: Längere Lebensdauer ist bequemer. LE ist möglicherweise nicht machbar, wenn Sie aus irgendeinem Grund die Zertifikatsverwaltung nicht automatisieren können
Mit Automatisierung: Lebensdauer spielt keine Rolle.

Endbenutzer-Impression

Endnutzer werden wahrscheinlich auf die eine oder andere Weise keine Ahnung haben.

Grad der Überprüfung

Sicherheit

Letsencrypt bietet nur DV-Verifizierungsebene.
Beim Kauf eines Zertifikats erhält man, was immer man bezahlt (beginnend mit DV, mit der gleichen Aussage wie bei LE).

DV = nur Domain Name Control ist verifiziert.
OV = Owner-Entity (Organisation) Informationen werden zusätzlich verifiziert.
EV = gründlichere Version von OV, die traditionell mit dem "grünen Balken" ausgezeichnet wurde (aber der "grüne Balken" scheint bald zu verschwinden).

Verwaltung

Bei der Verwendung von LE richten Sie die notwendige Automatisierung ein (in diesem Zusammenhang, um die Domänenkontrolle zu beweisen). Wie viel Arbeit das ist, hängt von Ihrer Umgebung ab.

Beim Kauf eines Zertifikats wird der DV / OV / EV-Level definieren, wie viel manuelle Arbeit benötigt wird, um das Zertifikat zu erhalten. Bei DV läuft es in der Regel durch einen Assistenten, der etwas bezahlt und kopiert / einfügt oder auf etwas klickt, für OV und EV kann man ziemlich gut darauf zählen, dass man separat kontaktiert werden muss, um weitere Schritte zur Bestätigung der Identität durchzuführen.

Endbenutzer-Impression

Endbenutzer erkennen wahrscheinlich den aktuellen EV "grünen Balken" (der weggeht), abgesehen davon, dass sie nicht dazu neigen, den Inhalt des Zertifikats tatsächlich zu betrachten.
Theoretisch ist es jedoch mit einem Zertifikat, das Informationen über die steuernde Entität angibt, deutlich hilfreicher. Aber Browser (oder andere Client-Anwendungen) müssen anfangen, dies auf nützliche Weise zu zeigen, bevor dies für den typischen Benutzer eine Auswirkung hat.

Installation

Sicherheit

Es ist möglich, Dinge auf eine Weise falsch zu machen, die private Schlüssel oder Ähnliches verfügbar macht. Bei LE werden die bereitgestellten Werkzeuge nach vernünftigem Verfahren erstellt.
Mit einer Person, die weiß, was sie macht, können manuelle Schritte natürlich auch sicher durchgeführt werden.

Verwaltung

LE ist sehr dazu gedacht, alle Prozesse automatisieren zu lassen, ihr Service ist vollständig API-basiert und die kurze Lebensdauer spiegelt auch wider, wie alles um die Automatisierung herum geht.

Beim Kauf eines Certs, selbst bei einer CA, die APIs für Stammkunden bereitstellt (nicht wirklich die Norm zu diesem Zeitpunkt), wird es schwierig sein, alles andere als DV und mit DV im Wesentlichen dasselbe zu tun, was LE bietet.
Wenn Sie OV- oder EV-Level anstreben, können Sie den Prozess wahrscheinlich nur teilweise automatisieren.

Endbenutzer-Impression

Wenn die Installation korrekt durchgeführt wird, weiß der Endanwender natürlich nicht, wie es gemacht wurde. Die Chance, Dinge durcheinander zu bringen (z. B. das Vergessen oder die falsche Installation bei der Erneuerung), ist bei einem automatisierten Prozess geringer.

Insgesamt

Traditionelle Methoden zum Kauf von Zertifikaten sind besonders nützlich, wenn Sie OV / EV-Zertifikate wünschen, die Zertifikatsverwaltung nicht automatisieren oder Zertifikate in einem anderen Kontext als HTTPS verwenden möchten.


118
2017-08-18 12:46



In einigen Fällen gibt es einen Versicherungsaspekt, im Falle einer CA-seitigen Kompromittierung. - John Keates
Haben Sie eine Quelle, wo EV weggeht? - Puddingfox
@Puddingfox Guter Punkt. Ich werde den aktuellen Status nachschlagen müssen und ihn gegebenenfalls weiter qualifizieren. Das heißt, es ist nicht EV-Zertifikate, die weggehen würde, aber die verwandte "grüne Bar" Browser-UI-Indikator. - Håkan Lindqvist
Meiner Erfahrung nach können Sie Lets Encrypt auch für E-Mails verwenden, sodass es für diesen Zweck flexibel genug ist. - Manngo
@kloddant Huh. Sie würden das Skript mehr als einmal pro Verlängerungszeitraum ausführen, und natürlich muss es wie jeder andere automatisierte Prozess überwacht werden (was auslöst) Vor das Zertifikat läuft ab). - Jonas Schäfer


Aus rein technischer Sicht:

  • Die Tatsache, dass die Zertifikate nur für 3 Monate gültig sind. Je nach den Verfahren und der Infrastruktur Ihres Änderungsmanagements kann es zu Beeinträchtigungen kommen.
  • Der Zweck von Let's Encrypt-Zertifikaten ist begrenzt. Sie können sie nicht für Ihre E-Mails, Code-Signaturen oder Zeitstempel verwenden.
    Überprüfen mit: openssl x509 -in cert.pem -noout -text

    X509v3 erweiterte Schlüsselverwendung:
                  TLS-Webserver-Authentifizierung, TLS-Webclient-Authentifizierung

Aus Sicht des Endbenutzers:


75
2017-08-18 11:47



Beachten Sie, dass Chrome aktiv dazu tendiert, nichts besonderes für HTTPS zu zeigen, und dass die nächste große Version von OSX und iOS Safari nichts Besonderes für EV zeigen wird. Es scheint, dass die großen Browser-Anbieter weg von EV bewegen. Viele der Top-Websites verwenden es nicht einmal. - Greg W
In Bezug auf das Thema Änderungsmanagement lautet die Idee hinter der 3-monatigen Lebensdauer, dass der Prozess der Beschaffung und Erneuerung von Zertifikaten vollständig automatisiert werden soll. Bei bestimmungsgemäßem Gebrauch Veränderung würde diese Automatisierung einrichten, nicht wiederholt Zertifikate manuell installieren. Aber wenn es eine Politik gegen die Automatisierung gibt, würde es wahrscheinlich ein No-Go machen. - Håkan Lindqvist
Die TLS-Webserver-Authentifizierung reicht aus, um z. SMTP-, IMAP-, POP3-Server. Es ist jedoch nicht für S / MIME gültig. - Michael Hampton♦
An die Kommentatoren - bitte beachten Sie, dass das obige ist a Community-Wiki soll von jedem bearbeitet werden - HBruijn
@ Ripper234 Du meinst wie die ernsthafte / Benutzer zugewandte Website serverfault.com bist du gerade dabei? Diese Website verwendet kein EV-Zertifikat. Auch google.com. Oder microsoft.com. Oder cisco.com. Und Browser stufen den grünen Balken aus. Wenn ein EV-Zertifikat für Sie wichtig ist, zahlen Sie es unbedingt, aber sicherlich sind viele wichtige und benutzerorientierte Websites zu einem anderen Schluss gekommen. - Zach Lipton


Ich möchte einige Gegenpunkte für die hier gegen Let's Encrypt verwendeten Argumente anbieten.

Kurze Lebensdauer

Ja, sie haben eine kurze Lebensdauer wie in der FAQ erklärt: https://letsencrypt.org/2015/11/09/why-90-days.html Um die Seite zu zitieren:

  1. Sie begrenzen den Schaden durch Schlüsselkompromisse und falsche Ausgabe. Gestohlene Schlüssel und falsch ausgestellte Zertifikate sind für einen kürzeren Zeitraum gültig.

  2. Sie fördern die Automatisierung, die für eine einfache Bedienung unerlässlich ist. Wenn wir das gesamte Web auf HTTPS verschieben, können wir das nicht tun   Erwarten Sie weiterhin, dass Systemadministratoren Erneuerungen manuell behandeln.   Sobald die Ausstellung und Erneuerung automatisiert ist, werden kürzere Lebenszeiten nicht mehr möglich sein   etwas weniger bequem als längere.

Mangel an EV

Es gibt keinen Plan für EV-Unterstützung. Die Begründung (aus https://community.letsencrypt.org/t/plans-for-e-tended-validation/409) ist:

Wir erwarten, dass Let's Encrypt EV nicht unterstützen wird, da der EV-Prozess immer menschliche Anstrengung erfordert, die jemanden bezahlen muss. Unser Modell ist die kostenlose Ausstellung von Zertifikaten, die eine Level-Automation erfordern, die nicht mit EV kompatibel zu sein scheint.

Außerdem gibt es einige, die glauben, dass EV schädlich ist, wie dieser Blogpost (https://stripe.ian.sh/):

So hat James Burton kürzlich für seine Firma "Identity Verified" ein EV-Zertifikat erhalten. Unglücklicherweise sind die Benutzer einfach nicht in der Lage, mit den Nuancen dieser Entitäten umzugehen, und dies erzeugt einen signifikanten Vektor für Phishing.

Ein klassisches Beispiel aus der realen Welt ist sslstrip. Homograph Sites mit legitim erworbenen Zertifikaten sind ein echter Angriff, für den EV derzeit keine ausreichende Verteidigung bietet.


30
2017-08-18 12:43





Es sei denn, Sie benötigen ein Zertifikat für etwas anderes als das Web, es gibt keine echt Nachteile, aber sicher wahrgenommen Einsen. Obwohl die Probleme nur wahrgenommen werden, haben Sie als Eigentümer einer Website keine andere Wahl, als sie anzusprechen (wenn geschäftliches Interesse es verbietet, den Mittelfinger zu zeigen).

Der größte Nachteil ist derzeit, dass Ihre Website als angezeigt wird etwas minderwertig, vielleicht gefährlich weil es nicht das schöne grüne Abzeichen hat, das einige andere Seiten haben. Was bedeutet dieses Abzeichen? Nichts wirklich. Aber es tut vorschlagen dass Ihre Website "sicher" ist (manche Browser verwenden sogar genau dieses Wort). Leider sind Benutzer Menschen und Menschen sind dumm. Der eine oder andere wird Ihre Website als nicht vertrauenswürdig betrachten (ohne die Implikationen zu verstehen), nur weil der Browser nicht sagt, dass es sicher ist.

Wenn das Ignorieren dieser Kunden / Besucher eine gültige Möglichkeit ist, kein Problem. Wenn Sie sich das geschäftlich nicht leisten können, Sie wird müssen Geld ausgeben. Keine andere Option.

Das andere wahrgenommene Problem ist dasjenige über die Zertifikatlebensdauer. Aber es ist tatsächlich ein Vorteil, kein Nachteil. Kürzere Gültigkeit bedeutet, dass Zertifikate häufiger serverseitig und clientseitig aktualisiert werden müssen.
Auf der Serverseite geschieht dies mit a cron Job, so ist es eigentlich weniger Stress und zuverlässiger wie üblich. Sie können nie vergessen, keine Möglichkeit, zu spät zu kommen, keine Möglichkeit, versehentlich etwas falsch zu machen, keine Notwendigkeit, sich mit einem Administratorkonto einzuloggen (... mehr als einmal). Auf der Client-Seite, also was. Die Browser aktualisieren die Zertifikate ständig, es ist kein Problem. Der Benutzer weiß nicht einmal, dass es passiert. Es gibt sehr wenig mehr Verkehr, wenn man alle 3 Monate anstatt alle 2 Jahre aktualisiert, aber ernsthaft ... Das ist kein Problem.


5
2017-08-20 13:58



@ HåkanLindqvist: Das ist das genaue Problem. Ich kann eine Malware-Site einrichten und 5,99 US-Dollar ausgeben, und der durchschnittliche Benutzer wird meinem Malware-Inhalt vertrauen, weil er "sicher" sagt. Derselbe Benutzer vertraut Ihrer völlig harmlosen, legitimen Site nicht mit einem Zertifikat zum Zulassen der Verschlüsselung. Weil, na ja, ist es nicht sicher. Aber ach, das sind Dinge, die du einfach nicht ändern kannst. - Damon
Das LE-Zertifikat ist jedoch nur ein Beispiel für ein DV-Zertifikat (was höchstwahrscheinlich alles ist, was man für nur 5,99 $ bekommt). LE certs werden in aktuellen Browsern als "Secure" angezeigt. - Håkan Lindqvist
Betrachten Sie E-Mail-Server als Teil der web? Letsencrypt-Zertifikate waren für mich nicht ausreichend, da ich meinen eigenen E-Mail-Server betreiben musste - hanshenrik
@hanshenrik können Sie LE einfach gut mit Mail-Servern verwenden. Zum Beispiel benutze ich github.com/hlandau/acme Let's Encrypt Client nicht nur für meine HTTPS, sondern auch für TLS in SMTP, IMAP, POP3, XMPP ... - Matija Nalis
@hanshenrik - Ich führe LE certs für meinen Mailserver: keine Probleme - warren


Es gibt zwei Gruppen von Schattenseiten, die es zu überdenken gilt.

1. Nachteile bei der Verwendung des Let's Encrypt-Dienstes

Let's Encrypt erfordert, dass der genaue Name oder die (Sub-) Domain, wenn Sie einen Platzhalter anfordern, im öffentlichen Internet-DNS vorhanden ist. Selbst wenn Sie die Kontrolle über example.com unter Beweis stellen, wird Let's Encrypt Ihnen keine Zertifikate für some.other.name.in.example.com ausstellen, ohne das in öffentlichen DNS zu sehen. Die genannten Rechner müssen keine öffentlichen Adressdatensätze haben, sie können Firewalls enthalten oder sogar physisch getrennt sein, aber der öffentliche DNS-Name muss vorhanden sein.

Let's Encrypt Zertifikatslaufzeiten von 90 Tagen bedeuten, dass Sie automatisieren müssen, weil niemand dafür Zeit hat. Dies ist in der Tat die Absicht des Dienstes - Menschen dazu zu bringen, diese essentielle Arbeit zu automatisieren, anstatt sie pervers manuell zu erledigen, während sie viele schwierigere Aufgaben automatisieren. Aber wenn Sie aus irgendeinem Grund nicht automatisieren können, ist das ein Negativ - wenn Sie Tools, Appliances oder was auch immer Blockautomation haben, betrachten Sie alle kommerziellen SSL-Cert-Kosten als Teil der laufenden Kosten dieser Tools / Appliances / was auch immer in der Kostenplanung. Im Gegensatz dazu sparen Sie, wenn Sie keine kommerziellen Zertifikate für die Preisgestaltung neuer Tools / Appliances / usw. kaufen müssen, die dies automatisieren (mit Let's Encrypt oder nicht)

Die Automatisierung der Automatisierung von Let's Encrypt passt möglicherweise nicht zu den Regeln Ihres Unternehmens. Wenn Sie zum Beispiel Mitarbeiter haben, die Apache neu konfigurieren dürfen, aber keine SSL-Zertifikate für Firmen-Domain-Namen erhalten sollen, dann ist Let's Encrypt schlecht geeignet. Beachten Sie, dass in diesem Fall nur das Wrong Thing (TM) nicht verwendet wird. Verwenden Sie CAA, um Let's Encrypt für Ihre Domains explizit zu deaktivieren.

Wenn die Richtlinie "Let's Encrypt Policy" Sie ablehnt, ist das einzige "Berufungsgericht", in seinen öffentlichen Foren nachzufragen und zu hoffen, dass einer ihrer Mitarbeiter einen Weg nach vorne bietet. Dies kann beispielsweise der Fall sein, wenn Ihre Website einen DNS-Namen hat, den ihre Systeme für bestimmte bekannte Immobilien wie große Banken oder Google "verwirrend" halten. Aus vernünftigen Gründen sind die genauen Richtlinien jeder öffentlichen Zertifizierungsstelle in dieser Hinsicht nicht öffentlich zugänglich, sodass Sie möglicherweise nur feststellen, dass Sie kein Let's Encrypt Zertifikat haben, wenn Sie es anfordern und eine "Policy verbietet ..." Antwort erhalten.

2. Nachteile zu einem Let's Encrypt Zertifikat selbst

Let's Encrypt Zertifikate werden heute von den wichtigsten Webbrowsern über ISRG (die Wohltätigkeitsorganisation, die den Let's Encrypt-Dienst bereitstellt) vertraut, aber ältere Systeme vertrauen Let's Encrypt über Identrust, eine relativ obskure Zertifizierungsstelle, die "DST Root CA X3" steuert. Das erledigt die Arbeit für die meisten Leute, aber es ist nicht die am meisten vertraute Wurzel in der Welt. Zum Beispiel hatte die verlassene Nintendo WiiU-Konsole einen Webbrowser, offensichtlich wird Nintendo keine Updates für die WiiU liefern und damit der Browser verlassen wird, vertraut er Let's Encrypt nicht.

Let's Encrypt stellt nur Zertifikate für die Web-PKI aus - Server mit Internetnamen, die das SSL / TLS-Protokoll verwenden. Also das ist das Web offensichtlich, und Ihr IMAP, SMTP, einige Arten von VPN-Server, Dutzende von Dingen, aber nicht alles. Insbesondere bietet Let's Encrypt überhaupt keine Zertifikate für S / MIME (eine Möglichkeit, E-Mails im Ruhezustand zu verschlüsseln, anstatt sie nur während der Übertragung zu verschlüsseln) oder für das Signieren von Codes oder das Signieren von Dokumenten. Wenn Sie einen "One-Stop-Shop" für Zertifikate wünschen, kann dies Grund genug sein, Let's Encrypt nicht zu verwenden.

Selbst in der Web-PKI bietet Let's Encrypt nur "DV" -Zertifikate an. Das bedeutet, dass alle Details über Sie selbst oder Ihre Organisation, die keine FQDNs sind, nicht im Zertifikat erwähnt werden. Selbst wenn Sie sie in eine CSR schreiben, werden sie einfach verworfen. Dies kann ein Blocker für einige spezielle Anwendungen sein.

Let's Encrypt Automations bedeutet, dass Sie genau durch die Automatisierung eingeschränkt sind, auch wenn es keine anderen Gründe gibt, warum Sie nichts haben können. Neue Arten von öffentlichen Schlüsseln, neue X.509-Erweiterungen und andere Zusätze müssen explizit von Let's Encrypt auf ihrer eigenen Zeitleiste aktiviert werden, und natürlich können Sie nicht nur anbieten, extra zu zahlen, um die gewünschten Funktionen zu erhalten, obwohl Spenden willkommen sind.

Nichtsdestotrotz ist Let's Encrypt für fast alle, fast immer, eine gute erste Wahl, um Zertifikate auf Ihre TLS-Server auf eine Feuer-und-Vergessen-Weise zu übertragen. Ausgehend von der Annahme, dass Sie Let's Encrypt verwenden werden, ist dies ein sinnvoller Weg, diese Entscheidung zu treffen.


5
2017-08-26 11:07



Ich frage mich, ob die Unterstützung von Nintendo WiiU eine große Sache ist, wenn man bedenkt, wie wenige Websites dieser Browser korrekt anzeigen kann. - Dmitry Grigoryev
Sie erwähnen die Nachteile der "Proof of Control Automation", aber meiner Erfahrung nach wird jedes DV-Zertifikat ohnehin mit sehr ähnlichen Schemata verifiziert. Zum Beispiel, Hier sind die Methoden, die Comodo anbietet, die einen sehr ACME-ähnlichen HTTP-basierten Ansatz beinhalten. Der Schutz gegen Rogue-Registrierungen würde wahrscheinlich am besten durch die Überwachung von Zertifikatstransparenz-Protokollen gemanagt werden. - IMSoP
Einen CT-Monitor zu beobachten, ist eine gute Idee in dieser Art von Situation, und ja, es gibt nur die zehn gesegneten Methoden (die derzeit tatsächlich 8 oder 9 tatsächliche Methoden sind), also von einem CA zum anderen wirst du nur gehen Sehen Sie eine andere Mischung von Methoden und einige Variationen in genau, wie sie arbeiten. Der Unterschied zwischen den angebotenen Methoden, der Möglichkeit vertragliche Verpflichtungen zur Verwendung Ihrer bevorzugten Methode und sogar technische Ideen wie das Hinzufügen eines CAA-Feldes, um zu zeigen, welche Methoden zulässig sind, variieren jedoch je nach CA und können bedeuten, dass es nicht sinnvoll ist Lass uns verschlüsseln. - tialaramex
Als konkretes Beispiel: Facebook hat einen Vertrag mit einer großen kommerziellen CA. Sie verwenden jetzt CAA, um anzugeben, dass nur diese Zertifizierungsstelle Zertifikate für ihre Hauptdomänen wie facebook.com und fb.com ausstellen darf. Die Vertragsbedingungen stellen sicher, dass das interne technische Sicherheitsteam von Facebook jedes neue Zertifikat löschen muss. Die CA muss noch eine der zehn gesegneten Methoden verwenden, aber der Vertrag verlangt, dass sie auch Facebook Security anrufen. - tialaramex


Ich füge einen hinzu, der meinen Arbeitgeber teilweise von Lets Encrypt abhält: die API-Ratenbegrenzung. Aufgrund der kurzen Lebensdauern und des Mangels an Wildcard-Unterstützung ist es sehr einfach, während normaler automatischer Operationen (automatische Erneuerung usw.) nahe an die Ratengrenzen zu kommen. Der Versuch, eine neue Subdomain hinzuzufügen, kann Sie über das Ratenlimit hinaus führen, und LE hat keine Möglichkeit, das Limit nach dem Treffer manuell zu überschreiben. Wenn Sie die alten Zertifikate nicht sichern (wer würde dies in einer automatisierten, Cloud-artigen Microservices-Umgebung wie LE envisions tun?), Gehen alle betroffenen Sites offline, da LE die Zertifikate nicht erneut ausgibt.

Als wir merkten, was passiert war, gab es einen Moment von "oh $ #! #", Gefolgt von einer Notfall-Zertifikatsanforderung, um die Produktionsstätten wieder online zu bringen. Eins mit einer angemesseneren Lebensdauer von 1 Jahr. Bis LE die richtige Wildcard-Unterstützung implementiert (und selbst dann), werden wir uns ihrer Angebote sehr bewusst sein.

Tl; dr: LE Wildcard + API-Grenzen machen die Verwaltung von etwas komplexer als "My Personal Homepage" unerwartet herausfordernd und fördert die schlechte Sicherheitspraxis auf dem Weg.


5
2017-08-23 09:58





Ja.

Nachteil der Verwendung eines kostenlosen oder Let's SSL-Zertifikat verschlüsseln-

Kompatibilitätsproblem - Lassen Sie uns das SSL-Zertifikat verschlüsseln, das nicht mit allen Plattformen kompatibel ist. Sehen dieser Link die Liste der inkompatiblen Plattformen zu kennen -

Geringere Gültigkeit - Ein verschlüsseltes SSL-Zertifikat hat eine begrenzte Gültigkeitsdauer von 90 Tagen. Sie müssen Ihr SSL-Zertifikat alle 90 Tage erneuern. Wo wie eine bezahlte SSL wie Comodo mit langer Gültigkeit wie 2 Jahre kommt.

Keine Geschäftsvalidierung - Ein kostenloses SSL-Zertifikat erfordert nur die Domain-Validierung. Keine Geschäfts- oder Organisationsvalidierung, um Benutzer für eine legale Geschäftseinheit zu gewährleisten.

Geeignet für kleine Unternehmen oder Blog-Sites - Wie ich im letzten Punkt hinzugefügt habe, kann ein kostenloses oder ein SSL-Zertifikat verschlüsseln durch Domain-Besitzverifizierung genutzt werden, es ist nicht geeignet für eine Geschäfts- oder E-Commerce-Website, wo Vertrauen und Sicherheit ein wichtiger Faktor für Unternehmen ist.

Keine grüne Adressleiste - Sie können keine grüne Adressleiste mit einem kostenlosen SSL-Zertifikat haben. Ein Extended Validation SSL-Zertifikat ist die einzige Möglichkeit, Ihren Unternehmensnamen mit grüner Adressleiste im Browser anzuzeigen.

Keine Unterstützung - Wenn Sie mit Let's Encrypt zwischen den Weg stecken, können Sie Online-Chat oder rufen Sie Unterstützung. Sie können sich nur über Foren in Verbindung setzen, um sich von dem Problem zu lösen.

Zusätzliche Sicherheitsfunktionen - Ein kostenloses SSL-Zertifikat bietet keine zusätzlichen Funktionen wie kostenlosen Malware-Scan, Website-Siegel usw.

Keine Garantie - Ein kostenloses oder Let 's encrypt SSL-Zertifikat bietet keine Garantie, während ein kostenpflichtiges SSL-Zertifikat eine Garantie von $ 10.000 bis $ 1.750.000 bietet.

Nach einer Nachricht, 14.766 Lassen Sie uns SSL-Zertifikate verschlüsseln, die an Phishing-Websites von PayPal ausgestellt werden, da nur die Domänenvalidierung erforderlich ist

Also, nach meiner Empfehlung, lohnt sich die Zahlung für ein SSL-Zertifikat.


-1
2017-08-20 16:11



(1) LE ist nur mit älteren Systemen inkompatibel. (2) Die Gültigkeitsdauer ist aufgrund der Automatisierung nicht gegeben. (3) Die Validierung erfolgt wie bei jedem anderen DV-Zertifikat. (4) LE cert ist für jede Art von Organisation geeignet. (5) Grüner Balken ist nur für EV-Zertifikate (und wird in naher Zukunft verschwinden). (6) Ich kenne keinen Cert-Anbieter, der ein Malware-Scan und was ist a Website-Siegel soll dazu beitragen? (7) Welchen Haftbefehl müsste ein Cert einholen? (8) Schattige bezahlte CAs verkaufen auch Zertifikate für Phishing-Websites. (9) Der Link, auf den Sie verweisen, behandelt selbstsignierte Zertifikate, die nicht verwandt sind - BlueCacti
Wenn die Liste der "inkompatiblen Systeme" so aussieht wie Android-Versionen vor 2.3.6, Nintendo 3DS und Windows XP vor SP3, ist dies kein Problem für 99.999% der Nutzer, die SSL-Zertifikate benötigen. Auch der Link "Warum Sie nicht ..." am Ende Ihres Beitrags bezieht sich nur auf selbstsigniertes SSL. Es sagt nichts über Let's Encrypt Zertifikate aus. Die Verwendung dieses Links ist sachlich falsch. - semi-extrinsic


Nach einigen Recherchen fand ich heraus, dass Let's Encrypt-Zertifikate mit Browsern weniger kompatibel sind als bezahlte Zertifikate. (Quellen: Lass uns verschlüsseln gegen Comodo PositivSSL)


-6



Der zweite Link ist unterbrochen. - iamnotmaynard
Was interessiert Sie an Browsern und Plattformen, die ein Jahrzehnt alt sind und nichts unterstützen? - warren
@warren mag es oder nicht, aber viele Geräte und Computer in besonders großen Organisationen laufen immer noch mit Windows XP oder Betriebssystemen ähnlichen Alters und benötigen (streng kontrolliert, viele Firewalls und Proxies) Internet-Zugang, um miteinander zu kommunizieren . Denken Sie Handterminals sprechen oder Kioske. Hey, ich schreibe gerade die Serverseite eines Systems, das mit 15 Jahre alten Geräten über https / ssl kommuniziert. Während die meisten Kunden auf neue Geräte aufgerüstet haben, haben andere dies nicht getan. - jwenting