Frage:
Gibt es Nachteile bei der Verwendung von Let's Encrypt für die SSL-Zertifikate einer Website?
Dolan Antenucci
2015-06-06 18:54:46 UTC
view on stackexchange narkive permalink

Auf der Vorteilsseite sehe ich mehrere Vorteile bei der Verwendung des Let's Encrypt-Dienstes (z. B. ist der Dienst kostenlos, einfach einzurichten und leicht zu warten). Ich frage mich, welche Nachteile die Verwendung von Let's Encrypt hat, wenn überhaupt? Gibt es Gründe, warum Website-Betreiber - ob groß wie Twitter oder klein wie ein lokaler Fotograf - nicht in Betracht ziehen sollten, ihre vorhandenen SSL-Dienste durch Unternehmen wie GoDaddy durch diesen Dienst zu ersetzen?

(Wenn der Dienst noch nicht verfügbar ist kann dieser Nachteil ignoriert werden - ich wundere mich mehr über Nachteile, sobald er für die allgemeine Öffentlichkeit verfügbar ist.)

Am 3. Dezember 2015 wurde Let's Encrypt (Beta-Version) für die breite Öffentlichkeit verfügbar.
Ein Grund, warum ich darauf gestoßen bin, ist, dass es nicht funktioniert!Schau dir alle Probleme an!https://github.com/certbot/certbot/issues und https://community.letsencrypt.org/.Wenn Sie für Ihr Zertifikat bezahlen, erhalten Sie (einige) Unterstützung, und es ist manuell, also nichts zu brechen.
Fünf antworten:
#1
+86
Simone Carletti
2016-03-02 05:15:53 UTC
view on stackexchange narkive permalink

Let's Encrypt ist eine Zertifizierungsstelle, und sie haben mehr oder weniger die gleichen Berechtigungen und Befugnisse wie jede andere auf dem Markt vorhandene (und größere) Zertifizierungsstelle.

Ab heute ist das Hauptziel ein Nachteil Die Verwendung eines Let's Encrypt-Zertifikats ist kompatibel. Dies ist ein Problem, mit dem jede neue Zertifizierungsstelle konfrontiert ist, wenn sie sich dem Markt nähert.

Damit ein Zertifikat vertrauenswürdig ist, muss es von einem Zertifikat signiert sein, das zu einer vertrauenswürdigen Zertifizierungsstelle gehört. Um vertrauenswürdig zu sein, muss eine Zertifizierungsstelle das Signaturzertifikat im Browser / Betriebssystem gebündelt haben. Eine Zertifizierungsstelle, die heute auf den Markt kommt, sofern sie ab Tag 0 für das Stammzertifikatprogramm jedes Browsers / Betriebssystems zugelassen ist (was unmöglich ist), wird in die aktuellen Versionen der verschiedenen Browser / Betriebssysteme aufgenommen. Sie können jedoch nicht in ältere (und bereits veröffentlichte) Versionen aufgenommen werden.

Mit anderen Worten, wenn ein CA Foo am Tag 0 dem Root-Programm beitritt, wenn die Google Chrome-Version 48 und 48 ist Max OSX ist 10.7, die Foo-Zertifizierungsstelle ist in keiner Version von Chrome vor 48 oder Mac OSX vor 10.7 enthalten (und vertrauenswürdig). Sie können einer Zertifizierungsstelle nicht rückwirkend vertrauen.

Um das Kompatibilitätsproblem einzuschränken, wurde das Stammzertifikat von Let's Encrypt von einer anderen älteren Zertifizierungsstelle (IdenTrust) signiert. Dies bedeutet, dass ein Client, der kein LE-Stammzertifikat enthält, weiterhin auf IdenTrust zurückgreifen kann und dem Zertifikat in einer idealen Welt vertraut wird. Tatsächlich scheint es verschiedene Fälle zu geben, in denen dies derzeit nicht der Fall ist (Java, Windows XP, iTunes und andere Umgebungen). Daher ist dies der Hauptnachteil der Verwendung eines Let's Encrypt-Zertifikats: eine geringere Kompatibilität im Vergleich zu anderen älteren Wettbewerbern.

Neben der Kompatibilität hängen andere mögliche Nachteile im Wesentlichen mit der Ausstellungsrichtlinie von Let's Encrypt und ihren Geschäftsentscheidungen zusammen. Wie bei jedem anderen Dienst bieten sie möglicherweise einige der von Ihnen benötigten Funktionen nicht an.

Hier sind einige bemerkenswerte Unterschiede von Let's Encrypt im Vergleich zu anderen Zertifizierungsstellen ( Ich habe auch einen Artikel darüber geschrieben):

  • LE Zertifikate haben einen Ablauf von 90 Tagen.
  • LE stellt nur domänen- oder DNS-validierte Zertifikate aus (sie planen nicht, OV oder EV auszustellen, daher validieren sie nur den Besitz und nicht die Entität, die das Zertifikat anfordert)
  • Aktuelle sehr restriktive del> Ratenbegrenzung † sup> (sie werden die Grenze weiter lockern, während sie sich dem nähern Ende der Beta) del>

Die obigen Punkte sind nicht unbedingt Nachteile. Es handelt sich jedoch um Geschäftsentscheidungen, die möglicherweise nicht Ihren spezifischen Anforderungen entsprechen. In diesem Fall stellen sie im Vergleich zu anderen Alternativen Nachteile dar.


† sup> Das Hauptratenlimit ist 20 Zertifikate pro registrierter Domain pro Woche. Dies beschränkt jedoch nicht die Anzahl der Verlängerungen, die Sie pro Woche durchführen können.

Mit Sicherheit die beste und objektivste Antwort.Auch eine gute Erklärung des Vertrauensproblems.
Platzhalterzertifikate für Let's encrypt kommen im Januar 2018 https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html
Es wurde festgestellt, dass das Zertifikat von Let's Encrypt Authority an * .stackexchange.com ausgestellt wurde :)
#2
+20
Romeo Ninov
2015-06-06 20:02:15 UTC
view on stackexchange narkive permalink

Der Grund für die Verwendung von Let's Encrypt kann der Preis sein. Diese Zertifikate sind kostenlos.

Ich sehe jedoch einen möglichen Nachteil für nicht kleine Websites. Big CA bietet Wildcard-Zertifikate und Extended Validation-Zertifikate an, die (aus meiner Sicht) einige Vorteile haben. Darüber hinaus richtet sich dieses Programm an Webserver. Was ist jedoch, wenn Sie einen Anwendungsserver haben oder den Mailserver sichern möchten?

Update : Derzeit ist es möglich, ein Zertifikat anzufordern, das nicht an dieses gebunden ist Webserver. Mein letztes Argument ist also nicht mehr gültig. Hier ist ein Beispiel für die Verwendung dieser Option:

  ./letsencrypt-auto certonly --standalone -d example.com  

Update2 : Ab Januar 2018 werden Let's Encrypt Wildcard-Zertifikate ausstellen.

Wildcard-Zertifikate Ab Januar 2018

6. Juli 2017 • Josh Aas, ISRG-Geschäftsführer

Let's Encrypt wird im Januar 2018 mit der Ausstellung von Platzhalterzertifikaten beginnen. Platzhalterzertifikate sind eine häufig angeforderte Funktion, und wir wissen, dass es einige Anwendungsfälle gibt, in denen sie die HTTPS-Bereitstellung erleichtern. Wir hoffen, dass das Anbieten von Platzhaltern dazu beiträgt, den Fortschritt des Webs in Richtung 100% HTTPS zu beschleunigen.

Ein weiteres Argument ist also nicht mehr gültig.

Gute Punkte zu erweiterten Validierungszertifikaten und die Unterstützung von Let's Encrypt für Anwendungsserver sind nicht klar. Gibt es in Bezug auf Platzhalterzertifikate irgendwelche Vorteile gegenüber der Anzahl der Let's Encrypt-Zertifikate? Ich denke, eine davon ist, dass Sie keine für * jede * Subdomain oder zukünftige neue einrichten müssen. Lassen Sie mich wissen, wenn Sie weitere Vorteile sehen. Vielen Dank
@DolanAntenucci, mit Platzhalterzertifikat können Sie die Bereitstellung über den gesamten Serverbereich vereinfachen. Und (nur zum Beispiel) ich sehe auf der Seite des Programms demonstrierten Debian / Ubuntu-Befehl (Hoffnung wird für andere Distributionen wie SuSE und RHEL / CentOS sein). Vielleicht gibt es ein solches Instrument für * BSD. Aber was ist mit Solaris x86, Windows? Für Subdomains - Dies kann ein Nachteil des Platzhalterzertifikats sein, da sie nur in einer Domain funktionieren können, d. H. * Example.com dient nicht romeo.ninov.example.com. Im Allgemeinen sieht es für mich nach einer guten und weisen Initiative aus, aber mal sehen :)
"Aber was ist, wenn Sie einen Anwendungsserver haben oder den Mailserver sichern möchten?" - Sie fordern das Zertifikat für die entsprechende Domäne an, möglicherweise mit der "Standalone" -Methode, und wenden sie in der Konfiguration des Mailservers an.
@dequis, Sie fordern ein Zertifikat für den Host an, nicht für die Domain. Um für die Domain anwendbar zu sein, sollte ein Platzhalter verwendet werden (was mit diesem Programm nicht möglich ist).
Ich sehe keinen Grund für einen Mailserver, ein Platzhalterzertifikat zu benötigen. Es gibt Leute, die letsencrypt bereits für diesen Zweck verwenden: https://community.letsencrypt.org/t/use-on-non-web-servers/425
Wenn es bereits eine andere Verwendung als das Web gibt, kann ich dies nur bewundern :) Informationen zum Platzhalterzertifikat: Ja, nur für Mailserver ist dies nicht sinnvoll, aber dasselbe Zertifikat kann für andere Server in der Domäne verwendet werden
Sie können mehrere Domains pro Zertifikat anfordern, um ein Zertifikat zu erhalten, das wiki.example.com, mail.example.com, www.example.com, example.com abdeckt. Es werden nur keine Subdomains behandelt, die Sie nicht explizit anfordern / überprüfen
@bobpaul,, um genau zu sein, ist ein Zertifikat für den Host (wenn es kein Platzhalter ist). Und ja, Sie können Zertifikate für alle Hosts definieren, die Sie für die Verwaltung dieser Domäne benötigen
Um ehrlich zu sein, bin ich mir nicht sicher, ob ** alle ** anderen Zertifizierungsstellen (oder sogar diejenigen, die Zertifikate für Geld verkaufen) OV- oder EV-Zertifikate anbieten.Aber wenn Sie mehr als ein domänenvalidiertes Zertifikat wünschen, ist Let's Encrypt natürlich nichts für Sie.
#3
+11
Alasjo
2015-06-06 20:04:13 UTC
view on stackexchange narkive permalink

Ein Nachteil, der große Unternehmen dazu veranlasst, Let's Encrypt nicht in Betracht zu ziehen, besteht darin, dass Besucher, die eine Verbindung zur Site herstellen, nicht sicher sein können, dass es sich um das tatsächliche Unternehmen handelt, das die Site hostet.

Dies liegt an Let's Encrypt-Problemen Zertifikate für eine Domain kostenlos ohne Identitätsprüfung (persönlich oder geschäftlich) ( Let's Encrypt bietet nur Domain-Validierung).

Bearbeitet, um Folgendes hinzuzufügen: Für Für die sichere Übertragung ist dies kein großes Problem. Wenn Sie jedoch überprüfen möchten, ob das tatsächlich gesuchte Unternehmen den Domainnamen enthält, reicht eine whois -Suche möglicherweise nicht aus. Zertifikate der Klassen 2 oder 3 oder EV haben den Vorteil, dass das Unternehmen und die Domäne von der Zertifizierungsstelle überprüft werden.

Ich bin mir nicht sicher, warum große Unternehmen dies nicht wählen werden. Große Unternehmen benötigen mit größerer Wahrscheinlichkeit Platzhalterzertifikate (es gibt Situationen, in denen Sie mit einem Platzhalterzertifikat in IIS nicht umgehen können), und Let's Encrypt beschränkt Sie auf 5 Aktionen / 7 Tage pro Domain. Wenn Sie also viele Server und viele Subdomains haben, kann es möglicherweise schwierig werden, alle Verlängerungen innerhalb von 90 Tagen zu planen. Dies setzt voraus, dass Let's Encrypt niemals einen Fehler erleidet, der Anmeldungen für einige Tage verhindert.
90 Tage schreien nachts, warum die Arbeitsbelastung erhöhen. Außerdem hängen sie von der Zeit ab, nicht von den üblichen CRL-Methoden für den Widerruf, und dies wurde bereits mit einer Entschuldigung ausgenutzt, dass der Widerruf nicht wirklich erforderlich war. Während Sie Ihr eigenes Zertifikat widerrufen können, müssen kriminelle Aktivitäten widerrufen werden.
@Alasjo, Ihre Antwort beinhaltet eine etwas erschreckende Taktik und ist daher etwas unklar.Let's Encrypt stellt DV-Zertifikate nicht frei aus.Sie erfordern wie jede andere Zertifizierungsstelle eine Domänenvalidierung.Es ist richtig, dass große Unternehmen möglicherweise etwas anderes als die Domain-Validierung für ihre Hauptdomain wünschen, aber nicht immer, und die Frage ist auch nicht nur großen Unternehmen vorbehalten.
@GeorgeBailey Sie hatten Recht, dass mein Wortlaut etwas unklar war, und ich habe meine Antwort so bearbeitet, dass sie "kostenlos" und nicht "frei verschenkt" ist.Vielen Dank.Ich habe auch einen Hinweis hinzugefügt, warum ich die Validierung der Identität für nützlich halte.
Um ehrlich zu sein, bin ich mir nicht sicher, ob ** alle ** anderen Zertifizierungsstellen (oder sogar diejenigen, die Zertifikate für Geld verkaufen) OV- oder EV-Zertifikate anbieten.Aber wenn Sie mehr als ein domänenvalidiertes Zertifikat wünschen, ist Let's Encrypt natürlich nichts für Sie.
#4
+2
Chintak Chhapia
2017-09-12 13:46:44 UTC
view on stackexchange narkive permalink

Ein weiteres Problem bei der Verwendung von Let'encrypt besteht darin, dass wir im Unternehmensszenario ein Zertifikat installieren müssen, um auch den Load Balancer und den CDN-Anbieter zu verwenden. Nicht alle CDN-Anbieter verfügen über APIs, um dies automatisch zu ändern. Ab sofort beträgt die Gültigkeit von Let's encrypt 90 Tage, was diesen Vorgang noch komplizierter macht.

#5
-8
encrypto
2018-10-19 00:02:14 UTC
view on stackexchange narkive permalink

Ja, mit Let's Encrypt widerrufen Sie Ihr Recht, Ihr geistiges Eigentum, einschließlich Patent, Marke, Geschäftsgeheimnis oder Urheberrecht, gegen Verstöße durch ISRG zu verteidigen.

https://letsencrypt.org/ Dokumente / LE-SA-v1.1.1-August-1-2016.pdf

WEITERE ERKLÄRUNG IN BEZUG AUF DEN GELTUNGSBEREICH DES HAFTUNGSAUSSCHLUSSES UND OHNE VERZICHT ODER EINSCHRÄNKUNG DES VORANGEGANGENEN ISRG ÜBERNIMMT KEINE GEWÄHRLEISTUNG IN BEZUG AUF IHR RECHT, TECHNOLOGIE, ERFINDUNG, TECHNISCHES DESIGN, VERFAHREN ODER GESCHÄFTSMETHODEN ZU VERWENDEN, DIE IN JEDER AUSGABE VON LET'S CERSCHREIBUNG EINGESETZT WERDEN. SIE BEKRÄFTIGEN UND AUSDRÜCKLICH AUF DAS RECHT, ISRG IN JEDER WEISE VERANTWORTLICH ZU HALTEN, ODER SUCHEN SIE EINE SCHADENSERKLÄRUNG GEGEN ISRG, UM VERLETZUNGEN VON GEISTIGEN EIGENTUMSRECHTEN, EINSCHLIESSLICH PATENT, TRADEMARR, >

Dieser letzte Satz.

Ihre Interpretation ist völlig falsch.Ich könnte die rechtliche Rechtfertigung Zeile für Zeile darlegen, aber dies wäre wirklich für einen Rechtsexperten zum Abwägen, und dafür gibt es law.stackexchange.com.
Um Ihnen zu helfen, stellte ich die Frage: https://law.stackexchange.com/questions/32735/revoking-my-right-to-defend-my-intellectual-property-by-using-lets-encrypt


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...