Ci sono dei lati negativi nell'utilizzare Let's Encrypt per i certificati SSL di un sito Web?

69

Per quanto riguarda i vantaggi, vedo numerosi vantaggi nell'utilizzo del servizio Let's Encrypt (ad esempio, il servizio è gratuito, facile da configurare e facile da mantenere). Mi sto chiedendo quali sono gli svantaggi dell'uso di Let's Encrypt? Qualunque motivo per cui gli operatori di siti web - grandi come Twitter o piccoli come un fotografo locale - non dovrebbero prendere in considerazione la possibilità di sostituire i loro servizi SSL esistenti con aziende come GoDaddy con questo servizio?

(Se il servizio non è ancora disponibile, questo svantaggio può essere ignorato - mi chiedo più a proposito degli svantaggi una volta che è disponibile per uso pubblico in generale.)

    
posta Dolan Antenucci 06.06.2015 - 15:54
fonte

5 risposte

71

Let's Encrypt è un'autorità di certificazione e hanno più o meno gli stessi privilegi e la stessa potenza di qualsiasi altra autorità di certificazione esistente (e più grande) sul mercato.

Ad oggi, l'aspetto negativo principale dell'utilizzo di un certificato Let's Encrypt è la compatibilità. Questo è un problema che qualsiasi nuova CA deve affrontare quando si avvicina al mercato.

Affinché un certificato possa essere considerato affidabile, deve essere firmato da un certificato appartenente a una CA attendibile. Per essere attendibile, una CA deve avere il certificato di firma in bundle nel browser / sistema operativo. Una CA che entra nel mercato oggi, supponendo che siano approvate dal programma di certificazione radice di ciascun browser / sistema operativo dal giorno 0 (che è impossibile), sarà inclusa nelle versioni correnti dei vari browser / OS. Tuttavia, non potranno essere inclusi nelle versioni precedenti (e già rilasciate).

In altre parole, se un CA Foo si unisce al root del Day 0 quando la versione di Google Chrome è 48 e Max OSX è 10.7, la CA Foo non sarà inclusa (e attendibile) in nessuna versione di Chrome precedente alla 48 o Mac OSX precedente alla 10.7. Non puoi fidarti retroattivamente di una CA.

Per limitare il problema di compatibilità, Let's Encrypt ha ottenuto il proprio certificato di origine firmato da un'altra CA più vecchia (IdenTrust). Ciò significa che un client che non include il certificato di origine LE può ancora eseguire il fallback su IdenTrust e il certificato sarà considerato affidabile ... in un mondo ideale. In effetti, sembra che ci siano vari casi in cui questo non sta accadendo attualmente (Java, Windows XP, iTunes e altri ambienti ). Pertanto, questo è il principale svantaggio dell'uso del certificato Let's Encrypt: una compatibilità ridotta rispetto ad altri concorrenti più vecchi.

Oltre alla compatibilità, altri possibili svantaggi sono essenzialmente legati alla politica di emissione di Let's Encrypt e alle loro decisioni di business. Come qualsiasi altro servizio, potrebbero non offrire alcune funzionalità di cui hai bisogno.

Ecco alcune notevoli differenze di Let's Encrypt rispetto ad altre CA ( Ho anche scritto un articolo su di loro ):

I punti sopra non sono necessariamente aspetti negativi. Tuttavia, sono decisioni aziendali che potrebbero non soddisfare i tuoi requisiti specifici e in tal caso rappresenteranno aspetti negativi rispetto ad altre alternative.

il limite massimo è di 20 certs per dominio registrato a settimana. Tuttavia questo non limita il numero di rinnovi che puoi rilasciare ogni settimana.

    
risposta data 02.03.2016 - 00:15
fonte
16

Il motivo per usare Let's Encrypt può essere il prezzo. Questi certificati saranno gratuiti.

Ma vedo uno dei possibili svantaggi per i siti Web non di piccole dimensioni. Big CA offre certificati jolly, certificati di convalida estesa che presentano alcuni vantaggi (dal mio punto di vista). Inoltre questo programma è indirizzato ai server Web, ma cosa succede se si dispone di un server di applicazioni o si desidera proteggere il server di posta

Aggiornamento : attualmente è possibile richiedere il certificato, non associato ai server web. Quindi il mio ultimo argomento non è più valido. ecco alcuni esempi di utilizzo di questa opzione:

./letsencrypt-auto certonly --standalone -d example.com

Update2 : da gennaio 2018 Let's Encrypt inizierà a emettere certificati jolly

Wildcard Certificates Coming January 2018

Jul 6, 2017 • Josh Aas, ISRG Executive Director

Let’s Encrypt will begin issuing wildcard certificates in January of 2018. Wildcard certificates are a commonly requested feature and we understand that there are some use cases where they make HTTPS deployment easier. Our hope is that offering wildcards will help to accelerate the Web’s progress towards 100% HTTPS.

Quindi un altro argomento non è più valido.

    
risposta data 06.06.2015 - 17:02
fonte
11

Uno svantaggio che rende le grandi aziende non considerate Let's Encrypt è che i visitatori che si connettono al sito non possono essere sicuri che sia la società reale che ospita il sito.

Questo perché Let's Encrypt emette certificati gratuiti per un dominio senza convalida dell'identità (personale o aziendale) ( Let's Encrypt offre solo la convalida del dominio ).

Modificato per aggiungere: Ai fini della trasmissione sicura, questo non è un grosso problema. Ma, se vuoi verificare che sia la società che stavi cercando che detiene il nome di dominio, una ricerca whois potrebbe non essere sufficiente. I certificati di Classe 2 o 3 o EV presentano il vantaggio che l'azienda e il dominio sono verificati dall'autorità di certificazione.

    
risposta data 06.06.2015 - 17:04
fonte
1

Un altro problema con l'uso di Let'encrypt è che nello scenario aziendale è necessario installare il certificato per caricare il bilanciatore e il provider CDN. Non tutti i provider CDN dispongono di API per modificarlo automaticamente. Inoltre, la validità di encrypt di ora è di 90 giorni, il che complica ulteriormente questo processo.

    
risposta data 12.09.2017 - 10:46
fonte
-5

Sì, utilizzando Let's Encrypt revochi il tuo diritto a difendere la tua proprietà intellettuale, inclusi brevetti, marchi, segreti commerciali o diritti d'autore contro la violazione da parte dell'ISRG.

link

BY WAY OF FURTHER EXPLANATION REGARDING THE SCOPE OF THE DISCLAIMER, AND WITHOUT WAIVING OR LIMITING THE FOREGOING IN ANY WAY, ISRG DOES NOT MAKE, AND ISRG EXPRESSLY DISCLAIMS, ANY WARRANTY REGARDING ITS RIGHT TO USE ANY TECHNOLOGY, INVENTION, TECHNICAL DESIGN, PROCESS, OR BUSINESS METHOD USED IN EITHER ISSUING LET’S ENCRYPT CERTIFICATES OR PROVIDING ANY OF ISRG’S SERVICES. YOU AFFIRMATIVELY AND EXPRESSLY WAIVE THE RIGHT TO HOLD ISRG RESPONSIBLE IN ANY WAY, OR SEEK INDEMNIFICATION AGAINST ISRG, FOR ANY INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS, INCLUDING PATENT, TRADEMARK, TRADE SECRET, OR COPYRIGHT.

Quest'ultima frase.

    
risposta data 18.10.2018 - 21:02
fonte