Quanto è sicuro "Let's Encrypt"? [duplicare]

Naviga le tue risposte
18

Ho appena configurato e installato un certificato SSL gratuito da Let's Encrypt . È fantastico e molto semplice da configurare.

Tuttavia, in questa era post-Snowden, mi chiedevo quanto fosse sicuro. Ad esempio, la procedura non ti chiede mai di creare una chiave privata, ma crea magicamente una per te. È fantastico e tutto, ma qualcuno ha mai visto quanto è sicuro?

Nota: ho visto domande correlate come questo . Tuttavia, si tratta di quanto sia sicuro il "processo" (contro l'hacking) e si presume che i certificati siano sicuri di per sé. Sono più preoccupato per la sicurezza del certificato e la conseguente crittografia.

    
posta geert3 04.12.2015 - 11:46
fonte

2 risposte

12

Prova "acme-tiny"

Esiste un'alternativa "Let's encrypt" -client project chiamato "acme-tiny".

È meno automatizzato, ma più piccolo. Con parole proprie :

This is a tiny, auditable script that you can throw on your server to issue and renew Let's Encrypt certificates. Since it has to be run on your server and have access to your private Let's Encrypt account key, I tried to make it as tiny as possible (currently less than 200 lines). The only prerequisites are python and openssl.

Inoltre: client normale in modalità manuale.

Se ti fidi del client di crittografia generale, ma desideri solo creare manualmente il CSR, puoi seguire i passaggi descritti qui:

E il cuore di questa idea è questa linea: 

letsencrypt certonly \
    --authenticator manual \
    --server https://acme-v01.api.letsencrypt.org/directory --text \
    --email [email protected] \
    --csr signreq.der
    
risposta data 05.12.2015 - 11:45
fonte
3

For instance the procedure never asks you to create a private key, instead they magically create one for you.

So che la crittografia è magica, ma in questo caso è anche sicura ...: -)

Perché quando si utilizza il client Let's Encrypt la coppia di chiavi viene generata localmente sul server e non invia a Let's Encrypt servers * - a differenza di altre CA commerciali che generano / fanno la chiave coppia sui propri server. Se dubiti, dovresti controllare l'origine del client che stai utilizzando.

I'm more worried about about security of the certificate and the resulting encryption.

La "crittografia risultante" dipende interamente dal tuo certificato & configurazione ssl / tls e non dipende dalla CA che usi (= Let's Encrypt). Poiché il client LE ufficiale crea certificati a 2048 bit, posso dire che sono sicuri. Tutto il resto dipende dalla config .

* Ci sono alcune eccezioni attraverso, ma queste sono molto rare. Ci sono alcuni client del browser web, che generano la chiave privata nel tuo browser, ma puoi facilmente eluderlo: usa un vero client (offline) o per es. fallo manualmente con link .

    
risposta data 20.07.2016 - 20:00
fonte

Leggi altre domande sui tag

Segreto condiviso distribuito per RNG che solo il Distributore conosce? Quali metodi di attacco per attacchi HTTP / L7 (Reflection e Co.) conosci [chiuso]