Let's Encrypt è ottimizzato per l'utilizzo automatico . Esistono interfacce Web e strumenti da riga di comando che puoi utilizzare in manual per convalidare e ottenere i file .pem
del certificato. Tuttavia, ciò è inopportuno e Let's Encrypt certificate scadono dopo 3 mesi .
Tuttavia, molti registrar (ad esempio NameCheap solo per nominarne uno) offrono certificati DV per $ 10 (USD) all'anno . Questo è ottimizzato per l'installazione manuale dei certificati e ti consentirà di rinnovare una volta ogni 3 anni anziché ogni 12 settimane.
Nel peggiore dei casi, stai spendendo $ 10 per risparmiare 1-2 ore di lavoro e tracciamento ogni anno. Nel migliore dei casi ti stai salvando da un inattività accidentale.
Is it secure to have a certificate from Let's Encrypt ?
Sì. Citando @Simone Carletti: "Let's Encrypt è un'autorità di certificazione e hanno più o meno gli stessi privilegi e la stessa potenza di qualsiasi altra autorità di certificazione esistente (e più grande) sul mercato."
Ipoteticamente, se una CA viene compromessa, l'attaccante può firmare i certificati per qualsiasi dominio.
-
I tuoi visitatori potrebbero essere soggetti a MiTM da questo particolare aggressore. Questo è parzialmente mitigato se hai usato Public Pinning . In entrambi i casi, non importa se hai utilizzato la CA compromessa o no . I browser si fidano di tutte le CA allo stesso modo.
-
Una volta individuata la violazione, molti browser smetteranno di fidarsi della CA compromessa. Per quei browser - solo se eri utilizzando la CA compromessa - il tuo sito sarebbe andato giù, niente di più. Passare a un'altra CA per ripristinare il servizio.
La chiave privata e il processo DV possono essere completamente protetti anche dagli attacchi informatici più sofisticati. (eccetto DoS che non è rilevante qui) Sarebbe raro che una CA esponga accidentalmente una vulnerabilità che consente a tale attacco di avere successo . Il punto di errore più probabile diventa l'uomo che lavora nell'azienda, quindi anche una buona struttura organizzativa presso l'AC è importante.
I had gone through the procedure for getting a certificate from Let's Encrypt; What i understand was that i have to install ACME tool or some scripts which will do the jobs automatically for me.
Questo è ciò per cui è ottimizzato, ma esistono soluzioni alternative manuali.
ACME (or similar other scripts) will create a temporary file with some garbage text for checking the domain ownership by Let's Encrypt program. My Server doesn't have this capabilities.
Non lo chiamerei spazzatura lol! Ma sì, questo token casuale è chiamato convalida HTTP di una richiesta di certificato, ed è così che funziona il sistema ACME.
Let's Encrypt potrebbe offrire un modo per utilizzare la convalida DNS, nel qual caso il token casuale viene inserito in un record TXT
.
Tuttavia, le AC tradizionali (rivendute per $ 10 / anno) offrono la convalida dell'email. Questo è quello che uso di solito ed è il più facile da affrontare. Il token casuale è incluso in un link sull'e-mail, quindi è piuttosto facile da usare.