Pertanyaan Adakah alasan untuk menggunakan sertifikat SSL selain dari SSL gratis Let's Encrypt?


Let's Encrypt memberikan sertifikat SSL gratis. Apakah ada kerugian dibandingkan dengan sertifikat berbayar lainnya, mis. Manajer Sertifikat AWS?


133
2017-08-18 09:29




Saya telah menghapus sebagian besar komentar mengenai perdebatan tanpa arti jika LE pada dasarnya kurang dapat dipercaya karena sifatnya yang bebas. - Sven♦


Jawaban:


Umur sertifikat

Keamanan

Masa hidup yang lebih pendek lebih baik. Hanya karena pencabutan sebagian besar bersifat teoretis, dalam praktiknya tidak dapat diandalkan (kelemahan besar dalam ekosistem PKI publik).

Pengelolaan

Tanpa otomatisasi: Umur lebih panjang lebih nyaman. LE mungkin tidak layak jika Anda, karena alasan apa pun, tidak dapat mengotomatiskan pengelolaan sertifikat
Dengan otomatisasi: Masa hidup tidak masalah.

Kesan pengguna akhir

Pengguna akhir kemungkinan tidak memiliki ide apa pun.

Tingkat verifikasi

Keamanan

Letsencrypt hanya menyediakan verifikasi level DV.
Membeli sertifikat, Anda mendapatkan apa pun yang Anda bayar (mulai dari DV, dengan tingkat pernyataan yang sama seperti LE).

DV = hanya kontrol nama domain yang diverifikasi.
OV = informasi entitas pemilik (organisasi) diverifikasi sebagai tambahan.
EV = versi OV yang lebih lengkap, yang secara tradisional telah dianugerahi "bar hijau" (tetapi "bar hijau" tampaknya akan segera hilang).

Pengelolaan

Ketika menggunakan LE, pekerjaan yang Anda masukkan adalah pengaturan otomatisasi yang diperlukan (dalam konteks ini, untuk membuktikan kontrol domain). Berapa banyak pekerjaan yang akan bergantung pada lingkungan Anda.

Ketika membeli sertifikat, level DV / OV / EV akan menentukan berapa banyak pekerjaan manual yang diperlukan untuk mendapatkan sertifikat. Untuk DV itu biasanya bermuara melalui wizard yang membayar dan menyalin / menyisipkan sesuatu atau mengklik sesuatu, untuk OV dan EV Anda cukup banyak mengandalkan perlu dihubungi secara terpisah untuk melakukan langkah-langkah tambahan untuk mengkonfirmasi identitas Anda.

Kesan pengguna akhir

Pengguna akhir mungkin mengenali EV "bar hijau" saat ini (yang akan pergi), selain itu mereka tidak cenderung untuk benar-benar melihat isi sertifikat.
Secara teoritis, meskipun, jelas lebih bermanfaat dengan sertifikat yang menyatakan informasi tentang entitas pengendali. Tetapi browser (atau aplikasi klien lainnya) harus mulai benar-benar menunjukkan ini dengan cara yang bermanfaat sebelum itu memiliki efek apa pun bagi pengguna biasa.

Instalasi

Keamanan

Adalah mungkin untuk melakukan hal-hal yang salah dengan cara-cara yang mengekspos kunci privat atau yang serupa. Dengan LE, perkakas yang disediakan diatur di sekitar praktik yang wajar.
Dengan orang yang tahu apa yang mereka lakukan, langkah manual jelas juga bisa dilakukan dengan aman.

Pengelolaan

LE sangat dimaksudkan untuk memiliki semua proses otomatis, layanan mereka sepenuhnya berbasis API dan umur pendek juga mencerminkan bagaimana semuanya berpusat di sekitar otomatisasi.

Ketika membeli sertifikat, bahkan dengan CA yang menyediakan API untuk pelanggan reguler (tidak benar-benar normal pada saat ini) akan sulit untuk secara otomatis mengotomatisasi apa pun selain DV dan dengan DV Anda membayar untuk hal yang pada dasarnya sama dengan yang diberikan oleh LE.
Jika Anda memilih level OV atau EV, Anda mungkin hanya dapat mengotomatiskan sebagian prosesnya.

Kesan pengguna akhir

Jika instalasi dilakukan dengan benar, pengguna akhir jelas tidak akan tahu bagaimana hal itu dilakukan. Kemungkinan mengacaukan segalanya (misalnya, lupa untuk memperbarui atau melakukan pemasangan secara tidak benar saat memperbarui) kurang dengan proses otomatis.

Secara keseluruhan

Cara tradisional untuk membeli sertifikat sangat berguna jika Anda menginginkan sertifikat OV / EV, tidak mengotomatisasi manajemen sertifikat atau ingin sertifikat digunakan dalam konteks lain selain HTTPS.


118
2017-08-18 12:46



Dalam beberapa kasus ada aspek asuransi, jika terjadi kompromi sisi CA. - John Keates
Apakah Anda memiliki sumber di EV pergi? - Puddingfox
@Puddingfox Poin bagus. Saya harus mencari status saat ini dan mungkin memenuhi syarat lebih jika diperlukan. Yang mengatakan, itu bukan sertifikat EV yang akan pergi tetapi indikator antarmuka browser "bar hijau" terkait. - Håkan Lindqvist
Dalam pengalaman saya, Anda juga dapat menggunakan Lets Encrypt for mail, jadi cukup fleksibel untuk tujuan itu. - Manngo
@kloddant Huh. Anda akan menjalankan skrip lebih dari satu kali per periode pembaruan, dan tentu saja seperti proses otomatis lainnya, perlu pemantauan (yang memicu sebelum sertifikat kedaluwarsa). - Jonas Schäfer


Dari perspektif teknis murni:

  • Fakta bahwa sertifikat hanya berlaku selama 3 bulan. Dapat menjadi gangguan untuk mempertahankan tergantung pada prosedur dan infrastruktur manajemen perubahan Anda.
  • Tujuan sertifikat Let's Encrypt terbatas. Anda tidak dapat menggunakannya untuk email Anda, penandatanganan kode atau timestamping.
    Periksa dengan: openssl x509 -in cert.pem -noout -text

    Penggunaan Kunci Diperpanjang X509v3:
                  Autentikasi Server Web TLS, Autentikasi Klien Web TLS

Dari perspektif pengguna akhir:


75
2017-08-18 11:47



Perhatikan bahwa Chrome secara aktif bergerak menunjukkan tidak ada yang istimewa untuk HTTPS sama sekali dan rilis besar OSX dan iOS berikutnya akan melihat Safari tidak menunjukkan sesuatu yang istimewa untuk EV. Tampaknya vendor browser utama bergerak menjauh dari EV. Banyak situs web teratas bahkan tidak menggunakannya. - Greg W
Mengenai titik yang dibuat tentang manajemen perubahan, ide di balik 3 bulan umur adalah bahwa proses mendapatkan dan memperbarui sertifikat dimaksudkan untuk sepenuhnya otomatis. Yaitu, jika digunakan sebagaimana dimaksud, itu perubahan akan menyiapkan otomatisasi itu, tidak berulang kali menginstal sertifikat secara manual. Tetapi jika ada kebijakan untuk mengotomatisasi itu, mungkin itu akan membuatnya tidak ada jalan. - Håkan Lindqvist
Autentikasi Server Web TLS cukup untuk mengamankan, mis. Server SMTP, IMAP, POP3. Ini tidak berlaku untuk S / MIME sekalipun. - Michael Hampton♦
Untuk para komentator - harap dicatat bahwa yang di atas adalah a komunitas wiki dimaksudkan untuk diedit oleh siapa saja - HBruijn
@ ripper234 Maksud Anda seperti situs web yang serius / pengguna menghadap ke serverfault.com yang sedang Anda gunakan saat ini? Situs ini tidak menggunakan sertifikat EV. Tidak juga google.com. Atau microsoft.com. Atau cisco.com. Dan browser menghapus secara bertahap bilah hijau. Jika sertifikat EV penting bagi Anda, dengan segala cara bayar untuk itu, tetapi pasti banyak situs yang penting dan yang dihadapi pengguna telah sampai pada kesimpulan yang berbeda tentang nilainya. - Zach Lipton


Saya ingin menawarkan beberapa titik tandingan untuk argumen yang digunakan terhadap Let's Encrypt di sini.

Masa hidup yang singkat

Ya, mereka memiliki masa hidup yang singkat seperti yang dijelaskan di faq: https://letsencrypt.org/2015/11/09/why-90-days.html Untuk mengutip halaman:

  1. Mereka membatasi kerusakan dari kompromi kunci dan mis-issuance. Kunci yang dicuri dan sertifikat yang salah keluarkan berlaku untuk jangka waktu yang lebih pendek.

  2. Mereka mendorong otomatisasi, yang sangat penting untuk kemudahan penggunaan. Jika kami akan memindahkan seluruh Web ke HTTPS, kami tidak bisa   terus mengharapkan administrator sistem untuk menangani pembaruan secara manual.   Setelah penerbitan dan pembaruan dilakukan secara otomatis, masa hidup yang lebih pendek tidak akan menjadi   kurang nyaman daripada yang lebih lama.

Kekurangan EV

Tidak ada rencana untuk dukungan EV. Alasannya (dari https://community.letsencrypt.org/t/plans-for-extended-validation/409) aku s:

Kami berharap Enkripsi Enkripsi tidak mendukung EV, karena proses EV akan selalu membutuhkan upaya manusia, yang mengharuskan seseorang membayar. Model kami adalah mengeluarkan sertifikat gratis, yang memerlukan otomatisasi tingkat yang tampaknya tidak kompatibel dengan EV.

Selain itu ada beberapa yang percaya bahwa EV berbahaya, seperti blogpost ini (https://stripe.ian.sh/):

James Burton, misalnya, baru-baru ini memperoleh sertifikat EV untuk perusahaannya "Identity Verified". Sayangnya, pengguna sama sekali tidak diperlengkapi untuk berurusan dengan nuansa entitas ini, dan ini menciptakan vektor yang signifikan untuk phishing.

Contoh dunia nyata klasik dari ini adalah sslstrip. Homograph situs dengan sertifikat yang dibeli secara sah adalah serangan dunia nyata yang EV tidak memberikan pertahanan yang cukup saat ini.


30
2017-08-18 12:43





Kecuali Anda membutuhkan sertifikat untuk sesuatu selain web, tidak ada nyata kerugian, tapi pasti dirasakan satu. Meskipun masalah hanya dirasakan, sebagai pemilik situs web Anda mungkin tidak memiliki pilihan lain selain untuk mengatasinya (jika kepentingan bisnis melarang menampilkan jari tengah).

Satu kelemahan terbesar adalah, untuk saat ini, situs Anda akan ditampilkan sebagai agak inferior, mungkin berbahaya karena tidak memiliki lencana hijau bagus yang dimiliki beberapa situs lain. Apa arti lencana itu? Tidak ada apa-apa. Tetapi itu benar menyarankan bahwa situs Anda "aman" (beberapa browser bahkan menggunakan kata yang sama persis). Sayangnya, pengguna adalah orang-orang, dan orang-orang bodoh. Salah satu atau lainnya akan menjadikan situs Anda tidak dapat dipercaya (tanpa memahami implikasinya) hanya karena browser tidak mengatakan itu aman.

Jika mengabaikan pelanggan / pengunjung ini adalah kemungkinan yang sah, tidak ada masalah. Jika Anda tidak mampu membeli bisnis itu, Anda akan harus menghabiskan uang. Tidak ada pilihan lain.

Masalah yang dirasakan lainnya adalah tentang umur sertifikat. Tetapi sebenarnya ini merupakan keuntungan, bukan kerugian. Validitas yang lebih pendek berarti bahwa sertifikat harus diperbarui lebih sering, baik sisi server, dan sisi-klien, baik-baik saja.
Adapun sisi server, ini terjadi dengan cron pekerjaan, jadi sebenarnya kurang repot dan lebih terpercaya dari biasanya. Tidak mungkin Anda bisa lupa, tidak ada cara untuk terlambat, tidak ada cara untuk secara kebetulan melakukan sesuatu yang salah, tidak perlu login dengan akun administrasi (... lebih dari sekali). Di sisi klien, jadi apa. Browser memperbarui sertifikat setiap saat, itu bukan masalah besar. Pengguna bahkan tidak tahu itu terjadi. Ada sedikit lebih banyak lalu lintas yang bisa didapat ketika memperbarui setiap 3 bulan, bukan setiap 2 tahun, tapi serius ... bahwa bukan masalah.


5
2017-08-20 13:58



@ HåkanLindqvist: Itulah masalah sebenarnya. Saya dapat mengatur situs malware dan menghabiskan $ 5,99, dan rata-rata pengguna akan mempercayai konten malware saya karena mengatakan "aman". Pengguna yang sama tidak akan mempercayai situs Anda yang sepenuhnya tidak berbahaya dan sah dengan sertifikat yang mengenkripsi-kan. Karena, yah, itu tidak aman. Namun sayang, ini adalah hal-hal yang tidak bisa Anda ubah. - Damon
Sertifikat LE hanya contoh dari sertifikat DV, meskipun (yang kemungkinan besar semua yang Anda dapatkan hanya $ 5,99). Sertifikat LE tampil sebagai "Aman" di browser saat ini. - Håkan Lindqvist
apakah Anda menganggap server email sebagai bagian dari web? sertifikat letsencrypt tidak cukup bagi saya karena saya harus menjalankan server email saya sendiri - hanshenrik
@hanshenrik Anda dapat menggunakan LE baik-baik saja dengan server email. Sebagai contoh, saya gunakan github.com/hlandau/acme Mari Enkripsi klien tidak hanya untuk HTTPS saya, tetapi juga untuk TLS di SMTP, IMAP, POP3, XMPP ... - Matija Nalis
@hanshenrik - Saya menjalankan sertifikat LE untuk server email saya: tidak ada masalah sama sekali - warren


Ada dua kelompok kerugian yang patut dipertimbangkan.

1. Kelemahan untuk menggunakan layanan Let's Encrypt

Let's Encrypt mensyaratkan bahwa nama yang tepat, atau (sub-) domain jika Anda meminta wildcard, ada di DNS Internet publik. Bahkan jika Anda membuktikan kontrol atas example.com, Let's Encrypt tidak akan mengeluarkan sertifikat untuk some.other.name.in.example.com tanpa melihatnya di DNS publik. Mesin yang dinamai tidak perlu memiliki catatan alamat publik, mereka dapat dimatikan, atau bahkan terputus secara fisik, tetapi nama DNS publik harus ada.

Mari Enkripsi masa berlaku sertifikat 90 hari berarti Anda perlu mengotomatiskan karena tidak ada yang punya waktu untuk itu. Ini sebenarnya maksud dari layanan - untuk menggiring orang-orang ke arah mengotomatisasi pekerjaan penting ini daripada melakukan hal itu secara manual sambil mengotomatiskan banyak tugas yang lebih sulit. Tetapi jika Anda tidak dapat mengotomatisasi untuk alasan apapun itu negatif - jika Anda memiliki alat, peralatan atau apa pun yang memblokir otomatisasi mempertimbangkan biaya sertifikasi SSL komersial sebagai bagian dari biaya berkelanjutan dari alat-alat / peralatan / apa pun dalam perencanaan biaya. Sebaliknya, penghematan simpanan dari tidak perlu membeli sertifikat komersial dalam penetapan harga alat / peralatan baru / etcetera yang mengotomatisasi ini (dengan Let's Encrypt or not)

The Let's Encrypt bukti otomatisasi kontrol mungkin tidak sesuai dengan aturan organisasi Anda. Sebagai contoh jika Anda memiliki karyawan yang diizinkan untuk mengkonfigurasi ulang Apache tetapi tidak harus mendapatkan sertifikat SSL untuk nama domain perusahaan, maka Let's Encrypt tidak sesuai. Perhatikan bahwa dalam kasus ini hanya tidak menggunakan mereka adalah Wrong Thing (TM) Anda harus menggunakan CAA untuk secara eksplisit menonaktifkan Let's Encrypt untuk domain Anda.

Jika kebijakan Let's Encrypt menolak Anda, satu-satunya "pengadilan banding" adalah untuk bertanya di forum publik dan berharap salah satu staf mereka dapat menawarkan jalan ke depan. Ini dapat terjadi jika, misalnya, situs Anda memiliki nama DNS yang diputuskan sistem mereka "sangat mirip" dengan properti terkenal tertentu seperti bank besar atau Google. Untuk alasan yang masuk akal, kebijakan yang tepat dari masing-masing CA publik dalam hal ini tidak terbuka untuk pengawasan publik sehingga Anda mungkin hanya menyadari bahwa Anda tidak dapat memiliki sertifikat Let's Encrypt saat Anda memintanya dan mendapatkan respons "Kebijakan melarang ...".

2. Kelemahan pada sertifikat Let's Encrypt itu sendiri

Let's Encrypt sertifikat dipercaya oleh browser web besar hari ini melalui ISRG (amal yang menyediakan layanan Let's Encrypt) tetapi sistem yang lebih lama mempercayai Let's Encrypt melalui IdenTrust, Otoritas Sertifikat yang relatif tidak jelas yang mengontrol "DST Root CA X3". Ini menyelesaikan pekerjaan bagi kebanyakan orang, tetapi itu bukan akar tepercaya yang paling luas di dunia. Misalnya konsol Nintendo WiiU yang ditinggalkan memiliki browser web, yang jelas Nintendo tidak akan mengirimkan pembaruan untuk WiiU dan karena browser itu ditinggalkan, itu tidak mempercayai Let's Encrypt.

Mari Mengenkripsi hanya masalah sertifikat untuk PKI Web - server dengan nama Internet yang menggunakan protokol SSL / TLS. Jadi itulah Web jelas, dan IMAP Anda, SMTP, beberapa jenis server VPN, puluhan hal, tetapi tidak semuanya. Secara khusus, Let's Encrypt tidak menawarkan sertifikat sama sekali untuk S / MIME (cara untuk mengenkripsi email saat istirahat, bukan hanya ketika sedang transit) atau untuk penandatanganan kode atau penandatanganan dokumen. Jika Anda menginginkan "one stop shop" untuk sertifikat, ini mungkin cukup alasan untuk tidak menggunakan Let's Encrypt.

Bahkan di Web PKI, Let's Encrypt hanya menawarkan sertifikat "DV", yang berarti setiap detail tentang diri Anda atau organisasi Anda selain FQDN tidak disebutkan dalam sertifikat. Bahkan jika Anda menuliskannya ke dalam CSR, mereka baru saja dibuang. Ini mungkin merupakan pemblokir untuk beberapa aplikasi khusus.

Mari Mengenkripsi otomasi berarti Anda dibatasi oleh apa yang dimungkinkan oleh otomatisasi bahkan jika tidak ada alasan lain mengapa Anda tidak dapat memiliki sesuatu. Jenis kunci publik baru, ekstensi X.509 baru, dan tambahan lainnya harus secara eksplisit diaktifkan oleh Let's Encrypt di timeline mereka sendiri, dan tentu saja Anda tidak bisa hanya menawarkan untuk membayar ekstra untuk mendapatkan fitur yang Anda inginkan meskipun sumbangan diterima.

Namun demikian, bagi hampir semua orang, hampir selalu, Let's Encrypt adalah pilihan pertama yang baik untuk menempatkan sertifikat pada server TLS Anda dengan cara api-dan-lupa. Dimulai dengan asumsi bahwa Anda akan menggunakan Let's Encrypt adalah cara yang masuk akal untuk mendekati keputusan ini.


5
2017-08-26 11:07



Saya heran jika tidak mendukung Nintendo WiiU adalah masalah besar, mengingat betapa sedikit situs web yang dapat ditampilkan browser dengan benar. - Dmitry Grigoryev
Anda menyebutkan kerugian dari "bukti otomatisasi kontrol", tetapi dalam pengalaman saya, setiap sertifikat DV akan diverifikasi dengan skema yang sangat mirip pula. Contohnya, inilah metode yang ditawarkan Comodo, yang mencakup pendekatan berbasis HTTP yang sangat mirip ACME. Melindungi terhadap pendaftaran nakal mungkin sebaiknya dikelola dengan memantau log Transparansi Sertifikat. - IMSoP
Menonton monitor CT adalah ide yang bagus dalam situasi seperti ini, dan ya, hanya ada Sepuluh Metode Berbahagialah (yang sebenarnya saat ini saya pikir 8 atau 9 metode yang sebenarnya) jadi dari satu CA ke yang lain Anda hanya akan melihat campuran metode yang berbeda dan beberapa variasi dalam cara kerjanya. Namun, perbedaan metode mana yang ditawarkan, potensi untuk memiliki kewajiban kontraktual untuk menggunakan metode yang Anda sukai dan bahkan ide teknis seperti menambahkan bidang CAA untuk menunjukkan metode mana yang diizinkan bervariasi menurut CA, dan dapat berarti tidak masuk akal untuk menggunakan Let's Encrypt. - tialaramex
Sebagai contoh konkret: Facebook memiliki kontrak dengan CA komersial besar. Mereka sekarang menggunakan CAA untuk menentukan bahwa hanya CA yang dapat mengeluarkan sertifikat untuk domain utama mereka seperti facebook.com dan fb.com; syarat kontrak memastikan tim keamanan teknis internal Facebook harus menghapus setiap sertifikat baru. CA masih harus menggunakan salah satu dari Sepuluh Metode Berbahagialah tetapi kontrak mengharuskan mereka juga untuk menelepon Keamanan Facebook. - tialaramex


Saya akan menambahkan satu yang memaksa perusahaan saya menjauh dari Lets Encrypt: pembatasan laju API. Karena masa hidup yang singkat dan kurangnya dukungan wildcard, sangat mudah untuk mendekati batas laju selama operasi otomatis yang normal (pembaruan otomatis, dll.). Mencoba menambahkan subdomain baru dapat mendorong Anda melewati batas nilai, dan LE tidak memiliki cara untuk secara manual mengganti batas sekali klik. Jika Anda tidak mencadangkan sertifikat lama (siapa yang akan melakukannya dalam lingkungan microservices otomatis, seperti-awan seperti LE envisions?), Semua situs yang terpengaruh menjadi offline karena LE tidak akan menerbitkan ulang sertifikat.

Ketika kami menyadari apa yang terjadi, ada momen "oh $ #! #" Diikuti dengan permintaan sertifikat komersial darurat hanya untuk membuat situs produksi kembali online. Satu dengan jangka waktu 1 tahun yang lebih masuk akal. Sampai LE menerapkan dukungan wildcard yang tepat (dan bahkan kemudian), kami akan sangat berhati-hati terhadap penawaran mereka.

Tl; dr: LE wildcard + batas API membuat pengelolaan sesuatu yang lebih rumit daripada "My Personal Homepage" tidak terduga menantang, dan mempromosikan praktik keamanan yang buruk di sepanjang jalan.


5
2017-08-23 09:58





Iya nih.

Kelemahan menggunakan Sertifikat SSL gratis atau Mari mengenkripsi -

Masalah Kompatibilitas - Mari kita mengenkripsi Sertifikat SSL tidak kompatibel dengan semua platform. Lihat Link ini untuk mengetahui daftar platform yang tidak kompatibel -

Kurang validitas - Sebutkan sertifikat SSL yang dilengkapi dengan validitas terbatas selama 90 hari. Anda harus memperbarui Sertifikat SSL Anda setiap 90 hari. Sedangkan SSL berbayar seperti Comodo hadir dengan validitas yang panjang seperti 2 tahun.

Tidak ada validasi bisnis - Sertifikat SSL gratis hanya membutuhkan validasi domain. Tidak ada validasi bisnis atau organisasi untuk memastikan pengguna untuk entitas bisnis yang legal.

Cocok untuk bisnis kecil atau situs blog - Seperti yang saya tambahkan pada poin terakhir, A gratis atau mari kita mengenkripsi Sertifikat SSL dapat dicairkan melalui verifikasi kepemilikan domain, itu tidak sesuai untuk bisnis atau situs web e-commerce di mana kepercayaan dan keamanan merupakan faktor utama untuk bisnis.

Tidak ada bilah alamat hijau - Anda tidak dapat memiliki bilah alamat hijau dengan Sertifikat SSL gratis. Perpanjangan sertifikat SSL validasi adalah satu-satunya cara untuk menampilkan nama bisnis Anda dengan bilah alamat hijau di browser.

Tidak Ada Dukungan - Jika Anda terjebak di antara cara dengan Mari mengenkripsi, Anda bisa mendapatkan obrolan online atau menghubungi dukungan. Anda dapat menghubungi melalui forum hanya untuk menyingkirkan dari masalah ini.

Fitur keamanan tambahan - Sertifikat SSL gratis tidak menawarkan fitur tambahan seperti pemindaian malware gratis, cap situs, dll.

Tidak ada garansi - Gratis atau Mari mengenkripsi Sertifikat SSL tidak menawarkan jumlah jaminan apa pun sedangkan Sertifikat SSL berbayar menawarkan jaminan mulai dari $ 10.000 hingga $ 1.750.000.

Menurut sebuah berita, 14,766 Let's Encrypt SSL Certificates diterbitkan ke PayPal Phishing Sites karena hanya membutuhkan validasi domain

Jadi, sesuai rekomendasi saya, membayar Sertifikat SSL sangat berharga.


-1
2017-08-20 16:11



(1) LE hanya tidak kompatibel dengan sistem yang lebih lama. (2) Masa berlaku adalah tidak ada masalah karena otomatisasi. (3) Validasi sama dengan sertifikat DV lainnya. (4) Sertifikat LE cocok untuk semua jenis org. (5) Green bar hanya untuk sertifikat EV (dan akan hilang dalam waktu dekat). (6) Saya tidak tahu ada vendor cert yang melakukan pemindaian malware dan apa itu segel situs seharusnya berkontribusi terhadap ?. (7) Surat perintah apa yang perlu dikeluarkan oleh sertifikat? (8) CA berbayar yang tatang menjual sertifikat untuk situs phising juga (9) Tautan yang Anda rujuk untuk membahas sertifikat yang Ditandatangani Sendiri, itu tidak terkait - BlueCacti
Ketika daftar "sistem tidak kompatibel" adalah hal-hal seperti versi Android sebelum 2.3.6, Nintendo 3DS dan Windows XP lebih awal dari SP3, itu bukan masalah bagi 99,999% orang yang membutuhkan sertifikat SSL. Selain itu, tautan "Mengapa tidak seharusnya ..." di bagian bawah pos Anda HANYA tentang SSL yang ditandatangani sendiri, itu tidak mengatakan apa pun tentang Let's Encrypt certificate, Anda menggunakan tautan itu secara faktual salah. - semi-extrinsic


Setelah beberapa penelitian, saya menemukan bahwa sertifikat Let's Encrypt kurang kompatibel dengan browser daripada sertifikat berbayar. (Sumber: Let's Encrypt vs. Comodo PositiveSSL)


-6



Tautan kedua rusak. - iamnotmaynard
apa yang Anda pedulikan tentang browser dan platform yang berusia satu dekade tidak mendukung sesuatu? - warren
@warren suka atau tidak, tetapi banyak perangkat dan komputer terutama organisasi besar masih menjalankan Windows XP, atau sistem operasi dengan usia yang sama, dan mungkin memerlukan (kontrol, firewall, dan proksi yang dikontrol secara ketat) akses internet untuk berkomunikasi satu sama lain . Pikirkan tangan memegang terminal berbicara atau kios. Heck, saya sedang menulis serverside dari sistem yang berbicara dengan perangkat berusia 15 tahun melalui https / ssl. Sementara sebagian besar pelanggan telah ditingkatkan ke perangkat baru, beberapa belum. - jwenting