सवाल क्या Let's Encrypt के मुफ्त SSL के अलावा किसी SSL प्रमाणपत्र का उपयोग करने का कोई कारण है?


चलो एन्क्रिप्ट करें मुफ्त एसएसएल प्रमाणपत्र प्रदान कर रहे हैं। क्या अन्य, सशुल्क प्रमाणपत्रों की तुलना में कोई डाउनसाइड्स हैं एडब्ल्यूएस प्रमाणपत्र प्रबंधक?


133
2017-08-18 09:29


मूल


यदि नि: शुल्क प्रकृति के कारण ली निहित रूप से कम भरोसेमंद है तो मैंने व्यर्थ बहस के बारे में अधिकांश टिप्पणियों को हटा दिया है। - Sven♦


जवाब:


सर्टिफिकेट जीवनकाल

सुरक्षा

कम जीवनकाल बेहतर है। सिर्फ इसलिए कि निरसन अधिकतर सैद्धांतिक है, व्यावहारिक रूप से इस पर भरोसा नहीं किया जा सकता है (सार्वजनिक पीकेआई पारिस्थितिक तंत्र में बड़ी कमजोरी)।

प्रबंध

स्वचालन के बिना: लंबी उम्र अधिक सुविधाजनक है। यदि आप किसी भी कारण से प्रमाण पत्र प्रबंधन को स्वचालित नहीं कर सकते हैं तो LE संभव नहीं हो सकता है
स्वचालन के साथ: जीवन कोई फर्क नहीं पड़ता।

अंत उपयोगकर्ता प्रभाव

अंत उपयोगकर्ताओं को किसी भी तरह का विचार या किसी अन्य विचार की संभावना नहीं है।

सत्यापन का स्तर

सुरक्षा

Letsencrypt केवल DV स्तर सत्यापन का प्रदान करता है।
एक प्रमाण खरीदना जो आप भुगतान करते हैं (DV से शुरू होता है, LE के साथ समान स्तर के दावे के साथ)।

DV = केवल डोमेन नाम नियंत्रण सत्यापित है।
ओवी = मालिक इकाई (संगठन) जानकारी इसके अतिरिक्त सत्यापित है।
ईवी = ओवी का अधिक गहन संस्करण, जिसे परंपरागत रूप से "हरी बार" से सम्मानित किया गया है (लेकिन "हरी बार" जल्द ही दूर जा रहा है)।

प्रबंध

LE का उपयोग करते समय, आपके द्वारा डाला गया कार्य आवश्यक स्वचालन स्थापित कर रहा है (इस संदर्भ में, डोमेन नियंत्रण साबित करने के लिए)। यह कितना काम आपके पर्यावरण पर निर्भर करेगा।

एक प्रमाण खरीदते समय डीवी / ओवी / ईवी स्तर परिभाषित करेगा कि प्रमाण प्राप्त करने के लिए मैन्युअल कार्य की आवश्यकता होगी। डीवी के लिए यह आमतौर पर ओवी और ईवी के लिए किसी विज़ार्ड को भुगतान करने और कॉपी करने / पेस्ट करने या कुछ क्लिक करने के माध्यम से उबालता है, आप अपनी पहचान की पुष्टि करने के लिए अतिरिक्त कदम करने के लिए अलग से संपर्क करने की आवश्यकता पर बहुत अधिक गिन सकते हैं।

अंत उपयोगकर्ता प्रभाव

अंत उपयोगकर्ता शायद वर्तमान ईवी "ग्रीन बार" (जो दूर जा रहा है) को पहचानते हैं, इसके अलावा वे वास्तव में प्रमाणपत्र सामग्री को देखने की आदत नहीं रखते हैं।
सैद्धांतिक रूप से, हालांकि, यह एक प्रमाण पत्र के साथ स्पष्ट रूप से अधिक उपयोगी है जो नियंत्रण इकाई के बारे में जानकारी बताता है। लेकिन ब्राउज़र (या अन्य क्लाइंट अनुप्रयोगों) को वास्तव में इसे उपयोगी तरीके से दिखाने की आवश्यकता है इससे पहले कि इसका सामान्य उपयोगकर्ता के लिए कोई प्रभाव हो।

स्थापना

सुरक्षा

निजी कुंजी या इसी तरह के खुलासे तरीकों से गलत तरीके से काम करना संभव है। LE के साथ, प्रदान की गई टूलिंग उचित प्रथाओं के आसपास स्थापित की गई है।
एक व्यक्ति के साथ जो जानता है कि वे क्या कर रहे हैं, मैन्युअल कदम स्पष्ट रूप से भी सुरक्षित रूप से किया जा सकता है।

प्रबंध

LE सभी प्रक्रियाओं को स्वचालित करने के लिए बहुत अधिक लक्षित है, उनकी सेवा पूरी तरह से एपीआई आधारित है और छोटी उम्र भी यह दर्शाती है कि सब कुछ स्वचालन के आसपास केंद्रित है।

एक प्रमाण खरीदते समय, एक सीए के साथ भी जो नियमित ग्राहकों को एपीआई प्रदान करता है (वास्तव में इस बिंदु पर मानक नहीं) DV के अलावा अन्य कुछ भी स्वचालित रूप से स्वचालित करना मुश्किल होगा और DV के साथ आप अनिवार्य रूप से उसी चीज के लिए भुगतान कर रहे हैं जो LE प्रदान करता है।
यदि आप ओवी या ईवी स्तर के लिए जा रहे हैं, तो आप शायद केवल आंशिक रूप से प्रक्रिया को स्वचालित कर सकते हैं।

अंत उपयोगकर्ता प्रभाव

अगर स्थापना सही तरीके से की जाती है, तो अंतिम उपयोगकर्ता स्पष्ट रूप से नहीं जानता कि यह कैसे किया गया था। चीजों को गड़बड़ करने की संभावनाएं (उदाहरण के लिए, नवीनीकरण करते समय गलत तरीके से नवीकरण या स्थापना करना भूलना) स्वचालित प्रक्रिया के साथ कम हैं।

संपूर्ण

यदि आप ओवी / ईवी कर्ट की इच्छा रखते हैं तो कर्ट खरीदने का पारंपरिक माध्यम विशेष रूप से उपयोगी होता है, जो प्रमाण पत्र प्रबंधन स्वचालित नहीं कर रहे हैं या एचटीटीपीएस की तुलना में किसी अन्य संदर्भ में इस्तेमाल किए जाने वाले कर्ट चाहते हैं।


118
2017-08-18 12:46



कुछ मामलों में सीए-साइड समझौता होने की स्थिति में बीमा पहलू है। - John Keates
क्या आपके पास ईवी जाने का स्रोत है? - Puddingfox
@ पुडिंगफॉक्स अच्छा बिंदु। मुझे वर्तमान स्थिति को देखना होगा और यदि आवश्यक हो तो शायद इसे और अधिक योग्यता प्राप्त करनी होगी। उस ने कहा, यह ईवी कर्ट नहीं है जो दूर जा रहा है लेकिन संबंधित "ग्रीन बार" ब्राउज़र यूआई सूचक। - Håkan Lindqvist
मेरे अनुभव में, आप मेल के लिए लेट्स एन्क्रिप्ट का भी उपयोग कर सकते हैं, इसलिए यह उस उद्देश्य के लिए पर्याप्त लचीला है। - Manngo
@kloddant हू। आप प्रत्येक नवीनीकरण अवधि में एक से अधिक बार स्क्रिप्ट चलाएंगे, और निश्चित रूप से किसी भी अन्य स्वचालित प्रक्रिया की तरह, इसे निगरानी की आवश्यकता है (जो ट्रिगर्स से पहले सर्टिफिकेट समाप्त हो जाता है)। - Jonas Schäfer


एक पूरी तरह से तकनीकी परिप्रेक्ष्य से:

  • तथ्य यह है कि प्रमाण पत्र केवल 3 महीने के लिए मान्य हैं। आपकी परिवर्तन प्रबंधन प्रक्रियाओं और बुनियादी ढांचे के आधार पर बनाए रखने के लिए एक उपद्रव हो सकता है।
  • लेट्स एन्क्रिप्ट प्रमाणपत्र का उद्देश्य सीमित है। आप उन्हें अपने ईमेल, कोड हस्ताक्षर या टाइमस्टैम्पिंग के लिए उपयोग नहीं कर सकते हैं।
    इससे जाँच करें: openssl x509 -in cert.pem -noout -text

    X509v3 विस्तारित कुंजी उपयोग:
                  टीएलएस वेब सर्वर प्रमाणीकरण, टीएलएस वेब क्लाइंट प्रमाणीकरण

अंत उपयोगकर्ता परिप्रेक्ष्य से:


75
2017-08-18 11:47



ध्यान दें कि क्रोम सक्रिय रूप से एचटीटीपीएस के लिए विशेष कुछ भी दिखाने की दिशा में आगे बढ़ रहा है और ओएसएक्स और आईओएस की अगली बड़ी रिलीज में सफारी ईवी के लिए विशेष कुछ भी नहीं दिखाएगी। ऐसा लगता है कि प्रमुख ब्राउज़र विक्रेता ईवी से दूर जा रहे हैं। शीर्ष वेबसाइटों में से कई इसका भी उपयोग नहीं करते हैं। - Greg W
परिवर्तन प्रबंधन के बारे में किए गए बिंदु के बारे में, 3 महीने की उम्र के पीछे विचार यह है कि कर्टों को प्राप्त करने और नवीनीकृत करने की प्रक्रिया पूरी तरह से स्वचालित होने के लिए है। हां, अगर इरादे के रूप में इस्तेमाल किया जाता है, तो परिवर्तन उस स्वचालन को स्थापित करेगा, मैन्युअल रूप से प्रमाण पत्र मैन्युअल रूप से स्थापित नहीं करेगा। लेकिन अगर स्वचालित करने के खिलाफ नीति है, तो शायद यह इसे बिना किसी तरह से कर देगा। - Håkan Lindqvist
टीएलएस वेब सर्वर प्रमाणीकरण सुरक्षित करने के लिए पर्याप्त है, उदा। एसएमटीपी, आईएमएपी, पीओपी 3 सर्वर। हालांकि यह एस / एमआईएम के लिए मान्य नहीं है। - Michael Hampton♦
टिप्पणीकारों के लिए - कृपया ध्यान दें कि उपरोक्त एक है समुदाय विकी किसी के द्वारा संपादित करने का इरादा है - HBruijn
@ ripper234 आपका मतलब है गंभीर / उपयोगकर्ता का सामना करना पड़ रहा वेबसाइट serverfault.com जैसा कि आप अभी हैं? यह साइट ईवी प्रमाण का उपयोग नहीं करती है। न तो google.com करता है। या microsoft.com। या cisco.com। और ब्राउज़र हरे रंग की पट्टी को खत्म कर रहे हैं। यदि आपके लिए एक ईवी प्रमाणपत्र महत्वपूर्ण है, तो इसका मतलब है कि इसके लिए भुगतान करें, लेकिन निश्चित रूप से बहुत महत्वपूर्ण और उपयोगकर्ता की सामना करने वाली साइटें इसके मूल्य के बारे में एक अलग निष्कर्ष पर आ गई हैं। - Zach Lipton


मैं यहां लेट्स एन्क्रिप्ट के खिलाफ उपयोग किए गए तर्कों के लिए कुछ काउंटर पॉइंट प्रदान करना चाहता हूं।

लघु जीवनकाल

हां, उनके पास एक छोटा जीवनकाल है जैसा कि व्याख्या में बताया गया है: https://letsencrypt.org/2015/11/09/why-90-days.html पृष्ठ उद्धृत करने के लिए:

  1. वे महत्वपूर्ण समझौता और गलत जारी करने से क्षति को सीमित करते हैं। चोरी की चाबियाँ और गलत जारी प्रमाण पत्र एक छोटी अवधि के लिए मान्य हैं।

  2. वे स्वचालन को प्रोत्साहित करते हैं, जो आसानी से उपयोग के लिए बिल्कुल जरूरी है। अगर हम पूरे वेब को HTTPS पर ले जा रहे हैं, तो हम नहीं कर सकते हैं   सिस्टम प्रशासकों को मैन्युअल रूप से नवीनीकरण को संभालने की अपेक्षा करना जारी रखें।   एक बार जारी करने और नवीनीकरण स्वचालित हो जाने के बाद, छोटे जीवनकाल नहीं होंगे   लंबे समय से कम सुविधाजनक।

ईवी की कमी

ईवी समर्थन के लिए कोई योजना नहीं है। तर्क (से https://community.letsencrypt.org/t/plans-for-extended-validation/409) है:

हम उम्मीद करते हैं कि चलो एन्क्रिप्ट ईवी का समर्थन नहीं करेंगे, क्योंकि ईवी प्रक्रिया को हमेशा मानव प्रयास की आवश्यकता होगी, जिसके लिए किसी को भुगतान करने की आवश्यकता होगी। हमारा मॉडल प्रमाण पत्र जारी करना है, जिसके लिए एक स्तर स्वचालन की आवश्यकता है जो ईवी के साथ संगत प्रतीत नहीं होता है।

इसके अलावा कुछ ऐसे हैं जो मानते हैं कि ईवी हानिकारक है, इस ब्लॉगपोस्ट की तरह (https://stripe.ian.sh/):

उदाहरण के लिए, जेम्स बर्टन ने हाल ही में अपनी कंपनी "पहचान सत्यापित" के लिए एक ईवी प्रमाण पत्र प्राप्त किया। दुर्भाग्यवश, उपयोगकर्ता इन इकाइयों की बारीकियों से निपटने के लिए सुसज्जित नहीं हैं, और यह फ़िशिंग के लिए एक महत्वपूर्ण वेक्टर बनाता है।

इसका एक क्लासिक असली दुनिया उदाहरण एसएसएलस्ट्रिप है। वैध रूप से खरीदे गए प्रमाण पत्र वाले होमोग्राफ साइट वास्तविक दुनिया के हमले हैं जिसके लिए ईवी वर्तमान में पर्याप्त रक्षा प्रदान नहीं करता है।


30
2017-08-18 12:43





जब तक आपको प्रमाणपत्र की आवश्यकता न हो वेब के अलावा कुछ और, यहाँ नहीं हैं असली डाउनसाइड्स, लेकिन निश्चित रूप से माना जाता है लोगों को। यद्यपि समस्याओं को केवल तभी माना जाता है, क्योंकि किसी वेबसाइट के मालिक के पास उन्हें संबोधित करने के अलावा कोई अन्य विकल्प नहीं हो सकता है (यदि व्यापार ब्याज मध्य उंगली को दिखाता है)।

समय के लिए, सबसे बड़ी नकारात्मकता यह है कि आपकी साइट के रूप में दिखाया जाएगा कुछ हद तक कम, शायद खतरनाक क्योंकि इसमें अच्छा हरा बैज नहीं है जो कुछ अन्य साइटों के पास है। उस बैज का क्या मतलब है? कुछ भी सच नहीं। लेकिन यह करता है सुझाना कि आपकी साइट "सुरक्षित" है (कुछ ब्राउज़र भी उस सटीक शब्द का उपयोग करते हैं)। हां, उपयोगकर्ता लोग हैं, और लोग बेवकूफ हैं। एक या दूसरा आपकी साइट को भरोसेमंद नहीं करेगा (किसी भी प्रभाव को समझे बिना) क्योंकि ब्राउजर यह नहीं कहता कि यह सुरक्षित है।

यदि इन ग्राहकों / आगंतुकों को अनदेखा करना एक वैध संभावना है, कोई समस्या नहीं है। यदि आप उस व्यवसाय के अनुसार बर्दाश्त नहीं कर सकते हैं, तो आप करना होगा पैसे खर्च करो। कोई अन्य विकल्प नहीं।

दूसरी कथित समस्या प्रमाणपत्र जीवनकाल के बारे में है। लेकिन यह वास्तव में एक लाभ है, नुकसान नहीं। छोटी वैधता का अर्थ है कि सर्टिफिकेट को सर्वर-साइड और क्लाइंट-साइड दोनों, अक्सर अपडेट किया जाना चाहिए।
सर्वर-साइड के लिए, यह एक के साथ होता है cron नौकरी, तो यह वास्तव में है कम परेशानी तथा अधिक भरोसेमंद सामान्य से। किसी भी तरह से आप भूल सकते हैं, देर से कोई रास्ता नहीं, गोपनीय रूप से कुछ गलत करने का कोई तरीका नहीं, प्रशासनिक खाते (... एक से अधिक बार) में लॉग इन करने की आवश्यकता नहीं है। क्लाइंट-साइड पर, तो क्या। ब्राउज़र हर समय सर्टिफिकेट अपडेट करते हैं, यह कोई बड़ी बात नहीं है। उपयोगकर्ता यह भी नहीं जानता कि ऐसा होता है। हर 2 साल के बजाय हर 3 महीने अद्यतन करते समय बहुत कम ट्रैफिक होता है, लेकिन गंभीरता से ... उस कोई मुद्दा नहीं है


5
2017-08-20 13:58



@ हकनलिंडक्विस्ट: यह सही समस्या है। मैं एक मैलवेयर साइट सेट कर सकता हूं और $ 5.99 खर्च कर सकता हूं, और औसत उपयोगकर्ता मेरी मैलवेयर सामग्री पर भरोसा करेगा क्योंकि यह "सुरक्षित" कहता है। एक ही उपयोगकर्ता आपकी पूरी तरह से हानिरहित, वैध साइट पर भरोसेमंद प्रमाणपत्र के साथ भरोसा नहीं करेगा। क्योंकि, ठीक है, यह है सुरक्षित नहीं है। लेकिन हां, ये वे चीजें हैं जिन्हें आप नहीं बदल सकते हैं। - Damon
ली प्रमाण सिर्फ एक डीवी प्रमाण का एक उदाहरण है, हालांकि (जो कि आपको केवल $ 5.99 के लिए मिल रहा है) की संभावना है। ली सीर्ट वर्तमान ब्राउज़र में "सुरक्षित" के रूप में दिखाते हैं। - Håkan Lindqvist
क्या आप ईमेल सर्वर के हिस्से के रूप में विचार करते हैं web? letsencrypt प्रमाणपत्र मेरे लिए अपर्याप्त थे क्योंकि मुझे अपना ईमेल सर्वर चलाया गया था - hanshenrik
@ हंसशेरिक आप मेल सर्वर के साथ बस ठीक से उपयोग कर सकते हैं। उदाहरण के लिए, मैं उपयोग करता हूं github.com/hlandau/acme आइए न केवल मेरे एचटीटीपीएस के लिए क्लाइंट एन्क्रिप्ट करें, बल्कि एसएमटीपी, आईएमएपी, पीओपी 3, एक्सएमपीपी में टीएलएस के लिए भी ... - Matija Nalis
@ हंसशेरिक - मैं अपने मेल सर्वर के लिए LE certs चलाता हूं: बिल्कुल कोई समस्या नहीं - warren


विचार करने के लायक डाउनसाइड्स के दो समूह हैं।

1. लेट्स एन्क्रिप्ट सेवा का उपयोग करने के लिए डाउनसाइड्स

आइए एन्क्रिप्ट करने की आवश्यकता है कि यदि आप वाइल्डकार्ड का अनुरोध कर रहे हैं तो सटीक नाम, या (उप-) डोमेन, सार्वजनिक इंटरनेट DNS में मौजूद है। यहां तक ​​कि अगर आप example.com पर नियंत्रण साबित करते हैं, तो आइए एन्क्रिप्ट आपको कुछ अन्य.other.in.name.in.example.com के लिए सार्वजनिक DNS में देखे बिना प्रमाण पत्र जारी नहीं करेगा। नामित मशीनों के पास सार्वजनिक पता रिकॉर्ड नहीं होने चाहिए, उन्हें फ़ायरवॉल बंद किया जा सकता है, या यहां तक ​​कि शारीरिक रूप से डिस्कनेक्ट भी किया जा सकता है, लेकिन सार्वजनिक DNS नाम मौजूद होना आवश्यक है।

आइए 90 दिनों के प्रमाणपत्र जीवनकाल को एन्क्रिप्ट करें, इसका मतलब है कि आपको स्वचालित करने की आवश्यकता है क्योंकि किसी के लिए समय नहीं मिला है। वास्तव में यह सेवा का इरादा है - जड़ी-बूटियों को इस कठिन काम को स्वचालित करने की दिशा में मैन्युअल रूप से इसे करने के बजाए मैन्युअल रूप से इसे करने के बजाय कई कठोर कार्यों को स्वचालित करते हैं। लेकिन अगर आप किसी भी कारण से स्वचालित नहीं हो सकते हैं तो यह नकारात्मक है - यदि आपके पास उपकरण, उपकरण या जो कुछ भी ऑटोमेशन ब्लॉक करता है, तो उन उपकरणों / उपकरणों / जो भी लागत योजना में चल रहे हैं, की चल रही लागत के हिस्से के रूप में किसी वाणिज्यिक एसएसएल प्रमाण लागत पर विचार करें। नए उपकरण / उपकरण / इत्यादि के मूल्य निर्धारण में वाणिज्यिक कर्ट खरीदने की आवश्यकता नहीं होने से बचत को ऑफसेट करें, जो इसे स्वचालित करें (चलो एन्क्रिप्ट या नहीं)

आइए नियंत्रण स्वचालन का सबूत एन्क्रिप्ट करें आपके संगठन के नियमों के अनुरूप नहीं हो सकता है। उदाहरण के लिए यदि आपके पास ऐसे कर्मचारी हैं जिन्हें अपाचे को फिर से कॉन्फ़िगर करने की अनुमति है लेकिन उन्हें कंपनी डोमेन नामों के लिए SSL Certs नहीं मिलना चाहिए, तो चलो एन्क्रिप्ट एक खराब फिट है। ध्यान दें कि इस मामले में केवल उनका उपयोग नहीं करना गलत चीज (टीएम) है, आपको अपने डोमेन के लिए लेट एन्क्रिप्ट को स्पष्ट रूप से अक्षम करने के लिए सीएए का उपयोग करना चाहिए।

अगर चलो एन्क्रिप्ट नीति आपको मना कर देती है, तो केवल "अपील की अदालत" अपने सार्वजनिक मंचों में पूछना है और उम्मीद है कि उनके एक कर्मचारी आगे बढ़ने में सक्षम है। ऐसा हो सकता है, उदाहरण के लिए, आपकी साइट पर एक DNS नाम है, जो कि उनके सिस्टम का फैसला है कि बड़े बैंक या Google जैसे कुछ प्रसिद्ध गुणों के लिए "भ्रमित रूप से समान" है। समझदार कारणों से इस संबंध में प्रत्येक सार्वजनिक सीए की सटीक नीतियां सार्वजनिक जांच के लिए खुली नहीं हैं, इसलिए आप केवल यह महसूस कर सकते हैं कि जब आप इसका अनुरोध करते हैं तो आपको लेट एन्क्रिप्ट प्रमाणपत्र नहीं मिल सकता है और "नीति प्रतिबंधित ..." प्रतिक्रिया प्राप्त हो सकती है।

2. लेट्स एन्क्रिप्ट प्रमाणपत्र के लिए डाउनसाइड्स

आइए आईएसआरजी (चैरिटी एन्क्रिप्ट सेवा प्रदान करने वाले चैरिटी) के माध्यम से आज प्रमुख वेब ब्राउज़र द्वारा प्रमाणपत्रों को एन्क्रिप्ट करना विश्वसनीय है, लेकिन पुरानी सिस्टम ट्रस्ट आइडेन ट्रस्ट के माध्यम से लेट एन्क्रिप्ट करें, अपेक्षाकृत अस्पष्ट प्रमाणपत्र प्राधिकरण जो "डीएसटी रूट सीए एक्स 3" को नियंत्रित करता है। यह अधिकांश लोगों के लिए काम करता है, लेकिन यह दुनिया में सबसे व्यापक रूप से भरोसेमंद जड़ नहीं है। उदाहरण के लिए छोड़े गए निंटेंडो वाईआईयूयू कंसोल के पास एक वेब ब्राउज़र था, जाहिर है कि निंटेंडो वाईआईयूयू के लिए शिपिंग शिपिंग नहीं करेगा और इसलिए ब्राउज़र छोड़ दिया गया है, यह विश्वास नहीं करता है चलो एन्क्रिप्ट करें।

आइए वेब पीकेआई के लिए केवल प्रमाणपत्र प्रमाण पत्र एन्क्रिप्ट करें - इंटरनेट नाम वाले सर्वर जो SSL / TLS प्रोटोकॉल का उपयोग करते हैं। तो यह वेब स्पष्ट रूप से है, और आपका IMAP, SMTP, कुछ प्रकार के वीपीएन सर्वर, दर्जनों चीजें, लेकिन सब कुछ नहीं। विशेष रूप से Let's Encrypt S / MIME के ​​लिए प्रमाण पत्र प्रदान नहीं करता है (शेष में ईमेल को एन्क्रिप्ट करने का तरीका, बस पारगमन में होने के बजाए) और न ही कोड हस्ताक्षर या दस्तावेज़ हस्ताक्षर के लिए। यदि आप प्रमाण पत्र के लिए "एक स्टॉप शॉप" चाहते हैं, तो यह पर्याप्त कारण हो सकता है कि लेट्स एन्क्रिप्ट का उपयोग न करें।

यहां तक ​​कि वेब पीकेआई में, चलो एन्क्रिप्ट केवल "डीवी" प्रमाण पत्र प्रदान करते हैं, जिसका अर्थ है कि एफक्यूडीएन के अलावा स्वयं या आपके संगठन के बारे में कोई भी विवरण प्रमाण पत्र में उल्लिखित नहीं है। भले ही आप उन्हें सीएसआर में लिखते हैं, उन्हें अभी छोड़ दिया जाता है। यह कुछ विशेषज्ञ अनुप्रयोगों के लिए अवरोधक हो सकता है।

आइए स्वचालन को एन्क्रिप्ट करें इसका मतलब है कि आप स्वचालन की अनुमति के बावजूद बाध्य हैं, भले ही आपके पास कुछ और कारण न हो। नई प्रकार की सार्वजनिक कुंजी, नए X.50 9 एक्सटेंशन और अन्य परिवर्धनों को लेट्स एन्क्रिप्ट द्वारा अपनी टाइमलाइन पर स्पष्ट रूप से सक्षम किया जाना चाहिए, और निश्चित रूप से आप केवल अपनी इच्छित सुविधाओं को प्राप्त करने के लिए अतिरिक्त भुगतान करने की पेशकश नहीं कर सकते हैं, हालांकि दान का स्वागत है।

फिर भी, लगभग हर किसी के लिए, लगभग हमेशा, चलो एन्क्रिप्ट करना आपके टीएलएस सर्वर पर प्रमाणपत्रों को आग-और-भूलने के तरीके में रखने के लिए एक अच्छा पहला विकल्प है। इस धारणा से शुरू करने के लिए कि आप इस निर्णय तक पहुंचने के लिए लेट्स एन्क्रिप्ट का एक समझदार तरीका उपयोग करेंगे।


5
2017-08-26 11:07



मुझे आश्चर्य है कि निंटेंडो वाईआईयूयू का समर्थन नहीं करना एक बड़ा सौदा है, इस पर विचार करते हुए कि ब्राउज़र कितनी वेबसाइटें सही तरीके से प्रदर्शित कर सकता है। - Dmitry Grigoryev
आप "नियंत्रण स्वचालन के प्रमाण" के डाउनसाइड्स का उल्लेख करते हैं, लेकिन मेरे अनुभव में, किसी भी डीवी प्रमाण पत्र को वैसे भी इसी तरह की योजनाओं के साथ सत्यापित किया जाएगा। उदाहरण के लिए, यहां कॉमोडो की पेशकश की जाने वाली विधियां हैं, जिसमें एक बहुत ही एसीएमई-जैसे HTTP-आधारित दृष्टिकोण शामिल है। नकली पंजीकरण के खिलाफ सुरक्षा प्रमाणपत्र पारदर्शिता लॉग की निगरानी करके शायद सबसे अच्छा प्रबंधन किया जाएगा। - IMSoP
सीटी मॉनिटर देखना इस प्रकार की स्थिति में एक अच्छा विचार है, और हां, केवल दस धन्य तरीके हैं (जो वास्तव में मैं 8 या 9 वास्तविक तरीकों को सोचता हूं) इसलिए एक सीए से दूसरे में आप केवल जा रहे हैं विधियों का एक अलग मिश्रण और वास्तव में वे कैसे काम करते हैं में कुछ भिन्नता देखें। हालांकि, जिस तरीके से तरीकों की पेशकश की जाती है, आपकी पसंदीदा विधि का उपयोग करने के लिए अनुबंध संबंधी दायित्वों और यहां तक ​​कि तकनीकी विचारों जैसे कि सीएए फ़ील्ड जोड़ने की क्षमता दिखाने के लिए सीए द्वारा भिन्नता है, और इसका मतलब यह हो सकता है कि इसका उपयोग न करें चलो एन्क्रिप्ट करें। - tialaramex
एक ठोस उदाहरण के रूप में: फेसबुक के पास एक बड़े वाणिज्यिक सीए के साथ अनुबंध है। वे अब यह निर्दिष्ट करने के लिए सीएए का उपयोग करते हैं कि केवल सीए अपने मुख्य डोमेन जैसे facebook.com और fb.com के लिए प्रमाण पत्र जारी कर सकता है; अनुबंध शर्तों से सुनिश्चित होता है कि फेसबुक की इन-हाउस तकनीकी सुरक्षा टीम को हर नए प्रमाणपत्र को साफ़ करना होगा। सीए को अभी भी दस धन्य तरीकों में से एक का उपयोग करना है, लेकिन अनुबंध के लिए उन्हें फेसबुक सुरक्षा भी कॉल करने की आवश्यकता है। - tialaramex


मैं एक जोड़ दूंगा जो मेरे नियोक्ता को आंशिक रूप से लेट्स एन्क्रिप्ट से दूर कर देगा: एपीआई दर सीमित है। छोटे जीवनकाल और वाइल्डकार्ड समर्थन की कमी के कारण, सामान्य स्वचालित संचालन (स्वचालित नवीकरण, आदि) के दौरान दर सीमा के करीब आना बहुत आसान है। एक नया सबडोमेन जोड़ने की कोशिश कर आपको दर सीमा से अधिक धक्का दे सकता है, और LE के पास एक बार हिट होने पर सीमा को मैन्युअल रूप से ओवरराइड करने का कोई तरीका नहीं है। यदि आप पुराने प्रमाण पत्र का बैक अप नहीं लेते हैं (जो स्वचालित रूप से ऐसा करते हैं, तो क्लाउड-टाइप माइक्रोस्कोर्सेस पर्यावरण जैसे LE envisions?) सभी प्रभावित साइट ऑफ़लाइन जाती हैं क्योंकि LE प्रमाणपत्रों को पुन: जारी नहीं करेगा।

जब हमें एहसास हुआ कि क्या हुआ, तो "ओह $ #! #" का एक पल था जिसके बाद आपातकालीन वाणिज्यिक प्रमाणपत्र मांग के बाद उत्पादन साइटों को ऑनलाइन वापस प्राप्त किया गया। एक और अधिक उचित 1 साल की उम्र के साथ। जब तक LE उचित वाइल्डकार्ड समर्थन (और फिर भी) लागू नहीं करता है, हम उनके प्रसाद से बहुत सावधान रहेंगे।

टीएल; डॉ: ली वाइल्डकार्ड + एपीआई सीमाएं "माय पर्सनल होमपेज" से अप्रत्याशित रूप से चुनौतीपूर्ण कुछ और जटिल बनाती हैं, और रास्ते में खराब सुरक्षा अभ्यास को बढ़ावा देती हैं।


5
2017-08-23 09:58





हाँ।

एक मुफ्त का उपयोग करने के लिए नीचे या चलो एन्क्रिप्ट एसएसएल प्रमाणपत्र-

संगतता समस्या - आइए एसएसएल प्रमाणपत्र को सभी प्लेटफ़ॉर्म के साथ संगत नहीं करते हैं। देख यह लिंक असंगत प्लेटफार्मों की सूची जानने के लिए -

कम वैधता - आइए एसएसएल प्रमाणपत्र एन्क्रिप्ट करें सीमित वैधता के साथ 90 दिनों के रूप में आता है। आपको हर 90 दिनों में अपना एसएसएल प्रमाणपत्र नवीनीकृत करना होगा। जहां कॉमोडो जैसे सशुल्क एसएसएल के रूप में 2 साल की लंबी वैधता के साथ आता है।

कोई व्यावसायिक सत्यापन नहीं - एक मुफ्त एसएसएल प्रमाणपत्र केवल डोमेन सत्यापन की आवश्यकता है। कानूनी व्यापार इकाई के लिए उपयोगकर्ताओं को सुनिश्चित करने के लिए कोई व्यवसाय या संगठन सत्यापन नहीं।

छोटे व्यवसाय या ब्लॉग साइटों के लिए उपयुक्त - जैसा कि मैंने अंतिम बिंदु में जोड़ा है, एक नि: शुल्क या चलिए एन्क्रिप्ट एसएसएल प्रमाणपत्र डोमेन स्वामित्व सत्यापन के माध्यम से लिया जा सकता है, यह किसी व्यापार या ईकॉमर्स वेबसाइट के लिए उपयुक्त नहीं है जहां विश्वास और सुरक्षा व्यवसाय के लिए एक प्रमुख कारक है।

कोई हरा पता बार नहीं - आपके पास एक मुफ्त एसएसएल प्रमाणपत्र के साथ एक हरा पता बार नहीं हो सकता है। एक विस्तारित सत्यापन SSL प्रमाणपत्र ब्राउज़र पर हरे रंग के पता बार के साथ अपना व्यावसायिक नाम प्रदर्शित करने का एकमात्र तरीका है।

समर्थन नहीं - यदि आप Let's एन्क्रिप्ट के साथ रास्ते में फंस गए हैं, तो आप ऑनलाइन चैट या कॉल समर्थन प्राप्त कर सकते हैं। आप केवल इस मुद्दे से छुटकारा पाने के लिए मंचों के माध्यम से संपर्क कर सकते हैं।

अतिरिक्त सुरक्षा सुविधाओं - एक मुफ्त एसएसएल प्रमाणपत्र मुफ्त मैलवेयर स्कैन, साइट सील इत्यादि जैसी कोई अतिरिक्त सुविधा प्रदान नहीं करता है।

कोई वारंटी नहीं - एक नि: शुल्क या चलो एन्क्रिप्ट एसएसएल प्रमाणपत्र किसी वारंटी राशि की पेशकश नहीं करता है जबकि एक सशुल्क एसएसएल प्रमाणपत्र $ 10,000 से $ 1,750,000 तक वारंटी प्रदान करता है।

एक समाचार के मुताबिक, 14,766 चलिए एसएसएल प्रमाण पत्र को पेपैल फ़िशिंग साइट्स पर जारी करते हैं क्योंकि इसे केवल डोमेन सत्यापन की आवश्यकता होती है

तो, मेरी सिफारिश के अनुसार, एक एसएसएल प्रमाणपत्र के लिए भुगतान वास्तव में लायक है।


-1
2017-08-20 16:11



(1) LE केवल पुराने सिस्टम के साथ असंगत है। (2) स्वचालन के कारण वैधता अवधि एक गैर-मुद्दा है। (3) प्रमाणीकरण किसी भी अन्य डीवी प्रमाण के समान है। (4) ली प्रमाण किसी भी प्रकार के संगठन के लिए उपयुक्त है। (5) ग्रीन बार केवल ईवी केर्ट के लिए है (और निकट भविष्य में चलेगा)। (6) मुझे किसी भी प्रमाण विक्रेता के बारे में पता नहीं है जो करता है मैलवेयर स्कैन और क्या है साइट मुहर की ओर योगदान करने के लिए माना जाता है? (7) एक वारंट को क्या प्रमाणित करने की आवश्यकता होगी? (8) छायादार भुगतान सीएएस फ़िशिंग साइटों के लिए भी कॉर्ट बेचते हैं (9) जिस लिंक का आप उल्लेख करते हैं वह स्वयं हस्ताक्षरित प्रमाणपत्रों पर चर्चा करता है, जो असंबंधित है - BlueCacti
जब "असंगत सिस्टम" सूची 2.3.6 से पहले एंड्रॉइड संस्करणों की तरह सामान है, तो एसपी 3 की तुलना में निंटेंडो 3 डी एस और विंडोज एक्सपी, 99 99 99% लोगों को एसएसएल केर्ट की आवश्यकता नहीं है। साथ ही, आपकी पोस्ट के निचले भाग में "क्यों नहीं होना चाहिए ..." लिंक केवल स्वयं हस्ताक्षरित एसएसएल के बारे में है, यह लेट्स एन्क्रिप्ट प्रमाणपत्रों के बारे में कुछ नहीं कहता है, आप उस लिंक का उपयोग वास्तव में गलत है। - semi-extrinsic