سؤال هل هناك سبب لاستخدام شهادة SSL بخلاف SSL الخاص بـ Let's Encrypt المجاني؟


دعونا تشفير يقدمون شهادات SSL مجانية. هل هناك أي سلبيات بالمقارنة مع غيرها من الشهادات المدفوعة ، على سبيل المثال؟ مدير شهادة AWS؟


133
2017-08-18 09:29


الأصل


لقد أزلت غالبية التعليقات بخصوص النقاش غير المجدي إذا كان LE أقل موثوقية بطبيعتها بسبب طبيعتها الحرة. - Sven♦


الأجوبة:


عمر الشهادة

الأمان

عمر أقصر أفضل. ببساطة لأن الإلغاء نظري في الغالب ، لا يمكن الاعتماد عليه عمليًا (ضعف كبير في النظام العمومي لـ PKI العام).

إدارة

دون الأتمتة: عمر أطول هو أكثر ملاءمة. قد لا يكون جنيه مصري ممكنًا إذا كنت ، لأي سبب ، لا تستطيع إدارة الشهادة تلقائيًا
مع الأتمتة: لا يهم العمر.

انطباع المستخدم النهائي

من غير المحتمل أن يكون لدى المستخدمين أي فكرة بطريقة أو بأخرى.

مستوى التحقق

الأمان

يوفر Letsencrypt مستوى DV من التحقق فقط.
شراء شهادة تحصل على كل ما تدفعه مقابل (ابتداء من DV ، مع نفس المستوى من التأكيد كما هو الحال مع جنيه).

DV = تم التحقق من التحكم في اسم المجال فقط.
OV = يتم التحقق من معلومات الكيان المالك (المنظمة) بالإضافة إلى ذلك.
EV = إصدار أكثر شمولاً من OV ، والذي تم منحه تقليديًا "شريط أخضر" (ولكن "الشريط الأخضر" يبدو أنه سيختفي قريبًا).

إدارة

عند استخدام LE ، فإن العمل الذي تضعه هو إعداد الأتمتة الضرورية (في هذا السياق ، لإثبات التحكم في النطاق). مقدار العمل الذي سيعتمد على بيئتك.

عند شراء شهادة ، سيحدد مستوى DV / OV / EV مقدار العمل اليدوي المطلوب للحصول على الشهادة. بالنسبة لـ DV ، عادةً ما يتدفق عبر معالج يدفع ونسخ / لصق شيء ما أو النقر على شيء ما ، بالنسبة لـ OV و EV ، يمكنك الاعتماد إلى حد كبير على الحاجة إلى الاتصال بك بشكل منفصل للقيام بخطوات إضافية لتأكيد هويتك.

انطباع المستخدم النهائي

ربما يتعرف المستخدمون النهائيون على "شريط أخضر" EV الحالي (الذي يتوقف عن العمل) ، بخلاف أنهم لا يميلون في الواقع إلى النظر إلى محتويات الشهادة.
من الناحية النظرية ، على الرغم من ذلك ، فمن الواضح أنه أكثر فائدة مع الشهادة التي تنص على معلومات حول الكيان المسيطر. لكن المتصفحات (أو تطبيقات العميل الأخرى) تحتاج إلى البدء في إظهار ذلك بالفعل بطريقة مفيدة قبل أن يكون لذلك أي تأثير للمستخدم العادي.

التركيب

الأمان

من الممكن القيام بالأشياء بطريقة غير صحيحة بطرق تعرض المفاتيح الخاصة أو ما شابهها. مع LE ، يتم إعداد الأدوات المقدمة حول الممارسات المعقولة.
مع شخص يعرف ما يفعلونه ، من الواضح أن الخطوات اليدوية يمكن القيام بها بشكل آمن.

إدارة

تهدف LE بشكل كبير إلى جعل جميع العمليات مؤتمتة ، وتعتمد خدمتها بالكامل على واجهة برمجة التطبيقات ، كما يعكس العمر الافتراضي القصير كيفية تركيز كل شيء حول التشغيل الآلي.

عند شراء شهادة ، حتى مع وجود CA يوفر واجهات برمجة التطبيقات للعملاء العاديين (وليس في الواقع القاعدة في هذه المرحلة) ، سيكون من الصعب أتمتة أي شيء آخر غير DV و DV الذي تدفعه مقابل نفس الشيء الذي يقدمه LE.
إذا كنت ستذهب إلى مستويات OV أو EV ، فبإمكانك تنفيذ العملية بشكل جزئي جزئيًا.

انطباع المستخدم النهائي

إذا تم التثبيت بشكل صحيح ، من الواضح أن المستخدم النهائي لن يعرف كيف تم القيام به. إن فرص تزييف الأمور (على سبيل المثال ، نسيان التجديد أو إجراء التثبيت بشكل غير صحيح عند التجديد) تكون أقل مع عملية تلقائية.

بصورة شاملة

تعتبر الطرق التقليدية لشراء البسكويت مفيدة بشكل خاص إذا كنت ترغب في استخدام OV / EV ، أو لا تقوم بإدارة شهادة إدارة أو تريد استخدام السترات في سياق آخر غير HTTPS.


118
2017-08-18 12:46



في بعض الحالات ، هناك جانب من جوانب التأمين ، في حالة وجود تنازلات جانبية من جانب CA. - John Keates
هل لديك مصدر في EV يذهب بعيدا؟ - Puddingfox
@ Puddingfox نقطة جيدة. سيكون عليّ البحث عن الوضع الحالي وربما تأهيله أكثر إذا لزم الأمر. ومع ذلك ، فإنه لا يمكن أن يكون سيرفرات EV التي ستذهب بعيدًا ولكن مؤشر "واجهة المستخدم" لمتصفح واجهة المستخدم الخضراء. - Håkan Lindqvist
من خلال خبرتي ، يمكنك أيضًا استخدام Lets Encrypt للبريد ، لذلك فهي مرنة بما فيه الكفاية لهذا الغرض. - Manngo
kloddant هاه. يمكنك تشغيل البرنامج النصي أكثر من مرة في كل فترة تجديد ، وبالطبع مثل أي عملية تلقائية أخرى ، فإنه يحتاج إلى مراقبة (مما يؤدي إلى تشغيل قبل انتهاء صلاحية الشهادة). - Jonas Schäfer


من منظور تقني بحت:

  • حقيقة أن الشهادات صالحة فقط لمدة 3 أشهر. يمكن أن يكون مصدر إزعاج للحفاظ على اعتمادًا على إجراءات إدارة التغيير والبنية التحتية.
  • الغرض من شهادات Let Let's Encrypt محدودة. لا يمكنك استخدامها لبريدك الإلكتروني أو توقيع الشفرة أو الطابع الزمني.
    تحقق مع: openssl x509 -in cert.pem -noout -text

    X509v3 Extended Key Usage:
                  مصادقة خادم الويب TLS ، مصادقة عميل TLS على الويب

من منظور المستخدم النهائي:


75
2017-08-18 11:47



تجدر الإشارة إلى أن Chrome يتجه بنشاط نحو إظهار أي شيء خاص لـ HTTPS على الإطلاق ، وسيشاهد الإصدار الرئيسي التالي من OSX و iOS سيرفرًا لا يعرض أي شيء خاص بـ EV. يبدو أن بائعي المستعرضات الرئيسيين يبتعدون عن EV. العديد من المواقع على شبكة الإنترنت لا تستخدمها حتى. - Greg W
فيما يتعلق بالنقطة التي طرحت حول إدارة التغيير ، فإن الفكرة وراء عمر الخدمة البالغة 3 أشهر هي أن عملية الحصول على وتحديث السيور يعني أن تكون آلية بالكامل. أي ، إذا استخدمت على النحو المنشود ، و يتغيرون سيتم إعداد هذا التشغيل الآلي ، وليس بتثبيت الشهادات بشكل متكرر يدويًا. ولكن إذا كانت هناك سياسة ضد الأتمتة ، فمن المحتمل أن تجعلها لا تمس. - Håkan Lindqvist
مصادقة TLS Web Server كافية للتأمين ، على سبيل المثال ، خوادم SMTP و IMAP و POP3. إنها غير صالحة لـ S / MIME بالرغم من ذلك. - Michael Hampton♦
للمعلقين - يرجى ملاحظة أن ما ورد أعلاه هو ويكي المجتمع المقصود أن يتم تحريرها من قبل أي شخص - HBruijn
@ ripper234 تقصد مثل موقع serverfault.com الخطير / الذي يواجهه المستخدم أنت الآن؟ هذا الموقع لا يستخدم شهادة EV. لا يفعل google.com. أو microsoft.com. أو cisco.com. والمتصفحات هي التخلص التدريجي من الشريط الأخضر. إذا كانت شهادة EV مهمة بالنسبة لك ، فكل وسيلة تدفع مقابلها ، ولكن بالتأكيد الكثير من المواقع المهمة التي تواجه المستخدمين قد توصلت إلى استنتاج مختلف حول قيمتها. - Zach Lipton


أود تقديم بعض النقاط المقابلة للحجج المستخدمة ضد Let's Encrypt here.

عمر قصير

نعم ، لديهم عمر قصير كما هو موضح في faq: https://letsencrypt.org/2015/11/09/why-90-days.html لاستشهاد الصفحة:

  1. أنها تحد من الضرر من حل وسط وسوء إصدار. المفاتيح المسروقة والشهادات الصادرة عن سوء صالحة لفترة قصيرة من الزمن.

  2. يشجعون الأتمتة ، وهو أمر ضروري للغاية لسهولة الاستخدام. إذا كنا سننقل الويب بالكامل إلى HTTPS ، فلن نتمكن من ذلك   متابعة توقع مسؤولو النظام لمعالجة عمليات التجديد يدويًا.   بمجرد أن تتم عملية الأتمتة والتجديد ، لن يكون عمر أقصر   أي أقل ملاءمة من تلك الأطول.

عدم وجود EV

لا توجد خطة لدعم EV. المنطق (من https://community.letsencrypt.org/t/plans-for-extended-validation/409) هو:

نتوقع أن Let’s Encrypt لن يدعم EV ، لأن عملية EV ستتطلب دائمًا جهدًا بشريًا ، والذي سيتطلب دفع رسوم لشخص ما. يتمثل نموذجنا في إصدار شهادات مجانًا ، الأمر الذي يتطلب مستوى آليًا لا يبدو متوافقًا مع EV.

وعلاوة على ذلك هناك البعض الذي يعتقد أن EV ضار ، مثل هذا بلوق (https://stripe.ian.sh/):

جيمس بيرتون ، على سبيل المثال ، حصل مؤخرًا على شهادة EV لشركته "Identity Verified". ولسوء الحظ ، فإن المستخدمين ليسوا ببساطة مجهزين للتعامل مع الفروق الدقيقة في هذه الكيانات ، وهذا يخلق متجهًا مهمًا للتصيد الاحتيالي.

مثال العالم الحقيقي الكلاسيكي لهذا هو sslstrip. مواقع homograph مع شهادات شراؤها بشكل قانوني هي هجوم في العالم الحقيقي الذي لا توفر EV الدفاع الكافي حاليا.


30
2017-08-18 12:43





ما لم تكن بحاجة إلى شهادة شيء آخر غير شبكة الإنترنت، لا يوجد حقيقة سلبيات ، ولكن بالتأكيد محسوس - ملموس منها. على الرغم من أنه لا يُنظر إلى المشاكل إلا على أنها مالك أحد مواقع الويب ، فقد لا يكون أمامك خيار آخر سوى التعامل معها (إذا كانت الفائدة التجارية تمنع عرض الإصبع الأوسط).

أكبر جانب سلبي واحد هو ، في الوقت الحالي ، أن موقعك سيظهر إلى حد ما أدنى ، وربما خطير لأنه لا يحتوي على شارة خضراء جميلة تحملها بعض المواقع الأخرى. ماذا تعني هذه الشارة؟ لا شيئا حقا. لكنه يفعل اقترح أن موقعك "آمن" (بعض المتصفحات تستخدم هذه الكلمة بالضبط). للأسف ، فإن المستخدمين هم أشخاص ، والأشخاص أغبياء. سيأخذ واحد أو آخر موقعك على أنه غير جدير بالثقة (بدون فهم أي من الآثار) لمجرد أن المتصفح لا يقول أنه آمن.

إذا كان تجاهل هؤلاء الزائرين / الزائرين أمراً ممكناً ، فلا توجد مشكلة. إذا كنت لا تستطيع تحمل هذه الأعمال ، أنت سيكون لديك ل ينفق الاموال. لا يوجد خيار آخر.

المشكلة الأخرى المتصورة هي المشكلة حول عمر الشهادة. لكنها في الواقع ميزة ، وليست سلبيات. تعني صلاحية أقصر أنه يجب تحديث الشهادات في كثير من الأحيان ، من جانب الخادم ، ومن جانب العميل ، على ما يرام.
أما بالنسبة إلى جانب الخادم ، فإن هذا يحدث مع cron وظيفة ، لذلك في الواقع أقل من المتاعب و أكثر موثوقية من المعتاد. لا يمكنك نسيان أي وسيلة للتأخر ، ولا توجد طريقة للقيام بشيء ما بطريقة سرية ، لا حاجة لتسجيل الدخول باستخدام حساب إداري (... أكثر من مرة). على جانب العميل ، ماذا في ذلك. تقوم المتصفحات بتحديث الشهادات في كل وقت ، ولا يوجد بها biggie. المستخدم لا يعرف حتى يحدث ذلك. هناك المزيد من الحركة المرورية عند التحديث كل 3 أشهر بدلاً من كل عامين ، ولكن على محمل الجد ... أن ليس مشكلة.


5
2017-08-20 13:58



@ HåkanLindqvist: هذه هي المشكلة بالضبط. يمكنني إعداد موقع للبرامج الضارة وإنفاق 5.99 دولارًا ، وسيثق المستخدم العادي في محتويات البرامج الضارة لأنه يشير إلى "آمن". لن يثق المستخدم نفسه بموقعك غير الشرعي تمامًا ، مع شهادة تشفير. لأنه جيد غير امن. لكن للأسف ، هذه أشياء لا يمكنك تغييرها. - Damon
إن شهادة LE هي مجرد مثال على شهادة DV ، على الرغم من أنه (على الأغلب كل ما ستحصل عليه مقابل 5.99 دولار فقط). تظهر رنات LE "آمنة" في المتصفحات الحالية. - Håkan Lindqvist
هل تعتبر خوادم البريد الإلكتروني جزءًا من web؟ شهادات letsencrypt كانت غير كافية بالنسبة لي لأنني اضطررت إلى تشغيل خادم البريد الإلكتروني الخاص بي - hanshenrik
hanshenrik يمكنك استخدام LE على ما يرام مع خوادم البريد. على سبيل المثال ، أنا استخدم github.com/hlandau/acme دعونا تشفير العميل ليس فقط ل HTTPS بلدي ، ولكن أيضا ل TLS في SMTP ، IMAP ، POP3 ، XMPP ... - Matija Nalis
hanshenrik - أنا تشغيل ceres LE لخادم البريد الخاص بي: لا توجد قضايا على الإطلاق - warren


هناك مجموعتان من سلبيات تستحق النظر.

1. سلبيات لاستخدام خدمة تشفير دعونا

يتطلب تشفير let أن الاسم الدقيق ، أو المجال (sub-) إذا كنت تطلب حرف بدل ، موجود في DNS الإنترنت العام. حتى إذا أثبتت التحكم في example.com ، فلن يصدر لك Let Encrypt شهادات لـ some.other.name.in.example.com دون أن ترى ذلك في DNS العام. لا تحتاج الأجهزة المسماة إلى سجلات للعناوين العامة ، ولا يمكن إيقاف تشغيلها ، أو حتى فصلها ماديًا ، ولكن يجب أن يكون اسم DNS العام موجودًا.

دعونا تشفير عمر الشهادات 90 يوما يعني أنك بحاجة إلى أتمتة لأنه لم يكن لدى أحد الوقت لذلك. هذا هو في الحقيقة نية الخدمة - لأفراد القطيع نحو أتمتة هذا العمل الأساسي بدلا من القيام به يدويا بشكل يدوي بينما يقومون بأتمتة العديد من المهام الأصعب. ولكن إذا كنت لا تستطيع أتمتة لأي سبب من الأسباب ، فهذا أمر سلبي - إذا كان لديك أدوات أو أجهزة أو ما يمنع التشغيل الآلي ، فضع في اعتبارك أي تكاليف تجارية لشهادة SSL كجزء من التكلفة المستمرة لتلك الأدوات / الأجهزة / أيًا كان في تخطيط التكلفة. تقوم ميزة Contrari بإزاحة المدخرات من عدم الحاجة إلى شراء شراءات تجارية في تسعير الأدوات / الأجهزة / الأجهزة الجديدة التي تعمل على أتمتة هذا (مع Let Encrypt أو لا)

قد لا يتناسب دليل تشفير Let Let's Encrypt الخاص بأتمتة التحكم مع قواعد منظمتك. على سبيل المثال ، إذا كان لديك موظفون يسمح لهم بإعادة تكوين Apache ولكن لا يجب أن يحصلوا على SSL certs لأسماء نطاقات الشركة ، فإن Let's Encrypt مناسبًا. تجدر الإشارة إلى أنه في هذه الحالة ، لا يعد استخدامهما هو "الخطأ" (TM) ، فيجب عليك استخدام CAA لتعطيل Let Conrypt for your domains.

إذا رفضت سياسة "تشفير الشجاعة" ، فستكون "محكمة الاستئناف" الوحيدة هي أن تسأل في منتدياتها العامة وتأمل أن يتمكن أحد موظفيها من تقديم وسيلة للمضي قدمًا. قد يحدث هذا على سبيل المثال إذا كان موقعك يحتوي على اسم نظام أسماء النطاقات يقرر أن أنظمةه "تشبه بشكل مربك" بعض الخصائص الشهيرة مثل البنوك الكبيرة أو Google. ولأسباب معقولة ، فإن السياسات الدقيقة لكل هيئة عامة عامة في هذا الصدد ليست مفتوحة للتدقيق العام ، لذا قد تدرك أنه لا يمكنك الحصول على شهادة تشفير دعونا "Let's Encrypt" عند طلبها والحصول على استجابة "Policy forbids ...".

2. سلبيات لشهادة دعونا تشفير نفسها

دعونا نؤكد أن شهادات التشفير المشفرة موثوق بها من قبل متصفحات الويب الرئيسية اليوم عبر ISRG (المؤسسة الخيرية التي تقدم خدمة تشفير دعونا) ولكن الأنظمة القديمة تثق بتشفير Let IryTrypt عبر IdenTrust ، وهي سلطة شهادات غامضة نسبيًا تتحكم في "DST Root CA X3". هذا ينجز المهمة بالنسبة لمعظم الناس ، لكنه ليس الجذر الأكثر موثوقية على نطاق واسع في العالم. على سبيل المثال ، كان لدى وحدة التحكم Nintendo WiiU المهجورة مستعرض ويب ، ومن الواضح أن نينتندو لن يتم شحن تحديثات WiiU ، ومن ثم يتم التخلي عن المتصفح ، فإنه لا يثق في Let Encrypt.

Let's Encrypt يصدر فقط شهادات لـ PKI Web - الخوادم ذات أسماء الإنترنت التي تستخدم بروتوكول SSL / TLS. إذن هذه هي شبكة الإنترنت ، و IMAP ، SMTP ، وبعض أنواع خادم VPN ، وعشرات الأشياء ، ولكن ليس كل شيء. على وجه الخصوص ، لا يتيح Let Encrypt تقديم شهادات على الإطلاق لـ S / MIME (طريقة لتشفير البريد الإلكتروني أثناء الراحة ، وليس فقط عندما يكون قيد النقل) ولا لتوقيع الشفرة أو توقيع المستندات. إذا كنت ترغب في الحصول على "مركز واحد" للشهادات ، فقد يكون هذا سببًا كافيًا لعدم استخدام Let's Encrypt.

حتى في Web PKI ، يقدم Let Encrypt شهادات "DV" فقط ، وهذا يعني عدم ذكر أي تفاصيل عن نفسك أو مؤسستك بخلاف FQDN في الشهادة. حتى لو قمت بكتابتها في CSR ، فلن يتم التخلص منها. قد يكون هذا مانعًا لبعض التطبيقات المتخصصة.

دعونا تشفير الأتمتة يعني أنك مقيد تماما بما يسمح به الأتمتة حتى لو لم يكن هناك أي أسباب أخرى لعدم تمكنك من الحصول على شيء ما. يجب تمكين أنواع جديدة من المفتاح العام وملحقات X.509 الجديدة والإضافات الأخرى بشكل صريح من قِبل Let Encrypt على المخطط الزمني الخاص بهم ، وبالطبع لا يمكنك فقط أن تدفع المزيد للحصول على الميزات التي تريدها على الرغم من الترحيب بالتبرعات.

ومع ذلك ، بالنسبة إلى الجميع تقريبًا ، دائمًا ، فإن Let Encrypt هو خيار جيد أولاً لوضع شهادات على خوادم TLS الخاصة بك بطريقة نيران ونسيان. البدء بافتراض أنك ستستخدم Let Encrypt هو طريقة معقولة للتعامل مع هذا القرار.


5
2017-08-26 11:07



أتساءل ما إذا كان دعم Nintendo WiiU يمثل صفقة كبيرة ، مع الأخذ في الاعتبار عدد المواقع الإلكترونية التي يمكن للمتصفح عرضها بشكل صحيح. - Dmitry Grigoryev
أنت تشير إلى سلبيات من "إثبات أتمتة التحكم" ، ولكن في تجربتي ، سيتم التحقق من أي شهادة DV مع مخططات مشابهة جدا على أي حال. على سبيل المثال، هنا الطرق التي تقدمها Comodo، والتي تشمل أسلوبًا قائمًا على HTTP قائم على ACME. ربما تتم إدارة الحماية ضد التسجيلات المارقة بشكل أفضل من خلال مراقبة سجلات شفافية الشهادة. - IMSoP
مشاهدة مراقب CT فكرة جيدة في هذا النوع من الحالات ، ونعم ، هناك فقط الطرق المباركة العشرة (التي هي في الواقع في الوقت الحالي أعتقد 8 أو 9 طرق فعلية) لذلك من CA إلى آخر أنت فقط شاهد مزيجًا مختلفًا من الأساليب وبعض الاختلافات في كيفية عملها. ومع ذلك ، فإن الاختلاف في الطرق التي يتم تقديمها ، وإمكانية وجود التزامات تعاقدية لاستخدام الطريقة المفضلة لديك وحتى الأفكار التقنية مثل إضافة حقل CAA لإظهار الأساليب المسموح بها تختلف باختلاف CA ، وقد يعني ذلك أنه من غير المنطقي استخدام دعونا تشفير. - tialaramex
كمثال ملموس: Facebook لديها عقد مع CA التجارية الكبيرة. وهي تستخدم الآن CAA لتحديد أنه يجوز لـ CA إصدار الشهادات الخاصة بمجالاتها الرئيسية مثل facebook.com و fb.com. تضمن شروط العقد للفريق الأمني ​​التقني الداخلي من Facebook إزالة كل شهادة جديدة. ما زال على CA استخدام واحدة من الطرق العشر المباركة ولكن العقد يتطلب منهم أيضًا الاتصال بأمان Facebook. - tialaramex


سأضيف واحدة أرغمت صاحب العمل جزئيا من Lets Encrypt: الحد من معدل API. نظرًا لعمر قصير وقلة دعم البطاقة ، من السهل جدًا الوصول إلى حدود السعر خلال العمليات الآلية العادية (التجديد التلقائي ، وما إلى ذلك). يمكن أن تؤدي محاولة إضافة نطاق فرعي جديد إلى زيادة حد السعر ، ولا يوجد لدى LE طريقة لتجاوز الحد يدويًا بمجرد الوصول إلى الحد. إذا لم يكن لعمل نسخة احتياطية من الشهادات القديمة (الذي سيفعل ذلك في بيئة الآلي سحابة من نوع microservices مثل يتصور LE؟) جميع المواقع المتضررة دون اتصال كما LE لن إعادة إصدار الشهادات.

عندما أدركنا ما حدث ، كانت هناك لحظة من "أوه $ #! #" متبوعة بطلب شهادة تجارية طارئة فقط لإعادة مواقع الإنتاج إلى الإنترنت. واحد مع أكثر عمر 1 سنة معقولة. إلى أن تنفذ LE دعمًا مناسبًا لحرف البدل (وحتى ذلك الحين) ، سنكون حذرين للغاية من عروضهم.

Tl؛ dr: تعمل حدود LE wildcard + API على جعل إدارة شيء أكثر تعقيدًا من "My Personal Homepage" بشكل غير متوقع ، وتعزز سوء ممارسة الأمان على طول الطريق.


5
2017-08-23 09:58





نعم فعلا.

الجانب السلبي من استخدام مجاني أو دعنا تشفير شهادة SSL-

قضية التوافق - دعنا نسجل شهادة SSL غير متوافقة مع جميع الأنظمة الأساسية. نرى هذا الرابط لمعرفة قائمة المنصات غير المتوافقة -

أقل صلاحية - تأتي شهادة SSL تشفير let let مع صلاحية محدودة لمدة 90 يومًا. يجب عليك تجديد شهادة SSL الخاصة بك في كل 90 يومًا. أينما تأتي طبقة المقابس الآمنة المدفوعة مثل Comodo مع صلاحية طويلة مثل 2 سنوات.

لا التحقق من الأعمال - تتطلب شهادة SSL المجانية التحقق من المجال فقط. لا يوجد التحقق من الأعمال أو المؤسسة لضمان المستخدمين كيان تجاري قانوني.

مناسبة للمواقع التجارية الصغيرة أو مواقع المدونات - كما أشرت في النقطة الأخيرة ، يمكن الحصول على شهادة SSL مجانية أو دعائية من خلال التحقق من ملكية النطاق ، وهو غير مناسب لموقع ويب تجاري أو تجاري حيث تعد الثقة والأمان عاملاً رئيسًا في الأعمال.

لا يوجد شريط عنوان أخضر - لا يمكن أن يكون لديك شريط عنوان أخضر مع شهادة SSL مجانية. تعد شهادة SSL للمصادقة الموسعة هي الطريقة الوحيدة لعرض اسم نشاطك التجاري مع شريط العناوين الأخضر في المتصفح.

لا دعم - إذا كنت عالقًا بين طريقة التشفير في Let ، فيمكنك الحصول على الدردشة عبر الإنترنت أو الاتصال بالدعم. يمكنك الاتصال من خلال المنتديات فقط للتخلص من هذه المشكلة.

ميزات أمان إضافية - لا تقدم شهادة SSL المجانية أي ميزة إضافية مثل فحص البرامج الضارة المجانية وختم الموقع وما إلى ذلك.

بدون كفالة - لا تقدم شهادة SSL مجانية أو دعائية لتشفير أي مبلغ ضمان في حين أن شهادة SSL المدفوعة تقدم ضمانًا يتراوح من 10000 إلى 1750000 دولار.

وفقا لأخبار، 14،766 دعونا تشفير SSL الشهادات الصادرة لمواقع الخداع باي بال لأنه يتطلب التحقق من صحة المجال فقط

لذلك ، ووفقًا لتوصيتي ، فإن الدفع مقابل شهادة SSL يستحق حقًا.


-1
2017-08-20 16:11



(1) LE غير متوافق مع الأنظمة القديمة فقط. (2) فترة الصلاحية هي غير مشكلة بسبب الأتمتة. (3) التحقق من الصحة هو نفسه أي شهادة DV أخرى. (4) LE LE مناسبة لأي نوع من المؤسسات. (5) شريط أخضر هو لسمك EV فقط (وسوف تزول في المستقبل القريب). (6) أنا لا أعرف أي بائع الشهادات الذي يفعل مسح البرامج الضارة وما هو ختم الموقع من المفترض أن تساهم نحو؟ (7) ما هي الضمانات التي تحتاجها الشهادة لإفشال العمل؟ (8) يبيع Shady المدفوع شهادات CAs لمواقع التصيّد كذلك (9) الرابط الذي تشير إليه يناقش شهادات موقعة ذاتيًا ، وهذا غير مرتبط - BlueCacti
عندما تكون قائمة "الأنظمة غير المتوافقة" عبارة عن أشياء مثل إصدارات Android قبل 2.3.6 ، و Nintendo 3DS و Windows XP أقدم من SP3 ، فهي ليست مصدر قلق لـ 99.999٪ من الأشخاص الذين يحتاجون إلى SSL certs. أيضًا ، رابط "لماذا لا ينبغي عليك ..." أسفل المشاركة خاص بك هو فقط حول SSL موقعة ذاتيًا ، ولا يقول أي شيء عن شهادات تشفير دعونا ، فإن استخدام هذا الرابط غير صحيح في الواقع. - semi-extrinsic


بعد بعض الأبحاث ، اكتشفت أن شهادات Let Encrypt أقل توافقًا مع المتصفحات من الشهادات المدفوعة. (المصادر: دعونا تشفير ضد. Comodo PositiveSSL)


-6



الرابط الثاني مكسور. - iamnotmaynard
ما الذي تهتم به للمتصفحات والأنظمة الأساسية التي لا يزيد عمرها عن عشر سنوات؟ - warren
@ أرغب في ذلك أم لا ، ولكن الكثير من الأجهزة وأجهزة الكمبيوتر في المؤسسات الكبيرة لا تزال تعمل بنظام التشغيل Windows XP ، أو أنظمة تشغيل من نفس العمر ، وقد تتطلب (التحكم الدقيق ، الكثير من جدران الحماية والوكلاء) الوصول إلى الإنترنت للتواصل مع بعضها البعض . فكر في المحطات الطرفية المحمولة أو الأكشاك. هيك ، أنا الآن أكتب سيرفيديرا لنظام يتكلم مع أجهزة عمرها 15 سنة عبر https / ssl. في حين أن معظم العملاء قاموا بالترقية إلى أجهزة جديدة ، إلا أن البعض الآخر لم يفعل ذلك. - jwenting