it-swarm.com.de

Gibt es Nachteile bei der Verwendung von Let's Encrypt für die SSL-Zertifikate einer Website?

Auf der Vorteilsseite sehe ich mehrere Vorteile bei der Verwendung des Let's Encrypt-Dienstes (z. B. ist der Dienst kostenlos, einfach einzurichten und leicht zu warten). Ich frage mich, welche Nachteile die Verwendung von Let's Encrypt hat, wenn überhaupt? Gibt es Gründe, warum Website-Betreiber - ob groß wie Twitter oder klein wie ein lokaler Fotograf - nicht in Betracht ziehen sollten, ihre vorhandenen SSL-Dienste durch Unternehmen wie GoDaddy durch diesen Dienst zu ersetzen?

(Wenn der Dienst noch nicht verfügbar ist, kann dieser Nachteil ignoriert werden. Ich wundere mich mehr über Nachteile, sobald er für die allgemeine öffentliche Nutzung verfügbar ist.)

81
Dolan Antenucci

Let's Encrypt ist eine Zertifizierungsstelle, die mehr oder weniger die gleichen Berechtigungen und Befugnisse wie alle anderen auf dem Markt vorhandenen (und größeren) Zertifizierungsstellen besitzt.

Bis heute ist die Kompatibilität der Hauptnachteil der Verwendung eines Let's Encrypt-Zertifikats. Dies ist ein Problem, mit dem jede neue Zertifizierungsstelle konfrontiert ist, wenn sie sich dem Markt nähert.

Damit ein Zertifikat vertrauenswürdig ist, muss es von einem Zertifikat signiert sein, das zu einer vertrauenswürdigen Zertifizierungsstelle gehört. Um vertrauenswürdig zu sein, muss eine Zertifizierungsstelle das Signaturzertifikat im Browser/Betriebssystem gebündelt haben. Eine Zertifizierungsstelle, die heute auf den Markt kommt, sofern sie ab Tag 0 für das Stammzertifikatprogramm jedes Browsers/Betriebssystems zugelassen ist (was unmöglich ist), wird in die aktuellen Versionen der verschiedenen Browser/Betriebssysteme aufgenommen. Sie können jedoch nicht in ältere (und bereits veröffentlichte) Versionen aufgenommen werden.

Mit anderen Worten, wenn eine CA Foo am Tag 0 dem Root-Programm beitritt, wenn Google Chrome Version ist 48 und Max OSX ist 10.7), wird die Foo CA in keiner enthalten (und vertrauenswürdig) Version von Chrome vor 48 oder Mac OSX vor 10.7. Sie können einer Zertifizierungsstelle nicht rückwirkend vertrauen.

Um das Kompatibilitätsproblem einzuschränken, wurde das Stammzertifikat von Let's Encrypt von einer anderen älteren Zertifizierungsstelle (IdenTrust) signiert. Dies bedeutet, dass ein Client, der kein LE-Stammzertifikat enthält, weiterhin auf IdenTrust zurückgreifen kann und dem Zertifikat in einer idealen Welt vertraut wird. Es sieht tatsächlich so aus, als ob es verschiedene Fälle gibt, in denen dies derzeit nicht geschieht (Java, Windows XP, iTunes und andere Umgebungen ). Daher ist dies der größte Nachteil bei der Verwendung eines Let's Encrypt-Zertifikats: eine geringere Kompatibilität im Vergleich zu anderen älteren Wettbewerbern.

Neben der Kompatibilität hängen andere mögliche Nachteile im Wesentlichen mit der Ausgaberichtlinie von Let's Encrypt und ihren Geschäftsentscheidungen zusammen. Wie bei jedem anderen Dienst bieten sie möglicherweise nicht die Funktionen, die Sie benötigen.

Hier sind einige bemerkenswerte Unterschiede von Let's Encrypt im Vergleich zu anderen Zertifizierungsstellen ( ich habe auch einen Artikel darüber geschrieben ):

Die obigen Punkte sind nicht unbedingt Nachteile. Es handelt sich jedoch um Geschäftsentscheidungen, die möglicherweise nicht Ihren spezifischen Anforderungen entsprechen. In diesem Fall stellen sie im Vergleich zu anderen Alternativen Nachteile dar.


 Das Hauptratenlimit beträgt 20 Zertifikate pro registrierter Domain pro Woche. Dies schränkt jedoch nicht die Anzahl der Verlängerungen ein, die Sie jede Woche ausstellen können.

82
Simone Carletti

Der Grund für die Verwendung von Let's Encrypt kann der Preis sein. Diese Zertifikate sind kostenlos.

Aber ich sehe einen möglichen Nachteil für nicht kleine Websites. Big CA bietet Wildcard-Zertifikate und Extended Validation-Zertifikate an, die (aus meiner Sicht) einige Vorteile haben. Darüber hinaus richtet sich dieses Programm an Webserver. Was ist jedoch, wenn Sie einen Anwendungsserver haben oder den Mailserver sichern möchten?

pdate: Derzeit ist es möglich, ein Zertifikat anzufordern, das nicht an Webserver gebunden ist. Mein letztes Argument ist also nicht mehr gültig. Hier ist ein Beispiel für die Verwendung dieser Option:

./letsencrypt-auto certonly --standalone -d example.com

pdate2: Ab Januar 2018 werden Let's Encrypt Wildcard-Zertifikate ausstellen

Wildcard-Zertifikate ab Januar 2018

6. Juli 2017 • Josh Aas, ISRG-Geschäftsführer

Let's Encrypt wird im Januar 2018 mit der Ausstellung von Platzhalterzertifikaten beginnen. Platzhalterzertifikate sind eine häufig angeforderte Funktion, und wir wissen, dass es einige Anwendungsfälle gibt, in denen sie die HTTPS-Bereitstellung erleichtern. Wir hoffen, dass das Anbieten von Platzhaltern dazu beiträgt, den Fortschritt des Webs in Richtung 100% HTTPS zu beschleunigen.

Ein weiteres Argument ist also nicht mehr gültig.

20
Romeo Ninov

Ein Nachteil, der große Unternehmen dazu veranlasst, Let's Encrypt nicht in Betracht zu ziehen, besteht darin, dass Besucher, die eine Verbindung zur Site herstellen, nicht sicher sein können, dass es sich um das tatsächliche Unternehmen handelt, das die Site hostet.

Dies liegt daran, dass Let's Encrypt kostenlos Zertifikate für eine Domain ohne Identitätsprüfung (persönlich oder geschäftlich) ausstellt ( Let's Encrypt bietet nur Domain-Validierung an ).

Bearbeitet, um Folgendes hinzuzufügen: Für die sichere Übertragung ist dies kein großes Problem. Wenn Sie jedoch überprüfen möchten, ob es sich um das Unternehmen handelt, nach dem Sie gesucht haben, das den Domainnamen enthält, reicht eine whois-Suche möglicherweise nicht aus. Zertifikate der Klassen 2 oder 3 oder EV haben den Vorteil, dass das Unternehmen und die Domäne von der Zertifizierungsstelle überprüft werden.

12
Alasjo

Ein weiteres Problem bei der Verwendung von Let'encrypt besteht darin, dass im Unternehmensszenario ein Zertifikat installiert werden muss, um auch den Load Balancer und den CDN-Anbieter zu verwenden. Nicht alle CDN-Anbieter verfügen über APIs, um dies automatisch zu ändern. Ab sofort beträgt die Gültigkeit von Let's encrypt 90 Tage, was diesen Prozess noch komplizierter macht.

3
Chintak Chhapia