it-swarm.com.de

Warum können SSL-Zertifikate nicht kostenlos sein?

Ich bin ein Neuling auf diesem Gebiet. Ich bin verwirrt darüber, warum SSL-Zertifikate nicht kostenlos sein können. Nach meinem Verständnis ist das Zertifikat nur eine Textdatei, die aus kryptischen Nummern besteht, die auf einem Server installiert sind. Was kosten die SSL-Zertifikate?

30
kiss my armpit

SSL-Zertifikate bieten zwei Möglichkeiten: Verschlüsselung und Authentifizierung. Für die Verschlüsselung reicht jedes SSL-Zertifikat aus. Sie können ein selbstsigniertes Zertifikat verwenden, das Sie kostenlos erstellen können und das eine verschlüsselte Kommunikation zwischen Ihrem Server und einem Client ermöglicht.

Das Problem ist, dass ein Angreifer, da keine Authentifizierung vorhanden ist, einfach ein eigenes Zertifikat erstellen und behaupten kann, der Server zu sein, zu dem Sie eine Verbindung herstellen möchten. Ihr Browser würde den Unterschied nicht kennen und über eine verschlüsselte Verbindung eine Verbindung zum Angreifer herstellen. Der Angreifer könnte dann eine Verbindung zum realen Server herstellen und Ihre gesamte Kommunikation überwachen.

Um dieses Problem zu vermeiden, müssen SSL-Zertifikate auch eine Authentifizierung bereitstellen. Dies bedeutet, dass jemand den Domänenbesitz und die Identitätsinformationen überprüfen muss. Die Richtlinien müssen verwaltet und Systeme ausgeführt werden, um mit verlorenen Schlüsseln umgehen zu können. Es müssen auch Beziehungen zu Browserherstellern aufgebaut werden, um die Stammschlüssel für die Zertifizierungsstellen in die Anwendungen zu übertragen. Dies alles hat Kosten und daher werden diese Kosten an diejenigen weitergegeben, die SSL-Zertifikate von einer Zertifizierungsstelle kaufen.

Als Gegenleistung für diese Kosten überprüft die Zertifizierungsstelle die Identität der Organisation und Domäne, an die sie das Zertifikat ausstellt. In unserem ursprünglichen Fall kann der Angreifer möglicherweise zwischen dem Client und dem Server wechseln, aber er kann den Client nicht dazu bringen, eine Verbindung zu seinem SSL-Zertifikat herzustellen, da es nicht vertrauenswürdig ist und der Client eine Verbindung mit dem echten SSL herstellt Zertifikat, dann verhindert die Verschlüsselung, dass der Angreifer überwachen kann, was passiert.

In jüngerer Zeit ist der Dienst Let's Encrypt erschienen und bietet eine begrenzte Auswahl an kostenlosen Zertifikaten. Sie können dies aus drei Hauptgründen tun:

Erstens haben sie großzügige Sponsoren, die ihre Betriebskosten tragen. Der Mangel an Verschlüsselung und Vertrauen im Internet ist in den letzten Jahren zu einem wachsenden Problem geworden, da Angreifer zunehmend leistungsfähiger geworden sind. Dieses Bedürfnis und die Kosten für den Umgang mit dem mangelnden Vertrauen im Internet haben dazu geführt, dass Let's Encrypt in der Lage ist, Finanzmittel zu erhalten.

Zweitens bieten sie ein äußerst begrenztes Portfolio an Zertifikatoptionen. Ihnen fehlen die Möglichkeiten, EV-Zertifikate zu verarbeiten oder sogar die Identität zu validieren. Sie bieten nur eine Domain-Validierung und aufgrund der automatisierten Überprüfung nur extrem kurze Gültigkeitszeiträume.

Drittens haben sie ihre Kosten drastisch begrenzt, indem sie Menschen aus der Gleichung herausgeschnitten haben. Anstatt eine herkömmliche Validierung durchzuführen, funktioniert Let's Encrypt ausschließlich mit der automatisierten Validierung auf Domänenebene über das ACME-Protokoll. Dies ist gut genug, um ein geringes Maß an Vertrauen zu schaffen, dass der Domänenserver von derselben Person ausgeführt wird, die den Domänennamen kontrolliert, aber für nichts anderes gut ist.

Dies ist zwar eine kostenlose Option, es sei denn, Sie sind sich der Identität des Website-Betreibers sicher, sie ist jedoch bei weitem nicht so gut oder vertrauenswürdig wie Zertifikate, die von bezahlten Zertifizierungsstellen erhältlich sind, die vor der Ausstellung von Zertifikaten eine weitere Identitätsprüfung durchführen (obwohl sie gleichwertig sind) Wert für domänenvalidierte Zertifikate, die von anderen Zertifizierungsstellen angeboten werden, von denen einige ähnliche automatisierte kostenlose oder kostengünstige Optionen anbieten, jedoch mit noch größeren Einschränkungen bei den angebotenen Zertifikaten.)

34
AJ Henderson

Wenn Sie Ihr SSL-Zertifikat selbst generieren, funktioniert HTTPS/SSL, aber ein Browser gibt eine Warnung aus, in der der Benutzer aufgefordert wird, der Site nicht zu vertrauen. Es kann nicht festgestellt werden, ob die Website, auf die Ihre Besucher zugreifen, wirklich die ist, die sie ist. Sie benötigen also eine Authentifizierung von einer Stammzertifizierungsstelle, um dieses Problem zu vermeiden. Um diese Authentifizierung zu erhalten, müssen Sie bezahlen.
Aber jetzt ändern sich die Dinge. Sie können das Projekt Let's Encrypt erkunden. Ziel ist es, eine kostenlose Zertifizierungsstelle bereitzustellen. Es werden legitime Zertifikate generiert, denen ein erheblicher Prozentsatz der Browser vertraut.

enter image description here

12
Badr Bellaj

Sie können sicher Ihr eigenes SSL-Zertifikat erstellen. Gebühren sind nicht für die Erzeugung von ihnen; Vielmehr muss jemand anderes sagen, dass er Ihrem Zertifikat vertraut.

Die Präsentation eines Zertifikats bedeutet nichts, es ist die damit verbundene Vertrauenskette, die Bedeutung hat. Sie kennen mich nicht und wenn ich Ihnen ein Zertifikat geben würde, das besagt, dass ich Bob Smith von www.google.com bin, würden Sie mir entweder vertrauen (Dummkopf!) Oder nicht. Wenn ich Ihnen ein ähnliches Zertifikat geben würde, das das Vertrauen von beispielsweise Verisign trägt, wenn Sie ihnen vertrauen, würden Sie dieses Vertrauen auf mich ausdehnen. Verisign wird dies nicht kostenlos tun, da sie administrative Anforderungen haben, bevor sie mir genug vertrauen, um dieses Vertrauen an Sie weiterzuleiten.

7
mah

Schauen Sie sich Let's Encrypt https://letsencrypt.org an (derzeit in der Beta). Let's Encrypt ist eine gemeinnützige Organisation, die SSL-Zertifikate kostenlos ausgibt. Ihr Ziel ist die weit verbreitete Einführung der TLS-Sicherheit und die Linderung der Zertifikatskonfiguration durch die automatische Konfiguration und Erneuerung. Ich habe diesen Service noch nicht genutzt, aber er klingt vielversprechend und wird von mehreren großen Technologieunternehmen (Google, Cisco, Mozilla, Facebook) gesponsert.

Sie stellen nur DV-Zertifikate (Domain Validated) aus, aber das ist alles, was für die meisten kleinen Websites benötigt wird.

Für jedermann, auch für Unternehmen: https://community.letsencrypt.org/t/are-they-limitations-on-who-can-use-lets-encrypt/687

„Die einzige Einschränkung besteht darin, dass Ihre Anwendungsfälle in das Angebot passen: Domänenvalidierungszertifikate für Benutzer, die den Besitz einer Domäne und eines privaten Schlüssels nachweisen können, wobei eine beliebige Anzahl dieser Domänen im Zertifikat enthalten ist. Also: Keine Wildcard-Zertifikate, keine OV-Zertifikate (Organisation validiert) oder EV-Zertifikate (Extended Validation). Das ist alles." „Kommerzielle Benutzer können Let's Encrypt gerne für kommerzielle und gewinnorientierte Zwecke verwenden. Dies ist eine beabsichtigte Verwendung; Wir haben nicht den Wunsch, die Nutzung unserer Dienste auf gemeinnützige oder nichtkommerzielle Zwecke zu beschränken. “ „Es ist erwähnenswert, dass dies darauf zurückzuführen ist, dass unser Hauptziel darin besteht, die Benutzer der Website zu schützen, nicht unbedingt den Betreibern der Website. Wenn wir die Ausgabe auf gemeinnützige oder nichtkommerzielle Websites beschränken würden, könnten wir nicht dazu beitragen, eine große Anzahl von Benutzern zu schützen, die keine Kontrolle darüber haben, ob Websites TLS verwenden oder nicht, und die normalerweise nicht gut über den TLS-Status informiert sind. “

Von Browsern als vertrauenswürdig eingestuft: Zertifikate werden von IdenTrust zur Annahme signiert, bis LE eine eigene Stammzertifizierungsstelle erhält, der von Browsern vertraut wird. https://letsencrypt.org/certificates/

„Unser Intermediate ist von ISRG Root X1 signiert. Da wir jedoch eine sehr neue Zertifizierungsstelle sind, ist ISRG Root X1 in den meisten Browsern noch nicht vertrauenswürdig. Um sofort ein breites Vertrauen zu haben, wird unser Intermediate auch von einer anderen Zertifizierungsstelle, IdenTrust, signiert, deren Root bereits in allen gängigen Browsern vertrauenswürdig ist. Insbesondere hat IdenTrust unser Intermediate mit seiner DST-Stammzertifizierungsstelle X3 überkreuzsigniert. “

Verschlüsseln wir in der offiziellen Google Chrome Site https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure

6
BateTech

Wenn Sie SSL öffentlich verwenden möchten und der Browser einen vertrauenswürdigen Status für ein Stammzertifizierungsstellenzertifikat anzeigen soll, müssen Sie eine vertrauenswürdige Zertifizierungsstelle verwenden, um Ihr Zertifikat zu signieren. Hier kommen VeriSign, GoDaddy usw. ins Spiel. Die Verwaltung einer vertrauenswürdigen Stammzertifizierungsstelle ist recht teuer. Sie benötigen Infrastruktur, Auditing, Personal usw., um Zertifikate bereitzustellen. Dann müssen Sie die Browser-Anbieter bezahlen, um sie im Browser zu speichern, etwa 250.000 US-Dollar für IE zum Beispiel, obwohl diese Zahl eine Weile her war vor.

Wenn Ihre SSL-Zertifikate nach innen gerichtet sind, können Sie Ihre eigene Zertifizierungsstelle erstellen, Ihre eigenen Zertifikate mit OpenSSL erstellen und diese dann an Ihre Unternehmensbenutzer senden. Dies ist viel billiger, aber nicht gerade kostenlos, da Sie noch Infrastruktur, Personal usw. benötigen, um es zu warten.

0
barfly