it-swarm-eu.dev

Existují technické nevýhody při používání certifikátů ssl zdarma?

Poznámka tato otázka je příbuzná, kromě toho, že tato je o bezplatných SSL certifikátech.

Existují poskytovatelé, kteří nabízejí zcela zdarma základní SSL certifikáty (jako StartSSL). Přemýšlel jsem, jestli jsou technicky stejné jako placené (alespoň u vstupních SSL certifikátů jako RapidSSL a PositiveSSL)? Chápu, že rozšířený/organizační SSL je jiná kategorie, ale pokud potřebujete pouze vstupní SSL certifikáty, jsou technicky zdarma stejné jako placené varianty vstupní úrovně?

Navíc, pokud jsou technicky stejné, proč byste chtěli platit za něco, co je k dispozici zdarma?

44
IMB

Na úrovni bajtů je X.509 X.509 a není důvod, proč by bezplatné SSL certifikáty byly o nic lepší nebo horší než nesvobodné - cena není do certifikátu zapsána. Kterýkoli poskytovatel certifikátů může fumble generovat certifikát, bez ohledu na to, zda za něj dostane zaplaceno nebo ne.

Tvrdá část certifikátu je mimo něj: je v přidružených postupech , tj. Vše, co je k dispozici pro správu certifikátů: jak je držitel klíče ověřen certifikační autoritou , jak může být odvolání vyvoláno a šířeny odpovídající informace, jaký druh právní záruky nabízí CA, její úrovně pojištění, jeho plány kontinuity ...

Pro kupujícího certifikátů je velkou hodnotou v konkrétní CA to, kde CA uspěla v umístění svého kořenového klíče (prohlížeče, operační systémy ...). Prodejci (Microsoft, Mozilla ...) obvykle požadují od CA mnoho administrativních a právních věcí, než přijmou zahrnutí kořenového klíče CA do svých produktů, a takové věci nejsou zdarma. CA, která by mohla distribuovat svůj kořenový klíč, ale vydává certifikáty zdarma, má tedy podezřelý obchodní plán. Z tohoto důvodu obchodníci s volným certifikátem nabízejí také placené certifikáty s některými zvláštnostmi (certs, které vydrží déle, certs s zástupnými jmény, extra autentifikační procedury ...): v určitém okamžiku musí mít provozovatelé CA příchozí peněžní tok. Ale nakonec je to problém CA, ne váš. Pokud jsou ochotni rozdávat certifikáty zdarma a Microsoft je v pořádku se zahrnutím jejich kořenového klíče jako „důvěryhodného výchozího klíče“, pak není problém pro vás při používání těchto certifikátů.

Edit: a nyní existuje Pojďme se zašifrovat , což je bezplatná CA, která byla přijata hlavními prohlížeči. Jejich podnikatelský plán není podezřelý - ve skutečnosti nemají podnikatelský plán vůbec. Působí jako nezisková entita a žijí z darů. Našli pěkný výklenek: dostali buy-in od hlavních dodavatelů prohlížečů, kteří šli na křížovou výpravu, aby zabili web bez HTTPS, a potřebovali vydavatele certifikátů zdarma, aby přesvědčili administrátory malých webů, aby přepnuli; a nyní žádný prodejce prohlížeče nemůže opustit, protože by to způsobilo, že vypadají spokojeni s ohledem na zabezpečení.

51
Thomas Pornin

Už asi rok a půl používám startssl pro bezplatný certifikát s velmi malými problémy [...][odstranil většinu příspěvku z roku 2012, protože nyní není relevantní]

EDIT 2016 : Při používání certifikátu z bezplatného certifikátu SSL neexistují žádné technické problémy, pokud vaši certifikační autorita důvěřuje vašim uživatelům. Vezměte prosím na vědomí, že váš příklad StartSSL již většina prohlížečů nedůvěřuje.

Uživatelé bezplatných certifikátů by si měli být vědomi toho, že bezplatné certifikáty jsou nutně vydávány automatickým způsobem, který vydá certifikát pro doménu, jakmile získáte záruku, že tuto doménu ovládáte. Neposkytují ověření, že jste ve skutečnosti organizací (ověření organizace), ani neprovádějí rozšířené kontroly a audity proti úředním záznamům (rozšířené ověření). To znamená, že pokud někdo dokáže získat kontrolu nad doménou s podobným názvem, může získat platné certifikáty SSL pro tuto podobně pojmenovanou doménu. (Např. Někdo se podaří zaregistrovat america.com a přiměje vás, abyste šli do https://bank.of.america.com pro vaše bankovní účely a poté provede útok "muž uprostřed" s https://www.bankofamerica.com za účelem získání přístupu k vašemu účtu.) Uděleno, mnoho placených certifikátů poskytuje pouze automatické ověření domény. Myšlenkou certifikátů EV je, že na panelu umístění uvidíte název organizace ověřené CA, která tuto doménu vlastní a vlastní.

To obvykle znamená, že chcete certifikační úřad, kterému většina hlavních prohlížečů a operačních systémů implicitně důvěřuje. Jeden z prvních poskytovatelů bezplatných certifikátů ( CAcert ), který ve výchozím nastavení důvěryhodnosti ve většině hlavních prohlížečů a operačních systémů nikdy nezískal, a jejich certifikáty jsou proto méně užitečné, pokud víte, že uživatelé vašeho webu nainstalovali a důvěřovali kořenový certifikát CAcert. Poskytovatel bezplatných vstupních SSL certifikátů ve vašem příkladu (StartSSL), kterým většina hlavních prohlížečů a operačních systémů důvěřovala. Většina hlavních prohlížečů však odebírá důvěru pro StartSSL (nesouvisí s vydáváním bezplatných certifikátů - viz níže). Nyní však existuje jiný poskytovatel bezplatných certifikátů, kterému většina hlavních prohlížečů a operačních systémů důvěřuje s názvem Let's Encrypt .

Důvod, proč společnost StartSSL již není důvěryhodná, je skutečnost, že společnost StartCom (společnost za společností StartSSL) prodala své CA čínské společnosti CA (WoSign) bez zveřejnění prodeje veřejně. Vydali také certifikát pro doménu github bez autorizace a začali aktualizovat podpisové certifikáty, aby se vyhnuli omezením prohlížeče. Hlavní dodavatelé prohlížečů (včetně Mozilly, Google, Apple) již začali důvěřovat certifikátům, které vydávají ve svých produktech (včetně Firefox, Chrome, Safari).

Pro více informací:

https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

https://support.Apple.com/en-us/HT204132

https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

23
dr jimbob

Hlavní technickou nevýhodou by bylo pouze to, že pokud tvůrci prohlížečů nebo operačních systémů obecně nepřijmou bezplatnou certifikační autoritu, nemusí být důvěryhodné certifikáty, které vygenerují. Pokud také dojde k problémům s certifikační autoritou, které způsobí zneplatnění jejich kořenového certifikátu, můžete se potýkat s problémy. To znamená, že s potenciálními CA byste se mohli potýkat se stejnými problémy a nemusí to být přímo technický problém.

6
AJ Henderson

Neexistují žádné technické nevýhody používání jakýchkoli bezplatných SSL certifikátů. Technologie a protokol SSL zajišťuje, že handshake mezi klientem a serverem generuje robustní a bezpečné klíče relace, které zmařují spoofing dat a člověka uprostřed útoků. Musíte zajistit, aby váš poskytovatel SSL zdarma poskytoval stav certifikátů v reálném čase pomocí OCSP nebo CRL bez selhání.

Pokud dokážete koncovým uživatelům jakýmkoli způsobem nebo prostředkem sdělit svému certifikátu SSL, mělo by být vše v pořádku.

5
Mohit Sethi

Používání StartSSL má nyní velkou nevýhodu: hlavní prohlížeče již svým certifikátům nedůvěřují. Společnost a její mateřská společnost nezpracovávaly certifikáty a postupy ke spokojenosti Mozilly.

Firefox oznámil plány na nedůvěru v certifikáty StartSSL v říjnu 2016: https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Google a Chrome Zrušení certifikátů WoSign a StartCom . Chrome postupně odebírá nedůvěru těmto certifikátům s následným vydáním prohlížeče .

  • Chrome 56 distresuje všechny certifikáty vydané po 21. říjnu 2016.
  • Chrome 57 také distryts všechny staré certifikáty, pokud web není v top jeden milion Alexa stránek.
  • Chrome 58 také distryptuje všechny staré certifikáty, pokud web není v top 500 000 Alexa.

Safari blokuje důvěru v certifikáty SSL zdarma WoSign CA: https://support.Apple.com/en-us/HT202858

Zdroj: Můj nový certifikát StartSSL nefungoval: https://webmasters.stackexchange.com/questions/103405/startssl-certificate-gives-sec-error-revoked-certificate-in-firefox-and-err -cert

1