it-swarm-eu.dev

Gibt es technische Nachteile bei der Verwendung von kostenlosen SSL-Zertifikaten?

Hinweis diese Frage ist verwandt, außer dass es sich um kostenlose SSL-Zertifikate handelt.

Es gibt Anbieter, die völlig kostenlose SSL-Einstiegszertifikate anbieten (wie StartSSL). Ich habe mich gefragt, ob sie technisch mit den bezahlten identisch sind (zumindest bei SSL-Einstiegszertifikaten wie RapidSSL und PositiveSSL). Ich verstehe, dass erweitertes/organisatorisches SSL eine andere Kategorie ist, aber wenn Sie nur SSL-Zertifikate für Einsteiger benötigen, sind die kostenlosen technisch identisch mit den kostenpflichtigen Einstiegsvarianten?

Wenn sie technisch identisch sind, warum sollten Sie dann für etwas bezahlen, das kostenlos erhältlich ist?

44
IMB

Auf Byte-Ebene ist X.509 X.509, und es gibt keinen Grund, warum die kostenlosen SSL-Zertifikate besser oder schlechter sind als die nicht freien - der Preis ist nicht im Zertifikat angegeben. Jeder Zertifikatsanbieter kann die Zertifikatserstellung fummeln, unabhängig davon, ob er dafür bezahlt wird oder nicht.

Der schwierige Teil eines Zertifikats liegt außerhalb davon: Es befindet sich in den zugehörigen Prozeduren, dh alles, was zum Verwalten der Zertifikate vorhanden ist: wie der Schlüsselhalter von der Zertifizierungsstelle authentifiziert wird, wie widerrufen ausgelöst und entsprechende Informationen verbreitet werden können, welche Art von Rechtsgarantie die CA anbietet, ihre Versicherungsniveaus, ihre Kontinuitätspläne ...

Für den Zertifikatskäufer ist der große Wert in einer bestimmten Zertifizierungsstelle, wo es der Zertifizierungsstelle gelungen ist, ihren Stammschlüssel (Browser, Betriebssysteme ...) zu platzieren. Die Anbieter (Microsoft, Mozilla ...) benötigen in der Regel eine Menge administrativer und rechtlicher Informationen von der Zertifizierungsstelle, bevor sie akzeptieren, den CA-Stammschlüssel in ihre Produkte aufzunehmen, und solche Dinge sind nicht kostenlos. Daher hat eine Zertifizierungsstelle, deren Stammschlüssel verteilt werden könnte, die jedoch kostenlos Zertifikate ausstellt, einen verdächtigen Geschäftsplan. Aus diesem Grund bieten die Free-Cert-Händler auch kostenpflichtige Zertifikate mit einigen zusätzlichen Merkmalen an (Zertifikate, die länger halten, Zertifikate mit Platzhalternamen, zusätzliche Authentifizierungsverfahren ...): Irgendwann müssen die CA-Betreiber einen eingehenden Cashflow haben. Aber letztendlich ist das das CA-Problem, nicht deins. Wenn sie bereit sind, Zertifikate kostenlos zu verschenken und Microsoft ist damit einverstanden, ihren Stammschlüssel als "standardmäßig vertrauenswürdigen Schlüssel" einzuschließen, dann gibt es kein Problem - für Sie bei der Verwendung solcher Zertifikate.

Bearbeiten: und jetzt gibt es Let's Encrypt , eine kostenlose Zertifizierungsstelle, die von den wichtigsten Browsern akzeptiert wurde. Ihr Geschäftsplan ist nicht verdächtig - tatsächlich haben sie überhaupt keinen Geschäftsplan. Sie arbeiten als gemeinnützige Organisation und leben von Spenden. Sie fanden eine nette Nische: Sie erhielten ein Buy-In von großen Browser-Anbietern, die einen Kreuzzug unternahmen, um Nicht-HTTPS-Web zu töten, und brauchten einen kostenlosen Zertifikatsaussteller, um Administratoren kleiner Websites zum Wechsel zu überreden. und jetzt darf kein Browser-Anbieter gehen, weil dies dazu führen würde, dass sie in Bezug auf die Sicherheit selbstgefällig aussehen.

51
Thomas Pornin

Ich benutze startssl seit ungefähr anderthalb Jahren für ein kostenloses Zertifikat mit nur sehr kleinen Problemen [...][hat den größten Teil des Beitrags von 2012 entfernt, da er jetzt irrelevant ist]

EDIT 2016 : Es gibt keine technischen Probleme bei der Verwendung eines Zertifikats aus einem kostenlosen SSL-Zertifikat, solange Ihre Benutzer dieser Zertifizierungsstelle vertrauen. Bitte beachten Sie, dass Ihr Beispiel StartSSL von den meisten Browsern nicht mehr als vertrauenswürdig eingestuft wird.

Benutzer von kostenlosen Zertifikaten sollten sich darüber im Klaren sein, dass kostenlose Zertifikate notwendigerweise automatisch ausgestellt werden und ein Zertifikat für eine Domain ausstellen, sobald Sie die Gewissheit haben, dass Sie diese Domain kontrollieren. Sie bieten keine Validierung, dass Sie tatsächlich eine Organisation sind (Organisationsvalidierung), oder führen erweiterte Überprüfungen und Audits anhand offizieller Aufzeichnungen durch (erweiterte Validierung). Wenn jemand die Kontrolle über eine Domain mit einem ähnlichen Namen erlangt, kann er gültige SSL-Zertifikate für diese Domain mit ähnlichem Namen erhalten. (ZB schafft es jemand, america.com Zu registrieren und bringt Sie dazu, für Ihre Bankzwecke zu https://bank.of.america.com Zu gehen, und führt dann einen Man-in-the-Middle-Angriff mit https://www.bankofamerica.com In der richtigen Reihenfolge durch um Zugriff auf Ihr Konto zu erhalten.) Zugegeben, viele bezahlte Zertifikate bieten nur eine automatische Domain-Validierung. Die Idee hinter EV-Zertifikaten ist, dass Sie in der Standortleiste den Namen der CA-validierten Organisation sehen können, die existiert und Eigentümer dieser Domäne ist.

In der Regel bedeutet dies, dass Sie eine Zertifizierungsstelle benötigen, der die meisten gängigen Browser und Betriebssysteme standardmäßig implizit vertrauen. Einer der ersten kostenlosen Zertifikatanbieter ( CAcert ) hat in den meisten gängigen Browsern und Betriebssystemen nie standardmäßig Vertrauen erhalten. Daher sind ihre Zertifikate weniger nützlich, es sei denn, Sie wissen, dass Benutzer Ihrer Site installiert und vertrauenswürdig sind das CAcert-Stammzertifikat. Der Anbieter von kostenlosen SSL-Einstiegszertifikaten in Ihrem Beispiel (StartSSL), dem die meisten gängigen Browser und Betriebssysteme vertrauten. Die meisten gängigen Browser entfernen jedoch die Vertrauenswürdigkeit für StartSSL (unabhängig von der Ausstellung kostenloser Zertifikate - siehe unten). Es gibt jedoch jetzt einen anderen kostenlosen Zertifikatanbieter, dem die meisten gängigen Browser und Betriebssysteme vertrauen: Let's Encrypt .

Der Grund, warum StartSSL nicht mehr vertrauenswürdig ist, besteht darin, dass StartCom (das Unternehmen hinter StartSSL) seine Zertifizierungsstelle an eine chinesische Zertifizierungsstellenfirma (WoSign) verkauft hat, ohne den Verkauf öffentlich bekannt zu geben. Sie stellten auch ein Zertifikat für eine Github-Domain ohne Autorisierung aus und begannen mit der Rückdatierung von Signaturzertifikaten, um Browsereinschränkungen zu vermeiden. Große Browser-Anbieter (einschließlich Mozilla, Google, Apple) vertrauen den von ihnen ausgestellten Zertifikaten in ihren Produkten (einschließlich Firefox, Chrome, Safari) nicht mehr.

Für mehr Informationen:

https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

https://support.Apple.com/en-us/HT204132

https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

23
dr jimbob

Der technische Hauptnachteil wäre nur, dass die von ihnen generierten Zertifikate möglicherweise auch nicht vertrauenswürdig sind, wenn eine kostenlose Zertifizierungsstelle von Herstellern von Browsern oder Betriebssystemen nicht allgemein akzeptiert wird. Wenn es Probleme mit der Zertifizierungsstelle gibt, die dazu führen, dass das Stammzertifikat ungültig wird, können Probleme auftreten. Das heißt, Sie könnten möglicherweise mit jeder Zertifizierungsstelle auf dieselben Probleme stoßen, und es ist nicht unbedingt direkt ein technisches Problem.

6
AJ Henderson

Es gibt keine technischen Nachteile bei der Verwendung von kostenlosen SSL-Zertifikaten. Die SSL-Technologie und das SSL-Protokoll stellen sicher, dass der Handshake zwischen Client und Server robuste und sichere Sitzungsschlüssel generiert, um das Spoofing von Daten und Man-in-the-Middle-Angriffen zu verhindern. Sie müssen sicherstellen, dass Ihr kostenloser SSL-Anbieter den Echtzeit-Zertifikatstatus mithilfe von OCSP oder CRL ohne Fehler bereitstellt.

Wenn Sie den Endbenutzern mitteilen können, dass sie Ihrem SSL-Zertifikat auf irgendeine Weise oder auf irgendeinem Medium vertrauen sollen, sollte alles in Ordnung sein.

5
Mohit Sethi

Die Verwendung von StartSSL hat jetzt einen großen Nachteil: Große Browser vertrauen ihren Zertifikaten nicht mehr. Das Unternehmen und seine Muttergesellschaft handhabten Zertifikate und Verfahren nicht zur Zufriedenheit von Mozilla.

Firefox kündigte Pläne an, StartSSL-Zertifikaten im Oktober 2016 zu misstrauen: https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Google und Chrome Misstrauen gegenüber WoSign- und StartCom-Zertifikaten . Chrome entfernt nach und nach das Misstrauen gegenüber diesen Zertifikaten mit nachfolgenden Browserversionen .

  • Chrome 56 misstraut allen nach dem 21. Oktober 2016 ausgestellten Zertifikaten.
  • Chrome 57 misstraut auch allen alten Zertifikaten, es sei denn, die Website gehört zu den Top-1-Millionen-Websites von Alexa.
  • Chrome 58 misstraut auch allen alten Zertifikaten, es sei denn, die Website befindet sich in den Top 500.000 von Alexa.

Safari blockiert das Vertrauen für WoSign CA Free SSL-Zertifikate: https://support.Apple.com/en-us/HT202858

Quelle: Mein neues StartSSL-Zertifikat hat nicht funktioniert: https://webmasters.stackexchange.com/questions/103405/startssl-certificate-gives-sec-error-revoked-certificate-in-firefox-and-err -cert

1