it-swarm-tr.com

Ücretsiz SSL sertifikalarını kullanmanın teknik dezavantajları var mı?

Not bu sor ilişkilidir, bunun dışında yaklaşık ücretsiz SSL sertifikası vardır.

Tamamen ücretsiz giriş düzeyinde SSL sertifikaları sunan sağlayıcılar vardır (StartSSL gibi). Teknik olarak ücretli olanlar ile aynı şey olup olmadığını merak ediyordum (en azından RapidSSL ve PositiveSSL gibi giriş seviyesi SSL sertifikaları ile)? Genişletilmiş/kuruluş SSL'sinin farklı bir kategori olduğunu anlıyorum, ancak yalnızca giriş düzeyinde SSL sertifikalarına ihtiyacınız varsa, ücretsiz olanlar teknik olarak ücretli giriş düzeyi değişkenleriyle aynı mıdır?

Dahası, eğer teknik olarak aynılarsa, neden ücretsiz olan bir şey için ödeme yapmak istesin?

44
IMB

Bayt düzeyinde, X.509 X.509'dur ve ücretsiz SSL sertifikalarının özgür olmayandan daha iyi veya daha kötü olmasının bir nedeni yoktur - fiyat sertifikaya yazılmaz. Herhangi bir sertifika sağlayıcısı, kendisine ödeme yapılıp yapılmadığına bakılmaksızın sertifika üretimini bozabilir.

Bir sertifikanın zor kısmı bunun dışındadır: ilişkili prosedürler, yani sertifikaları yönetmek için mevcut olan her şey: anahtar sahibinin CA tarafından nasıl doğrulandığı, nasıl iptal edildiği tetiklenebilir ve ilgili bilgiler çoğaltılabilir, CA tarafından ne tür bir yasal garanti sunulmaktadır, sigorta seviyeleri, süreklilik planları ...

Sertifika alıcısı için, belirli bir CA'daki en büyük değer, CA'nın kök anahtarını (tarayıcılar, işletim sistemleri ...) yerleştirmeyi başardığı değerdir. Satıcılar (Microsoft, Mozilla ...), CA kök anahtarını ürünlerine dahil etmeyi kabul etmeden önce CA'dan oldukça fazla yönetici ve yasal malzeme gerektirme eğilimindedir ve bu tür şeyler ücretsiz değildir. Bu nedenle, kök anahtarını dağıtabilen ancak ücretsiz sertifika yayan bir CA'nın şüpheli bir iş planı vardır. Bu nedenle serbest sertifikalı bayiler ayrıca bazı ekstra özelliklere sahip (daha uzun süre dayanan certs, joker karakterli certs, ekstra kimlik doğrulama prosedürleri ...) ücretli sertifikalar sunmaktadır: bir noktada CA operatörleri gelen bir nakit akışına sahip olmalıdır. Ama sonuçta, bu CA sorunu, senin değil. Sertifikaları ücretsiz olarak vermek istiyorlarsa ve Microsoft, kök anahtarlarını "varsayılan anahtar tarafından güvenilen" olarak dahil etmekte sorun yoksa, sorun yoktur sizin için bu tür sertifikaları kullanırken.

Düzenleme: ve şimdi büyük tarayıcılar tarafından kabul edilen ücretsiz bir CA olan Let's Encrypt var. İş planları şüpheli değil - aslında bir iş planları yok. Kâr amacı gütmeyen bir kuruluş olarak çalışırlar ve bağışlardan yaşarlar. Güzel bir niş buldular: HTTPS olmayan Web'i öldürmek için bir haçlı seferi yapan büyük tarayıcı satıcılarından satın aldılar ve küçük Web sitelerinin yöneticilerini geçiş yapmaya ikna etmek için ücretsiz bir sertifika düzenleyicisine ihtiyaçları vardı; ve şimdi, hiçbir tarayıcı satıcısı güvenlik konusunda şikayetçi görüneceğinden ayrılamaz.

51
Thomas Pornin

Ben sadece çok küçük sorunları ile yaklaşık bir buçuk yıldır ücretsiz sertifika için startssl kullanıyorum [...][şimdi ilgisiz olduğu için yayının çoğunu 2012'den kaldırdık]

2016 EDIT : Sertifika yetkilisine kullanıcılarınız tarafından güvenildiği sürece, ücretsiz SSL sertifikasından sertifika kullanmanın teknik bir problemi yoktur. Lütfen örnek StartSSL'nize artık çoğu tarayıcı tarafından güvenilmediğini unutmayın.

Ücretsiz sertifika kullanıcıları, söz konusu alanı kontrol ettiğinize dair bir güvence verdikten sonra, ücretsiz sertifikaların mutlaka bir alan için sertifika verecek şekilde otomatik olarak verildiğini bilmelidir. Gerçekte bir kuruluş olduğunuzu (kuruluş doğrulaması) doğrulamazlar veya resmi kayıtlara karşı kapsamlı denetimler ve denetimler yaparlar (genişletilmiş onaylama). Birisi, benzer bir ada sahip bir alanın kontrolünü ele geçirmeyi başarırsa, benzer şekilde adlandırılmış alan için geçerli SSL sertifikaları alabilir. (Örneğin, birisi america.com 'U kaydetmeyi başarır ve bankacılık amaçlarınız için sizi https://bank.of.america.com' A yönlendirir ve ardından https://www.bankofamerica.com İle ortadaki bir adam saldırısı yapar Hesabınıza erişim elde etmek için.) Verilen, birçok ücretli sertifika yalnızca otomatik alan doğrulaması sağlar. EV sertifikalarının arkasındaki fikir, konum çubuğunda bu etki alanının var olan ve sahip olduğu CA onaylı kuruluşun adını görebilmenizdir.

Genellikle, bu, çoğu büyük tarayıcı ve işletim sisteminin varsayılan olarak örtük olarak güvendiği bir sertifika yetkilisi istediğiniz anlamına gelir. Çoğu büyük tarayıcıya ve işletim sistemine varsayılan güvenle asla güvenilmeyen ilk ücretsiz sertifika sağlayıcılarından biri ( CAcert ) ve sonuç olarak, sitenizin kullanıcılarının yüklü ve güvenilir olduğunu bilmedikçe sertifikaları daha az yararlı CAcert kök sertifikası. Örneğinizdeki (StartSSL) ücretsiz giriş seviyesi SSL sertifikalarının sağlayıcısı, eskiden çoğu büyük tarayıcı ve işletim sistemi tarafından güveniliyordu. Bununla birlikte, büyük tarayıcıların çoğu StartSSL'ye olan güveni kaldırmaktadır (ücretsiz sertifika yayınlamalarıyla ilgili değildir - aşağıya bakın). Ancak, Let's Encrypt adlı çoğu büyük tarayıcı ve işletim sistemi tarafından güvenilen başka bir ücretsiz sertifika sağlayıcısı var.

StartSSL'nin artık güvenilmemesinin nedeni, StartCom'un (StartSSL'nin arkasındaki şirket) satışlarını kamuya açıklamadan CA'larını bir Çinli CA şirketine (WoSign) satmasıdır. Ayrıca, yetkisiz bir github alanı için bir sertifika yayınladılar ve tarayıcı kısıtlamalarını önlemek için imza sertifikalarını geri yüklemeye başladılar. Büyük tarayıcı satıcıları (Mozilla, Google, Apple dahil) artık ürünlerinde (Firefox, Chrome, Safari dahil) verdikleri sertifikalara güvenmeye başlamamıştır.

Daha fazla bilgi için:

https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

https://support.Apple.com/en-us/HT204132

https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

23
dr jimbob

Ana teknik dezavantaj, yalnızca ücretsiz bir CA'nın tarayıcı veya işletim sistemi üreticileri tarafından yaygın olarak kabul edilmemesi durumunda, oluşturdukları sertifikalara da güvenilmeyebilmesidir. Ayrıca, CA'da kök sertifikalarının geçersiz kılınmasına neden olan herhangi bir sorun varsa, sorunlarla karşılaşabilirsiniz. Bununla birlikte, potansiyel olarak herhangi bir CA ile aynı sorunlarla karşılaşabilirsiniz ve bunun doğrudan doğrudan teknik bir sorun olması gerekmez.

6
AJ Henderson

Ücretsiz SSL sertifikalarını kullanmanın teknik bir dezavantajı yoktur. SSL teknolojisi ve protokolü, istemci ve sunucu arasındaki el sıkışmasının, orta saldırılardaki veri ve insan sızmasını önlemek için sağlam ve güvenli oturum anahtarları oluşturmasını sağlar. Ücretsiz SSL sağlayıcınızın OCSP veya CRL kullanarak hatasız gerçek zamanlı sertifika durumu sağladığından emin olmanız gerekir.

Son kullanıcılara SSL sertifikanıza herhangi bir şekilde veya ortama güvenmelerini söyleyebiliyorsanız, her şey yolunda olmalıdır.

5
Mohit Sethi

Artık StartSSL'yi kullanmanın büyük bir dezavantajı var: büyük tarayıcılar artık sertifikalarına güvenmiyor. Şirket ve ana şirketi Mozilla'nın memnuniyeti için sertifikalar ve prosedürler kullanmıyordu.

Firefox, Ekim 2016'da StartSSL sertifikalarına güvensizlik yapmayı planladığını açıkladı: https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Google ve Chrome WoSign ve StartCom Sertifikalarına Güvensizlik . Chrome, sonraki sertifika sürümleriyle bu sertifikalara giderek güvenmekten kurtuluyor .

  • Chrome 56, 21 Ekim 2016'dan sonra verilen tüm sertifikalara güvenmez.
  • Site 57, Alexa en iyi bir milyon sitede yer almadığı sürece Chrome 57 de tüm eski sertifikalara güvenmiyor.
  • Chrome 58, site Alexa'nın en büyük 500.000 sürümünde olmadığı sürece tüm eski sertifikaları da rahatsız ediyor.

Safari, WoSign CA Free SSL Sertifikaları için güveni engelliyor: https://support.Apple.com/en-us/HT202858

Kaynak: Yeni StartSSL sertifikam işe yaramadı: https://webmasters.stackexchange.com/questions/103405/startssl-certificate-gives-sec-error-revoked-certificate-in-firefox-and-err -cert

1