it-swarm-vi.com

Có những bất lợi kỹ thuật trong việc sử dụng chứng chỉ ssl miễn phí?

Lưu ý câu hỏi này có liên quan, ngoại trừ câu hỏi này là về miễn phí certs SSL.

Có những nhà cung cấp đang cung cấp các loại SSL SSL cấp nhập cảnh hoàn toàn miễn phí (như StartSSL). Tôi đã tự hỏi nếu chúng về mặt kỹ thuật giống như những người được trả tiền (ít nhất là với các chứng chỉ SSL cấp nhập cảnh như RapidSSL và positiveSSL)? Tôi hiểu rằng SSL mở rộng/tổ chức là một danh mục khác nhau, nhưng nếu bạn chỉ cần các chứng chỉ SSL cấp nhập cảnh, thì những cái miễn phí về mặt kỹ thuật có giống như các biến thể cấp nhập cảnh phải trả tiền không?

Hơn nữa, nếu chúng giống nhau về mặt kỹ thuật, tại sao bạn lại muốn trả tiền cho thứ gì đó có sẵn miễn phí?

44
IMB

Ở cấp độ byte, X.509 là X.509 và không có lý do tại sao các chứng chỉ SSL miễn phí sẽ tốt hơn hoặc kém hơn so với không miễn phí - giá không được ghi trong chứng chỉ. Bất kỳ nhà cung cấp chứng chỉ nào cũng có thể dò dẫm việc tạo chứng chỉ, bất kể anh ta có được trả tiền cho việc đó hay không.

Phần cứng của chứng chỉ nằm ngoài nó: nó nằm trong liên kết thủ tục, tức là mọi thứ được đặt để quản lý chứng chỉ: cách giữ khóa được xác thực bởi CA, cách hủy bỏ có thể được kích hoạt và thông tin tương ứng được tuyên truyền, loại bảo đảm pháp lý nào được cung cấp bởi CA, mức bảo hiểm, kế hoạch liên tục của nó ...

Đối với người mua chứng chỉ, giá trị lớn trong một CA cụ thể là nơi CA thành công trong việc đặt khóa gốc (trình duyệt, hệ điều hành ...). Các nhà cung cấp (Microsoft, Mozilla ...) có xu hướng yêu cầu khá nhiều nội dung quản trị và pháp lý từ CA trước khi chấp nhận đưa khóa gốc CA vào sản phẩm của họ và những thứ đó không miễn phí. Do đó, một CA có thể nhận được khóa gốc được phân phối nhưng phát ra chứng chỉ miễn phí có một kế hoạch kinh doanh đáng ngờ. Đây là lý do tại sao các đại lý chứng nhận miễn phí cũng cung cấp chứng chỉ thanh toán với một số đặc điểm bổ sung (certs tồn tại lâu hơn, certs với tên ký tự đại diện, thủ tục xác thực bổ sung ...): tại một số điểm, các nhà khai thác CA phải có một dòng tiền đến. Nhưng, cuối cùng, đó là vấn đề CA, không phải của bạn. Nếu họ sẵn sàng tặng chứng chỉ miễn phí Microsoft vẫn ổn với việc bao gồm khóa gốc của họ là "khóa mặc định đáng tin cậy" thì không có vấn đề gì đối với bạn trong việc sử dụng các chứng chỉ đó.

Chỉnh sửa: và hiện tại có Let Encrypt , đây là một CA miễn phí được các trình duyệt chính chấp nhận. Kế hoạch kinh doanh của họ không đáng ngờ - thực tế, họ không có kế hoạch kinh doanh nào cả. Họ hoạt động như một thực thể phi lợi nhuận và họ sống từ sự đóng góp. Họ tìm thấy một điểm thích hợp: họ đã mua từ các nhà cung cấp trình duyệt lớn, người đã tham gia một cuộc thập tự chinh để giết Web không phải HTTPS, và cần một nhà phát hành chứng chỉ miễn phí để thuyết phục các quản trị viên của các trang web nhỏ chuyển đổi; và bây giờ, không có nhà cung cấp trình duyệt nào có thể rời đi vì điều đó sẽ khiến họ trông tự mãn liên quan đến bảo mật.

51
Thomas Pornin

Tôi đã sử dụng startedsl cho chứng chỉ miễn phí trong khoảng một năm rưỡi nay chỉ với các vấn đề rất nhỏ [...][đã xóa hầu hết bài đăng từ năm 2012 vì hiện tại nó không liên quan]

EDIT 2016 : Không có vấn đề kỹ thuật nào khi sử dụng chứng chỉ từ chứng chỉ SSL miễn phí, miễn là người dùng đó có quyền sử dụng chứng chỉ đó. Xin lưu ý, ví dụ StartSSL của bạn không còn được tin cậy bởi hầu hết các trình duyệt.

Người dùng chứng chỉ miễn phí nên lưu ý rằng chứng chỉ miễn phí nhất thiết phải được cấp theo kiểu tự động sẽ cấp chứng chỉ cho tên miền một khi bạn có thể đảm bảo rằng bạn kiểm soát tên miền đó. Họ không cung cấp xác nhận rằng bạn thực sự là một tổ chức (xác thực tổ chức) hoặc kiểm tra và kiểm toán mở rộng đối với các hồ sơ chính thức (xác nhận mở rộng). Đó là nếu ai đó quản lý để có được quyền kiểm soát tên miền có tên tương tự, họ có thể nhận được chứng chỉ SSL hợp lệ cho tên miền tương tự đó. (Ví dụ: ai đó quản lý để đăng ký america.com và lừa bạn đi đến https://bank.of.america.com cho mục đích ngân hàng của bạn và sau đó thực hiện một cuộc tấn công trung gian với https://www.bankofamerica.com để có quyền truy cập vào tài khoản của bạn.) Được cấp, nhiều chứng chỉ phải trả tiền chỉ cung cấp xác thực tên miền tự động. Ý tưởng đằng sau các chứng chỉ EV là bạn có thể thấy trong thanh vị trí tên của tổ chức được xác thực CA tồn tại và sở hữu tên miền đó.

Thông thường, điều này có nghĩa là bạn muốn một cơ quan cấp chứng chỉ mà hầu hết các trình duyệt và hệ điều hành chính mặc định tin tưởng theo mặc định. Một trong những nhà cung cấp chứng chỉ miễn phí đầu tiên ( CAcert ) không bao giờ có được sự tin tưởng mặc định trong hầu hết các trình duyệt và hệ điều hành chính và do đó, chứng chỉ của họ ít hữu ích hơn, trừ khi bạn biết người dùng trang web của bạn đã cài đặt và tin cậy chứng chỉ gốc CAcert. Nhà cung cấp các chứng chỉ SSL cấp nhập cảnh miễn phí trong ví dụ của bạn (StartSSL), được sử dụng để được tin cậy bởi hầu hết các trình duyệt và hệ điều hành chính. Tuy nhiên, hầu hết các trình duyệt chính đang loại bỏ sự tin tưởng đối với StartSSL (không liên quan đến việc cấp chứng chỉ miễn phí - xem bên dưới). Tuy nhiên, hiện tại có một nhà cung cấp chứng chỉ miễn phí khác được tin tưởng bởi hầu hết các trình duyệt và hệ điều hành lớn có tên Let Encrypt .

Lý do StartSSL không còn đáng tin cậy là StartCom (công ty đứng sau StartSSL) đã bán CA của họ cho một công ty CA Trung Quốc (WoSign) mà không tiết lộ công khai việc bán. Họ cũng đã cấp chứng chỉ cho một tên miền github mà không được phép và bắt đầu sao lưu chứng chỉ ký để tránh các hạn chế của trình duyệt. Các nhà cung cấp trình duyệt lớn (bao gồm Mozilla, Google, Apple) đã bắt đầu không còn tin tưởng các chứng chỉ do họ cấp trong các sản phẩm của họ (bao gồm Firefox, Chrome, Safari).

Để biết thêm thông tin:

https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certert/

https://support.Apple.com/en-us/HT204132

https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

23
dr jimbob

Nhược điểm kỹ thuật chính sẽ chỉ là nếu một CA miễn phí không được chấp nhận rộng rãi bởi các nhà sản xuất trình duyệt hoặc hệ điều hành, thì chứng chỉ mà họ tạo ra cũng có thể không được tin cậy. Ngoài ra, nếu có bất kỳ vấn đề nào với CA khiến chứng chỉ gốc của họ bị vô hiệu, thì bạn có thể gặp vấn đề. Điều đó nói rằng, bạn có khả năng có thể gặp phải các vấn đề tương tự với bất kỳ CA nào và nó không thực sự là vấn đề kỹ thuật trực tiếp.

6
AJ Henderson

Không có nhược điểm kỹ thuật khi sử dụng bất kỳ chứng chỉ SSL miễn phí nào. Công nghệ và giao thức SSL đảm bảo rằng việc bắt tay giữa máy khách và máy chủ tạo ra các khóa phiên mạnh mẽ và an toàn để ngăn chặn việc giả mạo dữ liệu và con người trong các cuộc tấn công giữa. Bạn cần đảm bảo rằng nhà cung cấp SSL miễn phí của bạn cung cấp trạng thái chứng chỉ theo thời gian thực bằng cách sử dụng OCSP hoặc CRL mà không bị lỗi.

Nếu bạn có thể yêu cầu người dùng cuối tin tưởng chứng chỉ SSL của mình bằng bất kỳ phương tiện hoặc phương tiện nào, mọi thứ sẽ ổn.

5
Mohit Sethi

Hiện tại có một bất lợi lớn khi sử dụng StartSSL: các trình duyệt lớn không còn tin tưởng vào chứng chỉ của họ. Công ty và công ty mẹ không xử lý các chứng chỉ và quy trình đối với sự hài lòng của Mozilla.

Firefox đã công bố kế hoạch không tin tưởng các chứng chỉ StartSSL vào tháng 10 năm 2016: https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certert/

Google và Chrome Không tin cậy Chứng chỉ WoSign và StartCom . Chrome đang loại bỏ dần việc không tin tưởng các chứng chỉ này với các bản phát hành trình duyệt tiếp theo .

  • Chrome 56 làm mất tập trung tất cả các chứng chỉ được cấp sau ngày 21 tháng 10 năm 2016.
  • Chrome 57 cũng làm mất tập trung tất cả các chứng chỉ cũ trừ khi trang web này nằm trong top một triệu trang web của Alexa.
  • Chrome 58 cũng làm mất tập trung tất cả các chứng chỉ cũ trừ khi trang web nằm trong top 500.000 của Alexa.

Safari đang chặn niềm tin đối với Chứng chỉ SSL miễn phí của WoSign CA: https://support.Apple.com/en-us/HT202858

Nguồn: Chứng chỉ StartSSL mới của tôi không hoạt động: https://webmasters.stackexchange.com/questions/103405/startssl-certert-gives-sec-error-revoking-certuler-in-firefox-and-err -cert

1
Stephen Ostermiller