(如果该服务还没有的缺点,可以忽略不计-我更想知道缺点,一旦可供大众使用。)
#1 楼
让我们加密是一个证书颁发机构,它们具有与市场上任何其他现有(和更大)证书颁发机构差不多的特权和功能。到目前为止,使用此证书的主要目的是Let's Encrypt证书具有兼容性。这是任何新的CA进入市场时都面临的问题。
为了使证书受信任,必须由属于受信任CA的证书对其进行签名。为了获得信任,CA必须在浏览器/ OS中捆绑有签名证书。假设今天的CA从第0天起就获得了每个浏览器/ OS的根证书程序的批准(这是不可能的),那么它将进入当前市场。但是,它们将不能包含在较早(且已经发布)的版本中。
换句话说,如果CA Foo在Google Chrome版本为48的第0天加入根程序并且最大OSX为10.7,则Foo CA不会包含在(且不受信任)48之前的任何版本的Chrome或10.7之前的Mac OSX中。您不能追溯地信任CA。
为了限制兼容性问题,让我们的加密将其根证书与另一个较旧的CA(IdenTrust)交叉签名。这意味着不包含LE根证书的客户端仍可以回退到IdenTrust,并且在理想环境中该证书将受到信任。实际上,似乎在许多情况下当前没有发生这种情况(Java,Windows XP,iTunes和其他环境)。因此,这就是使用Let's Encrypt证书的主要缺点:与其他较早的竞争对手相比,兼容性降低。
除了兼容性之外,其他可能的缺点还与Let's Encrypt的发行政策及其业务决策有关。像任何其他服务一样,它们可能不提供您需要的某些功能。
与其他CA相比,Let's Encrypt有一些显着差异(我也写过一篇文章):
LE当前不颁发通配符证书(它们将开始颁发)通配符证书于2018年1月发布)LE现在使用已更新的ACMEv2协议发行通配符证书
LE证书的有效期为90天
LE仅颁发域或DNS验证的证书(计划不发行OV或EV,因此它们仅验证所有权,而不验证请求证书的实体)
当前非常严格的速率限制†(它们将继续放宽该限制,同时接近Beta的末尾)
以上几点不一定有不利之处。但是,它们是可能无法满足您特定要求的业务决策,与其他选择相比,它们将代表不利。
†主要汇率限制是每个注册域20个证书每个星期。但是,这并不限制您每周可以发出的续订次数。
评论
当然是最好,最客观的答案。也很好地解释了信任问题。
–地毯
16年7月20日在18:04
让我们加密的通配符证书将于2018年1月发布letencrypt.org/2017/07/06/…
– Chintak Chhapia
17年9月12日在8:39
注意,让我们的加密机构将证书颁发给* .stackexchange.com :)
– Serhii Kyslyi
19-09-25在15:47
#2 楼
使用“让我们加密”的原因可能是价格。这些证书将是免费的。但是我看到非小型网站可能存在的缺点。 Big CA提供通配符证书,扩展验证证书,这些证书具有一些优点(从我的角度来看)。此外,该程序是针对Web服务器的,但是如果您有一些应用程序服务器或要保护邮件服务器的安全,该怎么办?
更新:当前可以请求证书,而不是绑定到Web服务器。所以我的最后一个论点不再有效。以下是使用此选项的一些示例:
./letsencrypt-auto certonly --standalone -d example.com
Update2:从2018年1月开始,我们的加密将开始颁发通配符证书
通配符证书将于2018年1月发布
2017年7月6日•ISRG执行总监Josh Aas
让我们的加密将从2018年1月开始发布通配符证书。通配符证书是常用的功能,我们知道在某些用例中它们使HTTPS
的部署更加容易。我们希望提供通配符将有助于
加快Web向100%HTTPS迈进的步伐。
因此,再有一个论点不再有效。
评论
关于扩展验证证书的好处以及让我们加密对应用程序服务器的支持尚不清楚。关于通配符证书,相对于众多的“让我们加密”证书,这些通配符有什么优点吗?我猜一个是,您不必为每个子域都设置一个,也不必将来再创建一个。让我知道您是否还有其他好处。谢谢
– Dolan Antenucci
2015年6月6日18:40
@DolanAntenucci,使用通配符证书,可以简化在服务器范围内部署它的过程。并且(仅举例来说)我在程序的站点上看到了Debian / Ubuntu命令的演示(希望用于SuSE和RHEL / CentOS等其他发行版)。也许会有针对* BSD的工具。但是,Solaris x86和Windows呢?对于子域-这可能是通配符证书的一些缺点,因为它们只能在一个域中工作,即* example.com将不提供romeo.ninov.example.com。总的来说,对我来说,这看起来像是一种明智的主动行动,但让我们看看:)
–罗密欧·尼诺夫(Romeo Ninov)
2015年6月6日19:02
您可以为每个证书请求多个域,因此可以获得一个涵盖wiki.example.com,mail.example.com,www.example.com,example.com的证书。它只是不会涵盖您未明确请求/验证的子域
– bobpaul
16年1月28日在23:06
@bobpaul,确切地说,证书适用于主机(如果不是通配符)。是的,您可以为管理该域所需的所有主机定义证书
–罗密欧·尼诺夫(Romeo Ninov)
16年1月29日在7:09
公平地说,我不能确定所有其他CA(甚至是出售货币证书的CA)都提供OV或EV证书。但是,当然,如果您确实想要除域验证证书之外的其他功能,那么“加密”显然不适合您。
–用户
17年6月30日在8:03
#3 楼
大公司不考虑使用“让我们加密”的一个缺点是,连接到该站点的访问者无法确定是站点的实际托管公司。这是因为“让我们加密”为没有身份验证(个人或公司)的免费域(让我们的加密仅提供域验证)。
编辑添加:
出于安全传输的目的,这不是大问题。但是,如果您想验证查找的域名所在的真实公司,则
whois查找可能是不够的。 2级或3级或EV证书的优点是公司和域由证书颁发机构验证。评论
我不确定这就是为什么大公司不会选择它的原因。大公司更可能需要通配符证书(在某些情况下,您无法在IIS中使用通配符证书),而“让我们加密”将您限制为每个域5次操作/ 7天。因此,如果您有很多服务器和很多子域,那么可以想象很难在90天的时间内安排所有续订,并且假设Let's Encrypt不会遭受阻止几天注册的失败。
– bobpaul
16年1月1日在20:42
90天夜夜尖叫,为什么要增加工作量。此外,它们还取决于时间,而不是通常的CRL吊销方法,并且已经有了利用放贷的理由,实际上并不需要吊销。尽管您可以撤消自己的证书,但有必要撤销犯罪活动。
–惨败实验室
16 Mar 2 '16 at 0:38
@Alasjo,您的回答有点吓人,因此不清楚。让我们加密不会免费颁发DV证书。与其他任何CA一样,它们也需要域验证。的确,大公司可能希望其主域超出域验证范围,但并非总是如此,而且问题也不是大公司所独有的。
–布莱恩·菲尔德(Bryan Field)
16-10-28在13:31
@GeorgeBailey对,我的措词有点不清楚,我对答案进行了编辑,以反映它是“免费的”,而不是“免费提供的”。谢谢。我还添加了一条注释,说明为什么我认为身份验证很有用。
–阿拉斯加
16年9月9日在12:52
公平地说,我不能确定所有其他CA(甚至是出售货币证书的CA)都提供OV或EV证书。但是,当然,如果您确实想要除域验证证书之外的其他功能,那么“加密”显然不适合您。
–用户
17年6月30日在8:03
#4 楼
使用Let'encrypt的另一个问题是,在企业场景中,我们还需要安装证书到负载均衡器和CDN提供程序。并非所有CDN提供程序都有API来自动更改此设置。同样,到目前为止,让我们加密的有效期为90天,这使此过程更加复杂。#5 楼
是的,通过使用“让我们加密”,您可以撤销捍卫自己的知识产权(包括专利,商标,商业秘密或版权)的权利,以免受到ISRG的侵犯。https://letsencrypt.org/documents/LE-SA -v1.1.1-August-1-2016.pdf
就免责声明的范围作进一步解释,
不作任何限制或限制,ISRG不做任何声明,并且ISRG明确否认对它的任何担保
使用发给我们的加密证书的技术,发明,技术设计,过程或业务方法的权利。或
提供ISRG的任何服务。您出于任何侵犯知识产权的权利,包括对专利,商标,贸易秘密,
版权。
最后一句话。
评论
您的解释是完全错误的。我可以逐行列出法律理由,但这确实是要由法律专家来考虑的,为此,有law.stackexchange.com。
– schroeder♦
18-10-18在19:27
为了帮助您,我提出了一个问题:law.stackexchange.com/questions/32735/…
– schroeder♦
18-10-18在20:13
评论
2015年12月3日,让我们加密(测试版)对公众开放。我碰到的一个原因是它不起作用!看看所有的问题! github.com/certbot/certbot/issues和community.letsencrypt.org。如果您为证书付费,则可以获得(一些)支持,而且它是手册,因此没有任何问题。