¿Qué tan seguro es "Vamos a cifrar"? [duplicar]

18

Acabo de configurar e instalar un certificado SSL gratuito de Vamos a cifrar . Es genial y muy fácil de configurar.

Sin embargo, en esta era posterior a Snowden, me preguntaba qué tan seguro es esto. Por ejemplo, el procedimiento nunca te pide que crees una clave privada, en lugar de eso, mágicamente crean una para ti. Eso es genial y todo, pero ¿alguien ha visto qué tan seguro es esto?

Nota: he visto preguntas relacionadas como this . Sin embargo, se trata de cuán seguro es el "proceso" (contra el pirateo) y se supone que los certificados son seguros en sí mismos. Me preocupa más la seguridad del certificado y el cifrado resultante.

    
pregunta geert3 04.12.2015 - 11:46
fuente

2 respuestas

12

Prueba "acme-tiny"

Hay un proyecto de cliente alternativo "Vamos a cifrar" llamado "acme-tiny".

Es menos automatizado, pero más pequeño. En sus propias palabras :

  

Este es un script pequeño y auditable que puede lanzar en su servidor para emitir y renovar certificados de Let's Encrypt. Dado que debe ejecutarse en su servidor y tener acceso a su clave de cuenta privada de Let's Encrypt, traté de hacerlo lo más pequeño posible (actualmente menos de 200 líneas). Los únicos requisitos previos son python y openssl.

También: cliente habitual en modo manual.

Si confía en el cliente general de letsencrypt, pero solo desea crear el CSR manualmente, puede seguir los pasos que se describen aquí:

Y el corazón de esta idea es esta línea:

letsencrypt certonly \
    --authenticator manual \
    --server https://acme-v01.api.letsencrypt.org/directory --text \
    --email [email protected] \
    --csr signreq.der
    
respondido por el StackzOfZtuff 05.12.2015 - 11:45
fuente
3
  

Por ejemplo, el procedimiento nunca te pide que crees una clave privada, en lugar de eso, mágicamente crean una para ti.

Sé que la criptografía es mágica, pero en este caso también es segura ... :-)

Porque al usar un cliente de Let's Encrypt, el par de claves se genera localmente en su servidor y no se envía a los servidores de Let's Encrypt *, a diferencia de otras CA comerciales, que generaron la clave par en sus propios servidores. Si duda, debe verificar la fuente del cliente que está utilizando.

  

Me preocupa más la seguridad del certificado y el cifrado resultante.

El "cifrado resultante" depende completamente de su certificado & ssl / tls y no depende de la CA que use (= Vamos a cifrar). Como el cliente oficial de LE crea certificados de 2048 bits, puedo decir que son seguros. Todo lo demás depende de su config .

* Hay algunas excepciones a través, pero estas son muy raras. Hay algunos clientes de navegador web, que generan la clave privada en su navegador, pero puede evitarlo fácilmente: use un cliente real (fuera de línea) o, por ejemplo, hazlo manualmente con enlace .

    
respondido por el rugk 20.07.2016 - 20:00
fuente

Lea otras preguntas en las etiquetas