¿Hay algún inconveniente en el uso de Let's Encrypt para los certificados SSL de un sitio web?

Question

¿Hay algún inconveniente en el uso de Let's Encrypt para los certificados SSL de un sitio web?

#1 de Simone Carletti (70 votos)
#2 de Romeo Ninov (16 votos)
#3 de Alasjo (11 votos)
#4 de Chintak Chhapia (1 votos)
#5 de encrypto (-5 votos)

68

Por el lado de las ventajas, veo varios beneficios de usar el servicio Let's Encrypt (por ejemplo, el servicio es gratuito, fácil de configurar y fácil de mantener). Me pregunto cuáles son las desventajas, si las hay, de usar Let's Encrypt. ¿Alguna razón por la cual los operadores de sitios web, ya sean grandes como Twitter o pequeños como un fotógrafo local, no deberían considerar reemplazar sus servicios SSL existentes con compañías como GoDaddy con este servicio?

(Si el servicio aún no está disponible, esta desventaja se puede ignorar. Me pregunto más sobre las desventajas una vez que esté disponible para uso público en general).

tls certificates certificate-authority webserver letsencrypt

pregunta Dolan Antenucci 06.06.2015 - 15:54

fuente

5 respuestas

16

La razón para usar Let's Encrypt puede ser el precio. Esos certificados serán gratuitos.

Pero veo una posible desventaja para los sitios web no pequeños. Big CA ofrece certificados comodín, certificados de validación extendida que tienen algunas ventajas (desde mi punto de vista). Además, este programa está dirigido a servidores web, pero ¿qué ocurre si tiene algún servidor de aplicaciones o si desea proteger el servidor de correo?

Actualizar : actualmente es posible solicitar un certificado, no enlazado a servidores web. Así que mi último argumento ya no es válido. Aquí hay un ejemplo de cómo usar esta opción:

./letsencrypt-auto certonly --standalone -d example.com

Update2 : a partir de enero de 2018, Let's Encrypt comenzará a emitir certificados comodín

Certificados de comodín en enero de 2018

6 de julio de 2017 • Josh Aas, Director Ejecutivo de ISRG

Let´s Encrypt comenzará a emitir certificados comodín en enero de   2018. Los certificados comodín son una característica comúnmente solicitada y entendemos que hay algunos casos de uso en los que hacen HTTPS   despliegue mas facil Nuestra esperanza es que ofrecer comodines ayude a   acelerar el progreso de la Web hacia el 100% de HTTPS.

Entonces, un argumento más ya no es válido.

respondido por el Romeo Ninov 06.06.2015 - 17:02

fuente

11

Una desventaja que hace que las grandes empresas no consideren a Let's Encrypt es que los visitantes que se conectan al sitio no pueden estar seguros de que la empresa real aloja el sitio.

Esto se debe a que Let's Encrypt emite certificados para un dominio sin cargo y sin validación de identidad (personal o corporativo) ( Let's Encrypt solo ofrece validación de dominio ).

Editado para agregar: Para el propósito de la transmisión segura esto no es un gran problema. Pero, si desea verificar que es la empresa real que buscaba, que tiene el nombre de dominio, una búsqueda whois puede no ser suficiente. Los certificados de clase 2 o 3 o EV tienen la ventaja de que la empresa y el dominio son verificados por la autoridad de certificación.

respondido por el Alasjo 06.06.2015 - 17:04

fuente

1

Un problema más con el uso de Let'encrypt es que en el escenario empresarial necesitamos instalar un certificado para cargar el equilibrador y también el proveedor de CDN. No todos los proveedores de CDN tienen API para cambiar esto automáticamente. También a partir de ahora la validez de Let's encrypt es de 90 días, lo que complica más este proceso.

respondido por el Chintak Chhapia 12.09.2017 - 10:46

fuente

-5

Sí, al utilizar Let's Encrypt revoca su derecho a defender su propiedad intelectual, incluidas las patentes, marcas comerciales, secretos comerciales o derechos de autor contra las infracciones de ISRG.

enlace

A LA MANERA DE UNA EXPLICACIÓN ADICIONAL SOBRE EL ALCANCE DEL DESCARGO DE RESPONSABILIDAD, Y SIN RENUNCIA O LIMITAR LO ANTERIOR DE NINGUNA MANERA, ISRG LO HACE NO HACER, E ISRG EXPRESAMENTE DECLARACIONES, NINGUNA GARANTÍA CON RESPECTO A SU DERECHO DE UTILIZAR CUALQUIER TECNOLOGÍA, INVENCIÓN, DISEÑO TÉCNICO, PROCESO, O MÉTODO DE NEGOCIO UTILIZADO EN CUALQUIER EXPEDICIÓN DEMANDEMOS CERTIFICADOS O PROPORCIONANDO CUALQUIERA DE LOS SERVICIOS DE ISRG. USTED AFIRMATIVAMENTE Y EXPRESAMENTE RENUNCIAR EL DERECHO DE MANTENER RESPONSABLE A ISRG DE CUALQUIER MANERA, O BUSCAR INDEMNIZACIÓN CONTRA EL ISRG, POR CUALQUIER INFRACCIÓN DEL INTELECTUAL DERECHOS DE PROPIEDAD, INCLUIDOS PATENTES, MARCAS COMERCIALES, SECRETOS COMERCIALES, O DERECHOS DE AUTOR.

La última oración.

respondido por el encrypto 18.10.2018 - 21:02

fuente

Lea otras preguntas en las etiquetas tls certificates certificate-authority webserver letsencrypt

La seguridad POR la oscuridad es horrible. ¿Es buena la seguridad y la oscuridad? ¿Cómo funciona el hacking?

score 70 · Accepted Answer

Let's Encrypt es una Autoridad de Certificación, y tienen más o menos los mismos privilegios y poder que cualquier otra autoridad de certificación existente (y más grande) en el mercado.

A partir de hoy, el principal objetivo negativo de usar un certificado de Let's Encrypt es la compatibilidad. Este es un problema al que se enfrenta cualquier CA cuando se acerca al mercado.

Para que un certificado sea de confianza, debe estar firmado por un certificado que pertenezca a una CA de confianza. Para ser confiable, una CA debe tener el certificado de firma incluido en el navegador / sistema operativo. Una CA que ingresa al mercado hoy, asumiendo que están aprobadas para el programa de certificado raíz de cada navegador / sistema operativo desde el día 0 (lo cual es imposible), se incluirá en las versiones actuales de los distintos navegadores / sistemas operativos. Sin embargo, no podrán incluirse en versiones anteriores (y ya publicadas).

En otras palabras, si un CA Foo se une al programa raíz en el Día 0 cuando la versión de Google Chrome es 48 y el Max OSX es 10.7, el CA de Foo no se incluirá (y será de confianza) en ninguna versión de Chrome anterior a la 48 o Mac OSX antes de la 10.7. No puedes confiar retroactivamente en una CA.

Para limitar el problema de compatibilidad, Let's Encrypt obtuvo su certificado raíz firmado por otra CA anterior (IdenTrust). Esto significa que un cliente que no incluye el certificado raíz LE aún puede recurrir a IdenTrust y el certificado será de confianza ... en un mundo ideal. De hecho, parece que hay varios casos en los que esto no está ocurriendo actualmente (Java, Windows XP, iTunes y otros entornos ). Por lo tanto, esa es la principal desventaja de usar un certificado de Let's Encrypt: una compatibilidad reducida en comparación con otros competidores más antiguos.

Además de la compatibilidad, otras posibles desventajas están esencialmente relacionadas con la política de emisión de Let's Encrypt y sus decisiones comerciales. Como cualquier otro servicio, es posible que no ofrezcan algunas de las funciones que necesita.

Aquí hay algunas diferencias notables de Let's Encrypt en comparación con otras CA ( También escribí un artículo sobre ellos ):

~~LE actualmente no emite certificados comodín (comenzarán ) certificados de comodín en enero de 2018 )~~ LE es ahora emitiendo certificados comodín utilizando el protocolo actualizado ACMEv2
Los certificados LE tienen un vencimiento de 90 días
LE solo emite certificados validados por DNS o dominio (no planean emitir OV o EV, por lo tanto, solo validan la propiedad y no la entidad que solicita el certificado)
~~muy restrictivo~~ límite de velocidad actual ^† < del> (continuarán relajando el límite mientras se acercan al final de la versión beta)

Los puntos anteriores no son necesariamente desventajas. Sin embargo, son decisiones de negocios que pueden no cumplir con sus requisitos específicos y, en ese caso, representarán desventajas en comparación con otras alternativas.

^† el límite de tasa principal es de 20 certificados por dominio registrado por semana. Sin embargo, esto no no restringe el número de renovaciones que puede emitir cada semana.