¿Existen desventajas técnicas en el uso de certificados ssl gratuitos?

39

Nota esta pregunta está relacionada, excepto que esta es sobre certificados SSL gratuitos .

Hay proveedores que ofrecen certificados SSL de nivel de entrada totalmente gratuitos (como StartSSL). Me preguntaba si técnicamente son lo mismo que los pagados (al menos con los certificados SSL de nivel de entrada como RapidSSL y PositiveSSL). Entiendo que SSL ampliado / de organización es una categoría diferente, pero si solo necesita certificados SSL de nivel de entrada, ¿son los gratuitos gratuitos técnicamente iguales a las variantes de nivel de entrada de pago?

Además, si son técnicamente iguales, ¿por qué querría pagar algo que está disponible de forma gratuita?

    
pregunta IMB 20.08.2012 - 16:36
fuente

5 respuestas

46

A nivel de byte, X.509 es X.509 y no hay ninguna razón por la que los certificados SSL gratuitos sean mejores o peores que los no gratuitos: el precio no está escrito en el certificado. Cualquier proveedor de certificados puede perder la generación del certificado, independientemente de si se le paga o no.

La parte difícil de un certificado está fuera de él: está en los procedimientos asociados, es decir, todo lo que existe para administrar los certificados: cómo la CA autentica el titular de la clave, cómo se puede activar la revocación y propagarse la información correspondiente, qué tipo de garantía legal ofrece la AC, sus niveles de seguro, sus planes de continuidad ...

Para el comprador del certificado, el gran valor en una CA particular es donde la CA logró colocar su clave raíz (navegadores, sistemas operativos ...). Los proveedores (Microsoft, Mozilla ...) tienden a requerir una gran cantidad de información administrativa y legal de la CA antes de aceptar incluir la clave raíz de la CA en sus productos, y esas cosas no son gratis. Por lo tanto, una CA que podría distribuir su clave raíz pero emitir certificados de forma gratuita tiene un plan de negocios sospechoso. Esta es la razón por la que los distribuidores de certificados gratuitos también ofrecen certificados pagados con algunas características adicionales (certificados que duran más tiempo, certificados con nombres de comodines, procedimientos de autenticación adicionales ...): en algún momento, los operadores de CA deben tener un flujo de caja entrante. Pero, en última instancia, ese es el problema de CA, no el tuyo. Si están dispuestos a regalar certificados de forma gratuita y , Microsoft está de acuerdo con incluir su clave raíz como una "clave de confianza por defecto", entonces no hay problema para usted al usar dichos certificados.

    
respondido por el Thomas Pornin 20.08.2012 - 17:12
fuente
23

He estado usando startssl para obtener un certificado gratuito durante aproximadamente un año y medio ahora con solo unos problemas muy pequeños [...] [eliminé la mayor parte de la publicación de 2012, ya que es irrelevante ahora]

EDITAR 2016 : no hay problemas técnicos al utilizar un certificado de un certificado SSL gratuito, siempre que los usuarios confíen en la autoridad del certificado. Tenga en cuenta que la mayoría de los navegadores ya no confían en su ejemplo StartSSL.

Los usuarios de certificados gratuitos deben tener en cuenta que los certificados gratuitos se emiten necesariamente de manera automática y que emitirán un certificado para un dominio una vez que pueda garantizar que usted controla ese dominio. No proporcionan la validación de que en realidad usted es una organización (validación de la organización), o hacen verificaciones y auditorías extendidas de los registros oficiales (validación extendida). Es decir, si alguien logra controlar un dominio con un nombre similar, podría obtener certificados SSL válidos para ese dominio de nombre similar. (Por ejemplo, alguien se las arregla para registrar america.com y te engaña para que vayas a https://bank.of.america.com para tus propósitos bancarios y luego realiza un ataque de hombre en el medio con https://www.bankofamerica.com para poder acceder a tu cuenta). , muchos certificados pagados solo proporcionan validación automática de dominio. La idea detrás de los certificados EV es que puede ver en la barra de ubicación el nombre de la organización validada de CA que existe y es propietaria de ese dominio.

Normalmente, esto significa que desea una autoridad de certificación en la que la mayoría de los principales navegadores y sistemas operativos confíen implícitamente de forma predeterminada. Uno de los primeros proveedores de certificados gratuitos ( CAcert ) nunca se obtuvo de forma predeterminada en la mayoría de los principales navegadores y sistemas operativos y, como resultado, sus certificados son menos útiles. a menos que sepa que los usuarios de su sitio han instalado y confiado en el certificado raíz de CAcert. El proveedor de certificados SSL de nivel de entrada gratis en su ejemplo (StartSSL), solía ser de confianza para la mayoría de los principales navegadores y sistemas operativos. Sin embargo, la mayoría de los principales navegadores están eliminando la confianza de StartSSL (no relacionada con la emisión de certificados gratuitos; consulte a continuación). Sin embargo, ahora existe otro proveedor de certificados gratuito en el que confían la mayoría de los principales navegadores y sistemas operativos llamados Let's Encrypt .

La razón por la que StartSSL ya no es confiable es que StartCom (la compañía detrás de StartSSL) vendió su CA a una compañía de CA china (WoSign) sin revelar la venta públicamente. También emitieron un certificado para un dominio github sin autorización y comenzaron a hacer una cita retroactiva firmando certificados para evitar las restricciones del navegador. Los principales proveedores de navegadores (incluidos Mozilla, Google, Apple) han comenzado a dejar de confiar en los certificados emitidos por ellos en sus productos (incluidos Firefox, Chrome, Safari).

Para más información:

enlace

enlace

enlace

    
respondido por el dr jimbob 21.08.2012 - 00:04
fuente
6

La principal desventaja técnica sería que si los fabricantes de navegadores o sistemas operativos no aceptan una CA gratuita, es posible que los certificados que generan no sean confiables. Además, si hay algún problema con la CA que haga que su certificado raíz se invalide, entonces podría tener problemas. Dicho esto, es posible que pueda tener los mismos problemas con cualquier CA y no es necesariamente un problema técnico directamente.

    
respondido por el AJ Henderson 30.08.2012 - 21:45
fuente
5

No hay desventajas técnicas en el uso de certificados SSL gratuitos. La tecnología y el protocolo SSL aseguran que el apretón de manos entre el cliente y el servidor genere claves de sesión sólidas y seguras para impedir la falsificación de datos y el hombre en los ataques intermedios. Debe asegurarse de que su proveedor de SSL gratuito proporcione el estado del certificado en tiempo real utilizando OCSP o CRL sin falta.

Si puede decirle a los usuarios finales que confíen en su certificado SSL por cualquier medio o medio, todo debería estar bien.

    
respondido por el Mohit Sethi 23.08.2012 - 11:12
fuente
0

Ahora hay un gran inconveniente en el uso de StartSSL: los principales navegadores ya no confían en sus certificados. La compañía y su compañía matriz no manejaban certificados y procedimientos para satisfacción de Mozilla.

Firefox anunció planes para desconfiar de los certificados de StartSSL en octubre de 2016: enlace

Google y Chrome desconfían de los certificados de WoSign y StartCom . Chrome está eliminando gradualmente la confianza en estos certificados con las siguientes versiones del navegador .

  • Chrome 56 desconfía de todos los certificados emitidos después del 21 de octubre de 2016.
  • Chrome 57 también desconfía de todos los certificados antiguos a menos que el sitio se encuentre en el primer millón de sitios de Alexa.
  • Chrome 58 también desconfía de todos los certificados antiguos a menos que el sitio se encuentre entre los 500,000 más importantes de Alexa.

Safari está bloqueando la confianza de los certificados SSL gratuitos de WoSign CA: enlace

Fuente: Mi nuevo certificado StartSSL no funcionó: enlace

    
respondido por el Stephen Ostermiller 17.04.2017 - 21:49
fuente