it-swarm-id.com

Apakah ada kerugian teknis dalam menggunakan sertifikat ssl gratis?

Catatan pertanyaan ini terkait, kecuali yang ini tentang gratis sertifikat SSL.

Ada penyedia yang menawarkan sertifikat SSL entry-level gratis (seperti StartSSL). Saya bertanya-tanya apakah mereka secara teknis sama dengan yang dibayar (setidaknya dengan sertifikat SSL entry-level seperti RapidSSL dan PositiveSSL)? Saya mengerti bahwa SSL yang diperluas/organisasi adalah kategori yang berbeda, tetapi jika Anda hanya memerlukan sertifikat SSL level awal, apakah yang gratis secara teknis sama dengan varian level entry yang dibayar?

Selain itu, jika secara teknis sama, mengapa Anda ingin membayar untuk sesuatu yang tersedia gratis?

44
IMB

Pada tingkat byte, X.509 adalah X.509 dan tidak ada alasan mengapa sertifikat SSL gratis akan lebih baik atau lebih buruk daripada yang tidak bebas - harga tidak tertulis dalam sertifikat. Penyedia sertifikat apa pun dapat meraba-raba pembuatan sertifikat, terlepas dari apakah ia dibayar atau tidak.

Bagian tersulit dari sertifikat ada di luarnya: ada di dalam terkait prosedur, yaitu segala sesuatu yang ada untuk mengelola sertifikat: bagaimana pemegang kunci diautentikasi oleh CA, bagaimana pencabutan dapat dipicu dan informasi terkait disebarkan, jenis jaminan hukum apa yang ditawarkan oleh CA, tingkat asuransinya, rencana kesinambungannya ...

Untuk pembeli sertifikat, nilai besar dalam CA tertentu adalah tempat CA berhasil menempatkan kunci dasarnya (browser, sistem operasi ...). Vendor (Microsoft, Mozilla ...) cenderung memerlukan cukup banyak administativia dan hal-hal hukum dari CA sebelum menerima untuk memasukkan kunci root CA dalam produk mereka, dan hal-hal semacam itu tidak gratis. Oleh karena itu, CA yang dapat mendistribusikan kunci root tetapi memancarkan sertifikat secara gratis memiliki rencana bisnis yang mencurigakan. Inilah sebabnya mengapa dealer sertifikat gratis juga menawarkan sertifikat berbayar dengan beberapa karakteristik tambahan (sertifikat yang bertahan lebih lama, sertifikat dengan nama wildcard, prosedur otentikasi tambahan ...): pada titik tertentu, operator CA harus memiliki arus kas masuk. Tapi, pada akhirnya, itu masalah CA, bukan milikmu. Jika mereka bersedia memberikan sertifikat gratis dan Microsoft tidak masalah dengan memasukkan kunci root mereka sebagai "dipercaya oleh kunci default" maka tidak ada masalah untuk Anda dalam menggunakan sertifikat tersebut.

Edit: dan sekarang ada Let's Encrypt , yang merupakan CA gratis yang diterima oleh browser utama. Rencana bisnis mereka tidak mencurigakan - pada kenyataannya, mereka tidak memiliki rencana bisnis sama sekali. Mereka beroperasi sebagai entitas nirlaba dan mereka hidup dari sumbangan. Mereka menemukan ceruk yang bagus: mereka mendapat dukungan dari vendor browser utama yang melakukan perang untuk membunuh Web non-HTTPS, dan membutuhkan penerbit sertifikat gratis untuk meyakinkan admin situs Web kecil untuk beralih; dan sekarang, tidak ada vendor browser yang dapat pergi karena itu akan membuat mereka terlihat puas dengan masalah keamanan.

51
Thomas Pornin

Saya telah menggunakan mulai untuk sertifikat gratis selama sekitar satu setengah tahun sekarang dengan hanya masalah yang sangat kecil [...][menghapus sebagian besar pos dari 2012 karena tidak relevan sekarang]

EDIT 2016 : Tidak ada masalah teknis menggunakan sertifikat dari sertifikat SSL gratis, selama otoritas sertifikat dipercaya oleh pengguna Anda. Harap perhatikan, contoh Anda StartSSL tidak lagi dipercaya oleh sebagian besar peramban.

Pengguna sertifikat gratis harus menyadari bahwa sertifikat gratis harus dikeluarkan secara otomatis yang akan mengeluarkan sertifikat untuk domain setelah Anda dapat memberikan jaminan bahwa Anda mengendalikan domain itu. Mereka tidak memberikan validasi bahwa Anda sebenarnya adalah sebuah organisasi (validasi organisasi), atau melakukan pemeriksaan dan audit diperpanjang terhadap catatan resmi (validasi diperpanjang). Itu adalah jika seseorang berhasil mengendalikan domain dengan nama yang sama, mereka bisa mendapatkan sertifikat SSL yang valid untuk domain dengan nama yang sama. (E.g., seseorang berhasil mendaftar america.com dan menipu Anda untuk pergi ke https://bank.of.america.com untuk keperluan perbankan Anda dan kemudian melakukan serangan man-in-the-middle dengan https://www.bankofamerica.com untuk mendapatkan akses ke akun Anda.) Memang, banyak sertifikat berbayar hanya memberikan validasi domain otomatis. Gagasan di balik sertifikat EV adalah Anda dapat melihat di bilah lokasi nama organisasi tervalidasi CA yang ada dan memiliki domain itu.

Biasanya, ini berarti Anda menginginkan otoritas sertifikat yang secara default dipercaya oleh sebagian besar peramban dan OS. Salah satu penyedia sertifikat gratis pertama ( CAcert ) tidak pernah memperoleh kepercayaan default di sebagian besar browser utama dan sistem operasi dan akibatnya sertifikat mereka kurang berguna, kecuali jika Anda tahu pengguna situs Anda telah menginstal dan memercayai sertifikat root CAcert. Penyedia sertifikat SSL tingkat entri gratis dalam contoh Anda (StartSSL), dulu dipercaya oleh sebagian besar peramban utama dan sistem operasi. Namun, sebagian besar browser utama menghapus kepercayaan untuk StartSSL (tidak terkait dengan penerbitan sertifikat gratis - lihat di bawah). Namun, penyedia sertifikat gratis lainnya sekarang ada yang dipercaya oleh sebagian besar browser utama dan sistem operasi yang disebut Let's Encrypt .

Alasan StartSSL tidak lagi dipercaya adalah karena StartCom (perusahaan di belakang StartSSL) menjual CA mereka kepada perusahaan CA Cina (WoSign) tanpa mengungkapkan penjualan secara publik. Mereka juga mengeluarkan sertifikat untuk domain github tanpa otorisasi dan mulai membatalkan sertifikat penandatanganan untuk menghindari pembatasan peramban. Vendor browser utama (termasuk Mozilla, Google, Apple) sudah mulai tidak lagi mempercayai sertifikat yang dikeluarkan oleh mereka dalam produk mereka (termasuk Firefox, Chrome, Safari).

Untuk informasi lebih lanjut:

https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

https://support.Apple.com/en-us/HT204132

https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

23
dr jimbob

Kerugian teknis utama hanya bahwa jika CA gratis tidak diterima secara luas oleh browser atau pembuat sistem operasi, maka sertifikat yang mereka hasilkan juga mungkin tidak dapat dipercaya. Juga, jika ada masalah dengan CA yang menyebabkan sertifikat root mereka tidak valid, maka Anda bisa mengalami masalah. Yang mengatakan, Anda berpotensi mengalami masalah yang sama dengan CA dan itu tidak benar-benar masalah teknis secara langsung.

6
AJ Henderson

Tidak ada kerugian teknis menggunakan sertifikat SSL gratis. Teknologi dan protokol SSL memastikan bahwa jabat tangan antara klien dan server menghasilkan kunci sesi yang kuat dan aman untuk menggagalkan spoofing data dan manusia dalam serangan tengah. Anda perlu memastikan bahwa penyedia SSL gratis Anda memberikan status sertifikat waktu nyata menggunakan OCSP atau CRL tanpa gagal.

Jika Anda dapat memberi tahu pengguna akhir untuk mempercayai sertifikat SSL Anda dengan cara atau media apa pun, semuanya akan baik-baik saja.

5
Mohit Sethi

Sekarang ada kerugian besar untuk menggunakan StartSSL: browser utama tidak lagi mempercayai sertifikat mereka. Perusahaan dan perusahaan induknya tidak menangani sertifikat dan prosedur untuk memuaskan Mozilla.

Firefox mengumumkan rencana untuk tidak mempercayai sertifikat StartSSL pada Oktober 2016: https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Google dan Chrome Distrusting WoSign dan Sertifikat StartCom . Chrome secara bertahap menghapus ketidakpercayaan terhadap sertifikat ini dengan rilis browser berikutnya .

  • Chrome 56 tidak mempercayai semua sertifikat yang dikeluarkan setelah 21 Oktober 2016.
  • Chrome 57 juga tidak mempercayai semua sertifikat lama kecuali situs tersebut berada di Alexa satu juta situs teratas.
  • Chrome 58 juga tidak mempercayai semua sertifikat lama kecuali situs tersebut berada di atas 500.000 teratas Alexa.

Safari memblokir kepercayaan untuk WoSign CA Sertifikat SSL Gratis: https://support.Apple.com/en-us/HT202858

Sumber: Sertifikat StartSSL baru saya tidak berfungsi: https://webmasters.stackexchange.com/questions/103405/startssl-certificate-gives-sec-error-revoked-certificate-in-firefox-and-errr -cert

1