Let’s Encrypt – Je to použiteľné?

Zvažujem použitie https a to hlavne pri nových weboch a ako pozerám existuje viacero možností , niektoré sú drahšie ine zadarmo. A zrovna dnes som na exohosting.sk našiel zaujímavú možnosť , ponúkaju inštaláciu https://letsencrypt.org/ zadarmo k hostingu a ešte sľubujú aj automatické obnovovanie po expirácii čo by bolo pre mňa o starosť menej. Otázka však znie ako spoľahlivé sú tieto free riešenia, a či ich napríklad aj google považuje za + z hľadiska seo. Prípadne viete odporučiť "nejaký spoľahlivý , ktorý aceptuje google aj prehliadače"? nemusi byť nutne free ale za nejaku rozumnu cenu.

Nezastávam názor že HTTPS má byť brané z hladiska SEO.LetsEncrypt je OK. Od budúceho roku sa zdá že aj ďalšie certifikačné autority budú dávať bežné DV SSL zadarmo.Čo je na tom pravda uvidíme... je to len šuškanda.Takže prečo nie v klude nejaké automatické riešenie na obnovu certu raz za 90 dní bude ale asi nutnosťkedže LestEncrypt je len na 90 dní.

LetsEncrypt je len na 90 dni, ale automaticky sa predlzuje(ak to teda hosting podporuje). Certifikaty su doveryhodne a hodnotenie od ssllabs ziskas A (mozes otestovat moju domenu digrin.com). Problem momentalne je, ak mas zakaznikov s win xp. Dufajme, ze ho coskoro vyriesia.

Já třeba CA Let's encrypt blokuji by default, s pouze pár vyjímkami, ale to je mimo téma.Z Vašeho pohledu bych nasazení LE zvážil především kvůli krátké době platnosti certifikátu. Pokud byste chtěl pro zvýšení bezpečnosti použít HSTS preload list, podmínkou je platnost certifikátu více než 18 týdnů. Za rozumné ceny prodává certifikáty třeba SSLS.CZ. Pokud byste chtěl cert generovat utilitou podobně jako u LE, mají utilitu encrypt ;)

Napsal i-PRESS;1247551

Já třeba CA Let's encrypt blokuji by default, s pouze pár vyjímkami, ale to je mimo téma.

Z Vašeho pohledu bych nasazení LE zvážil především kvůli krátké době platnosti certifikátu. Pokud byste chtěl pro zvýšení bezpečnosti použít HSTS preload list, podmínkou je platnost certifikátu více než 18 týdnů. Za rozumné ceny prodává certifikáty třeba SSLS.CZ. Pokud byste chtěl cert generovat utilitou podobně jako u LE, mají utilitu encrypt ;)

Preco blokujes letsencrypt? Kludne len editni post.EDIT: Diky za siroke objasnenie tvojho postoja :)

Jamira40 : Určite nie iba kvôli seo, ale popravde aj to je jeden z faktorov ktoré rozhodujú.Lucas03 : hodnotenie A to je docela fajn. S XP a XP 64 mám podľa štatistík cca 2% návštev ktoré ani moc nekonvertujú takže by som ich oželiel :-D i-PRESS : Podľa ponúkaných možnosti na SSLS.cz by som šiel pri E-shopoch asi do EV(zelený riadok) za 900kč cena zrejme iba na prvý rok. Podľa jednej študie to vraj docela zvyšuje konverzný pomer.

Napsal Lucas03;1247553

Preco blokujes letsencrypt? Kludne len editni post.

Nerad bych tady vyvolával flame, ale ve stručnosti tedy můj pohled..Nelíbí se mi celkový přístup LE. Jsem rád, že vznikla CA, která bude vystavovat certifikáty zdarma a pevně věřím, že další CA je budou brzy následovat a svůj byznys otočí směrem k OV, nebo spíše EV certifikátům. Nelíbí se mi ale konkrétní implementace. Já vidím smysl certifikátů ve dvou věcech, jednak šifruje komunikaci a kontroluje případné pozměnění a pak také má ověřit, kdo je na druhé straně.Máme zde 3 základní způsoby ověření, EV, OV a v případě Let'S encrypt DV. A to je právě kámen úrazu, i když pravdou je, že v tom není LE sama. DV již z názvu napovídá, že jde o ověření domény. V případě LE (stejně jako několika dalších) však stačí prokázat nadvládu nad konkrétním webserverem a to mi právě vadí. Přijdu na web xyz.cz který vím kdo provozuje a vím že z této domény získám relevantní informace, toto však již nejsem schopný posoudit o webserveru. Proto se spoléhám na certifikát, který má být vystaven pouze po ověření vlastnictví domény, resp. DNS záznamů.LE není jediná CA umožňující ověření pomocí webserveru, ale vzhledem k tomu, že cenou a způsobem distribuce cílí na BFU kteří často nemají o zabezpečení webserveru ani páru, je pro mě nejrizikovější. Ověřovací soubor pak může celkem snadno vytvořit i napadený CMS či jiná aplikace a může vesele vystavovat certifikáty třeba pro subdomény. Určitě neříkám, že je to pravidlem a že všichni, kteří čekali s nasazením https až na LE provozují nginx a další apps pod rootem a na zabezpečení kašlou, ale bude takových mezi nimi až příliš mnoho.Tím spíše mě takový přístup štve od Mozily. Toto všechno by řešila podpora DNSSEC + DANE, já třeba TLSA záznamy mám na všch doménách. Bohužel se browsery na úkor bezpečnosti předhání v rychlosti a proto nechtějí o kontrole DNS záznamů ani slyšet. Takže místo aby to Mozila udělala pořádně, raději zvolí cestu další CA a ještě s ověřením pomocí webserveru.Já se tedy rozhodl, že budu LE blokovat by default a udělím raději vyjímku pouze pokud bych narazil na něco, bez čeho se neobejdu. Jestliže ale takový projekt nestojí ani vlastníkovi za pár stokorun ročně, těžko tam najdu něco, co by mě zajímalo, takže to bude spíše vyjímečně, nebo vůbec :-).Za mě je jediná správná cesta a to DANE. CA mají vroubků více než dost a asi tady není jediná, které bezmezně důvěřuji. Jediný, kdo je schopný posoudit, zda je onen certifikát ten správný pro mou doménu jsem já jakožto vlastník a to mi umožní třeba DANE díky otisku certifikátu v TLSA záznamu. A to se netýká pouze DV, ale všech úrovní. Nasazení DANE (a tedy klidně self-sign certs) podle mě bránila vidina ušlého zisku CA za DV certifikáty, což snad již díky LE odpadne, zůstane však neochota implementace na straně browserů, což třeba Mozilla již tímto dokázala.meter21: Jestli to má vliv na konverzní poměr nevím, ale EV určitě nic nezkazíte :-) Cena 600,- je opravdu pouze promo na první rok, prodloužení pak stojí již klasicky 2 400,-. I tak to je ale jeden z nejlevnějších EV ;)

Hezky sis to oduvodnil :)A co jiny pohled - letsencrypt je asi tisickrat lepsi nez nic... resp. nez si generovat self-issued certifikat. Ostatne nekomu treba ani nejde o nejake super sofistikovane overovani identity, treba mu jde jen o to nabidnout uzivatelum SSL a pritom nevyvolavat stupidni warning v prohlizeci. Ne kazdy web potrebuje military standard zabezpeceni :)Pokud potrebuje, plati co rikas a s tim nelze nez souhlasit..Mne osobne dost vadi, ze si z toho CA udelaly prostrednictvim lobby u vyrobcu prohlizecu dost dobry byznys.

Pozor na to, že Letsencrypt nefunguje na Windows XP v IE ani ve Chrome. Bohužel mají ale XP ještě velký podíl. 17664

Myslím si že to je len dobre. Menej služieb pre užívateľov XP = menší podiel užívateľov.Ja by som tiež neupdatoval iOS keby mi nejaké appky nehlásia že už viac nefungujú na staršom OS.Takže za mňa plus že to nejde na XP.

To je právě ten omyl mnoha uživatelů. LE nemá mít za úkol prokazovat "s kým komunikuji". Jedná se pouze o surové technické řešení, které má za úkol vymazat ze světa nešifrované HTTP, popřípadě ostatní služby. Nic víc, nic míň.

Napsal Souki;1247807

Pozor na to, že Letsencrypt nefunguje na Windows XP v IE ani ve Chrome. Bohužel mají ale XP ještě velký podíl.

Mne vychazeji cca 4%... takze bezpecnostni diru jmenem XP buduz tohoto pohledu klidne ignorovat :) ..

Napsal carlos;1247869

Mne vychazeji cca 4%... takze bezpecnostni diru jmenem XP buduz tohoto pohledu klidne ignorovat :) ..

Jasně, ale 4% pořád můžou být miliony měsíčně. Jen říkám, že je to potřeba zohlednit :)

souhlasím s i-PRESS, zastávám jeho argumentaci. Ale chce to také otevřít oči, DV již dávno není co to bývalo, však se podívejte jak probíhá ověření u mraky CA, důvěryhodnost je někde a spíše se jde za masovostí. V tomhle LE jen dokončuje, co se dávno začalo. Nemluvě o i nových vizualizacích https v adresním řádku, přesouvá se to k tomu, že https je default bez ničeho, http s vykřičníkem a EV/OV se zámečkem.V diskuzích všechny tyhle argumenty padaly, řešením je právě krátká platnost a přímé zaměření na přínos v šifrování a kapitulace na pravý smysl DV.V případě HSTS preload list se pleteš, pinning můžeš udělat i na intermediate certifikát, což třeba takhle používá google na svoje služby v chromu.Každopádně bych rád viděl ACME protokol i u jiných CA, osobně preferuji variantu s DNS, jen je pro masové použití nákladná. Také se bojím podvodnému vydávání certifikátů, ale to ukáže čas, určité mechanismy vidím.