Question:
Y a-t-il des inconvénients à utiliser Let's Encrypt pour les certificats SSL d'un site Web?
Dolan Antenucci
2015-06-06 18:54:46 UTC
view on stackexchange narkive permalink

Du côté des avantages, je vois plusieurs avantages à utiliser le service Let's Encrypt (par exemple, le service est gratuit, facile à configurer et facile à maintenir). Je me demande quels sont, le cas échéant, les inconvénients de l'utilisation de Let's Encrypt? Y a-t-il des raisons pour lesquelles les opérateurs de sites Web - qu'ils soient grands comme Twitter ou petits comme un photographe local - ne devraient pas envisager de remplacer leurs services SSL existants par des entreprises comme GoDaddy avec ce service?

(Si le service n'est pas encore disponible , cet inconvénient peut être ignoré - je m'interroge davantage sur les inconvénients une fois qu'il est disponible pour un usage général.)

Le 3 décembre 2015, Let's Encrypt (version bêta) est devenu disponible pour le grand public.
Une des raisons pour lesquelles je suis tombé dessus est que cela ne fonctionne pas!Regardez tous les problèmes!https://github.com/certbot/certbot/issues et https://community.letsencrypt.org/.Si vous payez votre certificat, vous obtenez un (certain) support, et c'est manuel, donc rien à casser.
Cinq réponses:
Simone Carletti
2016-03-02 05:15:53 UTC
view on stackexchange narkive permalink

Let's Encrypt est une autorité de certification, et ils ont plus ou moins les mêmes privilèges et pouvoirs que toute autre autorité de certification existante (et plus importante) sur le marché.

À partir d'aujourd'hui, le principal inconvénient l'utilisation d'un certificat Let's Encrypt est la compatibilité. C'est un problème auquel toute nouvelle autorité de certification doit faire face lorsqu'elle approche du marché.

Pour qu'un certificat soit approuvé, il doit être signé par un certificat appartenant à une autorité de certification de confiance. Pour être digne de confiance, une autorité de certification doit avoir le certificat de signature intégré dans le navigateur / le système d'exploitation. Une autorité de certification qui entre sur le marché aujourd'hui, en supposant qu'elle soit approuvée par le programme de certificat racine de chaque navigateur / système d'exploitation à partir du jour 0 (ce qui est impossible), sera incluse dans les versions actuelles des différents navigateurs / systèmes d'exploitation. Cependant, ils ne pourront pas être inclus dans les versions plus anciennes (et déjà publiées).

En d'autres termes, si un CA Foo rejoint le programme racine le jour 0 lorsque la version de Google Chrome est 48 et Max OSX est 10.7, le Foo CA ne sera inclus (et approuvé) dans aucune version de Chrome antérieure à 48 ou Mac OSX antérieure à 10.7. Vous ne pouvez pas faire confiance rétroactivement à une autorité de certification.

Pour limiter le problème de compatibilité, Let's Encrypt a fait signer son certificat racine par une autre autorité de certification plus ancienne (IdenTrust). Cela signifie qu'un client qui n'inclut pas de certificat racine LE peut toujours se replier sur IdenTrust et que le certificat sera approuvé ... dans un monde idéal. En fait, il semble qu'il existe différents cas où cela ne se produit pas actuellement (Java, Windows XP, iTunes et autres environnements). C'est donc le principal inconvénient de l'utilisation d'un certificat Let's Encrypt: une compatibilité réduite par rapport à d'autres concurrents plus anciens.

Outre la compatibilité, d'autres inconvénients possibles sont essentiellement liés à la politique d'émission de Let's Encrypt et à leurs décisions commerciales. Comme tout autre service, ils peuvent ne pas offrir certaines fonctionnalités dont vous avez besoin.

Voici quelques différences notables de Let's Encrypt par rapport aux autres CA ( j'ai également écrit un article à leur sujet):

Les points ci-dessus ne sont pas nécessairement des inconvénients. Cependant, ce sont des décisions commerciales qui peuvent ne pas répondre à vos exigences spécifiques, et dans ce cas, elles représenteront des inconvénients par rapport à d'autres alternatives.

la limite de taux principale est 20 certificats par domaine enregistré par semaine. Cependant, cela ne limite pas le nombre de renouvellements que vous pouvez émettre chaque semaine.

Certainement la réponse la meilleure et la plus objective.Aussi une bonne explication du problème de confiance.
Les certificats génériques pour Let's encrypt à venir en janvier 2018 https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html
Vous avez remarqué que le certificat émis à * .stackexchange.com par Let's Encrypt Authority :)
Romeo Ninov
2015-06-06 20:02:15 UTC
view on stackexchange narkive permalink

La raison d'utiliser Let's Encrypt peut être le prix. Ces certificats seront gratuits.

Mais je vois un inconvénient possible pour les sites Web autres que les petits. Big CA propose des certificats wildcard, des certificats Extended Validation qui présentent certains avantages (de mon point de vue). De plus, ce programme est dirigé vers des serveurs Web, mais que se passe-t-il si vous avez un serveur d'application ou que vous souhaitez sécuriser le serveur de messagerie

Mise à jour : Il est actuellement possible de demander un certificat, non lié à serveurs Web. Donc mon dernier argument n'est plus valable. voici un exemple d'utilisation de cette option: 

  ./letsencrypt-auto certonly --standalone -d example.com

Update2 : À partir de janvier 2018, Let's Encrypt commencera à émettre des certificats wildcard

Les certificats Wildcard arriveront en janvier 2018

6 juillet 2017 • Josh Aas, directeur exécutif d'ISRG

Let's Encrypt commencera à émettre des certificats wildcard en janvier 2018. Les certificats Wildcard sont une fonctionnalité couramment demandée et nous comprenons qu'il existe certains cas d'utilisation où ils facilitent le déploiement HTTPS. Nous espérons que l’offre de jokers aidera à accélérer la progression du Web vers 100% HTTPS.

Un autre argument n’est donc plus valide.

Les bons points sur les certificats Extended Validation et la prise en charge de Let's Encrypt pour les serveurs d'applications ne sont pas clairs. En ce qui concerne les certificats génériques, y a-t-il des avantages à ceux-ci par rapport au nombre de certificats Let's Encrypt? Je suppose que l'un est que vous n'avez pas à en créer un pour * chaque * sous-domaine ni pour les nouveaux futurs. Faites-moi savoir si vous voyez d'autres avantages. Merci
@DolanAntenucci, avec certificat générique, vous pouvez simplifier le processus de déploiement sur toute la gamme de serveurs. Et (juste par exemple) je vois sur le site du programme la commande Debian / Ubuntu démontrée (l'espoir sera pour d'autres distributions comme SuSE et RHEL / CentOS). Peut-être qu'il y aura un tel instrument pour * BSD. Mais qu'en est-il de Solaris x86, Windows? Pour les sous-domaines - cela peut être un inconvénient du certificat générique car ils ne peuvent fonctionner que dans un domaine, c'est-à-dire que * example.com ne servira pas romeo.ninov.example.com. En général pour moi ressemble à une bonne et sage initiative, mais voyons :)
"mais que faire si vous avez un serveur d'application ou que vous voulez sécuriser le serveur de messagerie" - Vous demandez le certificat pour le domaine approprié, éventuellement avec la méthode "standalone", et les appliquez dans la configuration du serveur de messagerie.
@dequis, vous demandez un certificat pour l'hôte, pas pour le domaine. Pour être applicable pour le domaine doit être un joker (ce qui n'est pas possible avec ce programme)
Je ne vois aucune raison pour qu'un serveur de messagerie exige un certificat générique. Il y a des gens qui utilisent déjà letsencrypt à cette fin: https://community.letsencrypt.org/t/use-on-non-web-servers/425
S'il y a déjà une utilisation autre que le Web, je ne peux qu'admirer ceci :) À propos du certificat générique: oui, uniquement pour le serveur de messagerie, cela n'a aucun sens, mais le même certificat peut être utilisé pour d'autres serveurs du domaine
Vous pouvez demander plusieurs domaines par certificat, vous pouvez donc obtenir un certificat qui couvre wiki.example.com, mail.example.com, www.example.com, example.com. Cela ne couvrira tout simplement pas les sous-domaines que vous ne demandez / vérifiez pas explicitement
@bobpaul, pour être précis, le certificat est pour l'hôte (si ce n'est pas un joker). Et oui, vous pouvez définir des certificats pour tous les hôtes dont vous avez besoin dans la mesure où vous gérez ce domaine
En toute honnêteté, je suis loin d'être certain que ** toutes ** les autres CA (ou même celles qui vendent des certificats contre de l'argent) offrent des certificats OV ou EV.Mais bien sûr, si vous voulez quelque chose de plus qu'un certificat validé par le domaine, alors Let's Encrypt n'est évidemment pas pour vous.
Alasjo
2015-06-06 20:04:13 UTC
view on stackexchange narkive permalink

Un inconvénient qui empêche les grandes entreprises d'envisager Let's Encrypt est que les visiteurs qui se connectent au site ne peuvent pas être sûrs que c'est la société qui héberge le site.

C'est parce que Let's Encrypt a des problèmes certificats pour un domaine gratuits sans validation d'identité (personnelle ou d'entreprise) ( Let's Encrypt propose uniquement la validation de domaine).

Modifié pour ajouter: Pour le but de la transmission sécurisée ce n'est pas un gros problème. Mais, si vous voulez vérifier que c'est bien la société que vous recherchiez qui détient le nom de domaine, une recherche whois peut ne pas suffire. Les certificats de classe 2 ou 3 ou EV ont l'avantage que l'entreprise et le domaine sont vérifiés par l'autorité de certification.

Je ne suis pas sûr que ce soit la raison pour laquelle les grandes entreprises ne le choisiront pas. Les grandes entreprises sont plus susceptibles d'avoir besoin de certificats génériques (dans certaines situations, vous ne pouvez pas vous déplacer en utilisant un certificat générique dans IIS) et Let's Encrypt vous limite à 5 actions / 7 jours par domaine. Donc, si vous avez beaucoup de serveurs et de sous-domaines, il pourrait être difficile de planifier tous vos renouvellements dans la période de 90 jours, et cela en supposant que Let's Encrypt ne subisse jamais une panne qui empêche les inscriptions pendant quelques jours.
90 jours hurle de nuit, pourquoi augmenter la charge de travail. De plus, ils dépendent du temps, pas des méthodes habituelles de révocation des CRL et cela a déjà été utilisé avec une excuse de folie que la révocation n'était pas vraiment nécessaire. Bien que vous puissiez révoquer votre propre certificat, il est nécessaire de révoquer les activités criminelles.
@Alasjo, Votre réponse comprend un peu une tactique de peur et n'est donc pas claire.Let's Encrypt n'émet pas de certificats DV librement.Ils nécessitent une validation de domaine comme toute autre autorité de certification.Il est vrai que les grandes entreprises peuvent vouloir quelque chose au-delà de la validation de domaine pour leur domaine principal, mais pas toujours, et la question n'est pas non plus exclusive aux grandes entreprises.
@GeorgeBailey Vous aviez raison de dire que mon libellé était un peu flou et j'ai modifié ma réponse pour indiquer qu'elle est «gratuite» et non «distribuée gratuitement».Merci.J'ai également ajouté une note expliquant pourquoi je pense que la validation d'identité est utile.
En toute honnêteté, je suis loin d'être certain que ** toutes ** les autres CA (ou même celles qui vendent des certificats contre de l'argent) offrent des certificats OV ou EV.Mais bien sûr, si vous voulez quelque chose de plus qu'un certificat validé par domaine, alors Let's Encrypt n'est évidemment pas pour vous.
Chintak Chhapia
2017-09-12 13:46:44 UTC
view on stackexchange narkive permalink

Un autre problème avec l'utilisation de Let'encrypt est que dans le scénario d'entreprise, nous devons également installer un certificat sur l'équilibreur de charge et le fournisseur CDN. Tous les fournisseurs de CDN n'ont pas d'API pour changer cela automatiquement. Aussi, à partir de maintenant, la validité de Let's encrypt est de 90 jours, ce qui complique davantage ce processus.

encrypto
2018-10-19 00:02:14 UTC
view on stackexchange narkive permalink

Oui, en utilisant Let's Encrypt, vous révoquez votre droit de défendre votre propriété intellectuelle, y compris le brevet, la marque, le secret commercial ou le droit d'auteur contre la violation par ISRG.

https://letsencrypt.org/ documents / LE-SA-v1.1.1-August-1-2016.pdf

PAR MANIER D'EXPLICATIONS SUPPLÉMENTAIRES CONCERNANT LA PORTÉE DE LA CLAUSE DE NON-RESPONSABILITÉ ET SANS RENONCER OU LIMITER CE QUI PRÉCÈDE EN AUCUN CAS, ISRG NE FAIT, ET ISRG EXCLUT EXPRESSÉMENT, TOUTE GARANTIE CONCERNANT SON DROIT D'UTILISER TOUTE TECHNOLOGIE, INVENTION, CONCEPTION TECHNIQUE, PROCESSUS OU MÉTHODE COMMERCIALE UTILISÉE DANS LA DÉLIVRANCE DE CERTIFICATS DE CRYPTE DE LET OU LA FOURNITURE DE TOUT SERVICES D'ISRG. VOUS RENONCEZ EXPRESSÉMENT ET AFFIRMATIVEMENT LE DROIT DE TENIR ISRG POUR RESPONSABLE DE QUELQUE MANIÈRE QUE CE SOIT, OU DE DEMANDER UNE INDEMNISATION CONTRE ISRG, POUR TOUTE INFRACTION AUX DROITS DE PROPRIÉTÉ INTELLECTUELLE, Y COMPRIS BREVET, MARQUE DE COMMERCE, SECRET COMMERCIAL OU COPYRIGHT.

Cette dernière phrase.

Votre interprétation est complètement fausse.Je pourrais exposer la justification juridique ligne par ligne, mais ce serait vraiment à un expert juridique de peser, et il y a law.stackexchange.com pour cela.
Pour vous aider, j'ai posé la question: https://law.stackexchange.com/questions/32735/revoking-my-right-to-defend-my-intellectual-property-by-using-lets-encrypt


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...