SSL証明書を支払う必要があるのはなぜですか?
NamecheapからSSL証明書を支払いましたが、ComodoSSLによって認証されたと思います。 7ドルの費用がかかり、アクティベーションに1週間かかりました。サイトの構成ファイルを編集している間、SSHから自分で行う必要がありました。
次に、友人が私に Let's Encrypt を知らせました。誰が無料のSSL証明書を提供するだけでなく、単一のコマンドを実行してインストールできます。
ここに何か不足していると確信していますが、自動更新を設定して簡単に無料でインストールできるSSL証明書を購入したいのはなぜですか?
Let's Encryptは、あなたが述べたものを含め、多くの点で優れています。
- それは無料です。それを乗り越えるのは難しい。
- 自動更新されます(ただし、Let's Encryptだけではありません)。
- セットアップはとても簡単です。
- Googleや他の多くの企業が信頼できるCAとしてサポートしています。これは、SEOやセキュリティに関しては大きな問題です。
ただし、いくつかの短所があります。
- あなたがサイトを所有していて、一部のWebサイトホストと互換性がないことを確認するために機能する検証システムです。Let's EncryptをInfinityFreeで動作させるためにかなりの頭痛の種があり、運命を受け入れましたそれが出来なかったと。
- 「これが壊れた場合、私たちはあなたを助けます」というような保険は一切受けません。これはオープンソースであり、Let's Encryptが機能しないか、何らかの理由でクラックされた場合は、あなた自身が責任を負います。
LetsEncrypt証明書は優れています。証明書を購入する代わりに自分で使用します。いくつかの欠点があります:
- LetsEncrypt証明書の有効期間は3か月のみです。購入した証明書のほとんどは、1〜2年間有効です。つまり、証明書を更新するには自動化されたプロセスが絶対に必要です。そうしないと、忘れがちになります。
- LetsEncryptは、最も低い検証タイプの証明書のみを提供します。ドメイン検証(DV)は、証明書の所有者がドメインを制御できることのみを検証します。組織検証(OV)証明書は、証明書を要求する人または会社のドキュメントも確認します。 Extended Validation(EV)証明書には、さらにチェックが必要です。証明書が優れているほど、偽造が困難になり、サイトの信頼性が高まるため、サイトの信頼性が高まります。実際には、ブラウザーはEV証明書に視覚的なうなずきを与えるだけであり、通常はそれらのアドレスバーに緑色で何かを表示します。この時点まで、ほとんどのユーザーはさまざまな検証レベルを知らないか、気にしていません。
- ワイルドカード証明書は、LetsEncryptから取得するのが少し難しいです。他の場所からは、通常より多くのお金を支払うだけです。 LetsEncryptでは、ワイルドカード証明書のDNS検証が必要です。
これまで、セキュリティ証明書には常にコストがかかりました。無料の証明書を提供していた他の企業が去っていきました。私はStartSSLを使用していましたが、StartSSLは単一のドメインを含まない証明書を提供していました。 LetsEncryptの制限は以前の無料の証明書ベンダーよりも少なく、はるかに自動化されています。また、EFF、Mozilla、Chrome、Ciscoなどの大きな支持者もいます。 https://letsencrypt.org/sponsors/ を参照してください。何年も続くと予想されるほど十分に実行されているようです。
すべてが自動更新を使用できるわけではありません
CertBotはWebサイトでの使用を容易にします...しかし、他のものに証明書を使用している場合はどうでしょうか?
当社のWebサイトが認証に使用するLDAPサーバーがあります。安全なポートで実行されますが、実行するには署名付き証明書が必要です。無料のワイルドカード証明書を使用することもできますが、3か月ごとに証明書をPKCS12に変換し(WebサーバーはPEMを使用)、新しい証明書をインポートします。また、ネットワークファイアウォールもPKCS12を使用しています。それは無料で大変な手間です。