Let's EncryptをWebサイトのSSL証明書に使用することの欠点はありますか？

Question

利点の面では、Let's Encryptサービスを使用することにはいくつかの利点があります（たとえば、サービスは無料で、セットアップが簡単で、保守が簡単です）。 Let's Encryptを使用することの不利な点があるとすれば、それは何ですか？ Twitterのように大きくても、地元の写真家のように小さくても、ウェブサイトの運営者が既存のSSLサービスをGoDaddyなどの企業でこのサービスに置き換えることを検討すべきではない理由は何ですか？

（サービスがまだ利用できない場合、この不利な点は無視できます-一般的な利用が可能になった後の不利な点についてはもっと不思議に思っています。）

Simone Carletti · Accepted Answer

Let's Encryptは認証局であり、市場の他の既存の（およびより大きな）認証局とほぼ同じ権限と権限を持っています。

今日の時点で、Let's Encrypt証明書を使用する主な目的の欠点は互換性です。これは、新しいCAが市場にアプローチするときに直面する問題です。

証明書を信頼するには、信頼できるCAに属する証明書で署名する必要があります。信頼されるためには、CAはブラウザー/ OSにバンドルされている署名証明書を持っている必要があります。今日市場に参入するCAは、0日目から各ブラウザー/ OSのルート証明書プログラムに承認されている（これは不可能です）と仮定して、さまざまなブラウザー/ OSの現在のリリースに含まれます。ただし、古いバージョン（およびすでにリリースされているバージョン）に含めることはできません。

つまり、Google Chrome=バージョンが48で、最大OSXが10.7であるときに、CA Fooが0日目にルートプログラムに参加した場合、Foo CAはいずれにも含まれず、信頼されません。バージョンChromeまたは10.7より前のMacOSX。CAを遡及的に信頼することはできません。

互換性の問題を制限するために、Let's Encryptはルート証明書を別の古いCA（IdenTrust）によって相互署名しました。つまり、LEルート証明書を含まないクライアントでもIdenTrustにフォールバックでき、証明書は信頼されます...理想的な世界では。実際、これが現在起こっていないさまざまなケースがあるようです（Java、Windows XP、iTunesおよびその他の環境）。したがって、それがLet's Encrypt証明書を使用する主な欠点です。他の古い競合製品と比較して互換性が低下します。

互換性に加えて、他の考えられる欠点は、基本的にLet's Encryptの発行ポリシーとそのビジネス上の決定に関連しています。他のサービスと同様に、必要な機能を提供していない場合があります。

他のCAと比較したLet's Encryptの注目すべき違いは次のとおりです（私はそれらについても記事を書きました）：

~~LEは現在ワイルドカード証明書を発行していません（開始予定 2018年1月にワイルドカード証明書を発行します）~~ LEは現在、更新されたACMEv2プロトコルを使用してワイルドカード証明書を発行しています
LE証明書の有効期限は90日です
LEはドメインまたはDNSで検証された証明書のみを発行します（OVまたはEVを発行する予定はないため、所有権のみが検証され、証明書を要求するエンティティは検証されません）
電流 ~~非常に制限的~~ レート制限 ^† ~~（ベータの終わりに近づく間、彼らは制限を緩和し続けます）~~

上記のポイントは必ずしもマイナス面ではありません。ただし、これらはビジネス上の決定であり、特定の要件を満たさない可能性があり、その場合、他の選択肢と比較してマイナス面になります。

^† 主なレート制限は、1週間に登録済みドメインごとに20証明書です。ただし、これは毎週発行できる更新の数を制限しません。

Romeo Ninov · Answer

Let's Encryptを使用する理由は価格です。これらの証明書は無料です。

しかし、小規模ではないWebサイトには1つの不利な点があると思います。ビッグCAはワイルドカード証明書、いくつかの利点がある拡張検証証明書（私の観点から）を提供します。さらに、このプログラムはWebサーバーを対象としていますが、アプリケーションサーバーがある場合、またはメールサーバーをセキュリティで保護する場合はどうでしょうか。

pdate：現在、Webサーバーにバインドされていない証明書を要求できます。だから私の最後の議論はもう有効ではありません。このオプションの使用例を次に示します。

./letsencrypt-auto certonly --standalone -d example.com

pdate2：2018年1月からLet's Encryptがワイルドカード証明書の発行を開始します

2018年1月にリリースされるワイルドカード証明書

2017年7月6日•Josh Aas、ISRGエグゼクティブディレクター

Let’s Encryptは2018年1月にワイルドカード証明書の発行を開始します。ワイルドカード証明書は一般的に要求される機能であり、HTTPSの導入を容易にするいくつかの使用例があることを理解しています。ワイルドカードを提供することで、100％HTTPSに向けたWebの進歩を加速させることが期待されます。

したがって、もう1つの引数は無効になります。

Alasjo · Answer

大企業がLet's Encryptを考慮しない1つの欠点は、サイトに接続する訪問者が、サイトをホストしているのが実際の会社であるかどうかを確認できないことです。

これは、Let's EncryptがID検証なしでドメインの証明書を無料で発行するためです（個人または企業）（ Let's Encryptはドメイン検証のみを提供します）。

編集して追加します：安全な送信のために、これは大きな問題ではありません。しかし、あなたが探していたのがドメイン名を保持している実際の会社であることを確認したい場合は、whoisルックアップでは不十分な場合があります。クラス2または3、またはEV証明書には、会社とドメインが認証局によって検証されるという利点があります。

Chintak Chhapia · Answer

Let'encryptの使用に関するもう1つの問題は、エンタープライズシナリオでは、ロードバランサーとCDNプロバイダーにも証明書をインストールする必要があることです。すべてのCDNプロバイダーに、これを自動的に変更するAPIがあるわけではありません。また、現時点では、暗号化の有効期間は90日であり、このプロセスはさらに複雑になります。