免费SSL证书的优缺点与安全隐患

 常见问题     |      2016-01-10

毫无疑问,您已经听说过Google最近关于HTTPS 的更新,以及他们不断寻求为我们提供更安全的互联网的信息。

自2017年10月(Chrome 62)起,Google Chrome将向在HTTP页面以及Incognito中的所有HTTP页面上输入数据的用户显示“不安全”警告 。

他们的最新举措是鼓励网站所有者仍然使用HTTP来将其整合在一起,并使用HTTPS!(好像用户安全和SEO收益还不够……)

Let's Encrypt于2016年推出,是一个证书颁发机构,为网站所有者提供针对TLS(传输层安全性)加密的免费解决方案。“让我们加密”计划的目标是为所有网站所有者提供SSL证书,这些证书不仅免费,而且易于安装和更新。

对网站的流量进行加密曾经是一个相当昂贵的考验。特别是对于希望与网站访问者做对但又没有大量资金来投资HTTPS的小型企业所有者。让我们加密解决这个难题,另外消除了使用自动化流程安装和维护安全证书的复杂性。

这是一个相当 简单的安装过程,比传统的SSL证书要简单得多,该过程旨在使任何网站所有者都可以访问HTTPS加密。对于具有外壳访问权限的Linux Web服务器,只有两个命令要执行才能获取和安装Let's Encrypt证书。但是,许多受欢迎的托管公司不允许其客户root访问,而是由客户通过带有图形用户界面的控制面板(例如cPanel或Plesk)管理其网站。在这种情况下,您可能会发现托管服务提供商已经包含了对免费SSL证书的获取和配置以及自动续订的内置支持。,通过控制面板中的插件。他们基本上代表您索取免费证书,然后自行自行进行维护。现在,某些网络托管公司甚至默认情况下会代表所有客户自动安装证书。

Certbot会自动获取并部署您的Let's Encrypt证书,以立即开始通过HTTPS提供服务。您甚至可以在Apache上启用自动HTTP到HTTPS重定向之类的功能。作为EFF(电子前沿基金会)的一项举措,Certbot是整个网络的一部分,旨在加密整个互联网,以保护其用户的安全。

此外,它们还为需要的人提供了可观的文档,并在您需要更具体的信息和建议时提供了大量的社区支持。

谷歌浏览器是Let's Encrypt的“白金赞助商”,因此Chrome几乎不可能在不久的将来不信任它。与Symantec证书 (以VeriSign,Equifax,GeoTrust,RapidSSL和Thawte的商标名称运行)不同,该证书不符合CA / Browser论坛基准要求,因此在以后的Chrome更新中将被Google信任。

如果您查看我们的“让我们加密SSL”证书,您可能会注意到有效期似乎 非常短。与其他流行的SSL证书相比,它肯定更短。90天的使用寿命可能会带来一些不便,这可被视为不利条件,但绝对安全,因为它每三个月需要进行一次重要更改。

让我们加密的SAN证书(主题备用名称)允许使用单个证书保护多个域名。将多个SAN值添加到单个Let's Encrypt证书中的功能可以为拥有多个网站或微型站点的组织节省时间。这与适用于多个子域的通配符证书不同,但并非完全不同。(稍后会进一步使用通配符…)

最大的问题是,尽管“让我们加密”提供了现代的网站加密标准,但它不提供“扩展域验证”(URL旁边的绿色条,在挂锁旁边显示公司名称)。有区别。这不仅意味着网站的身份验证程度不与具有扩展域验证的网站相同,而且对用户(无论多么无能为力),他们可能对没有完整域名的网站的信任程度较低。显示公司名称的“绿色条”。由于这 只是域验证,因此对域或网站的所有者没有其他检查。

此外,如果扩展域验证SSL证书(EV)或组织验证SSL证书(OV)对您很重要,则应注意,让我们加密 没有计划提供OV和EV。

让我们加密还目前不提供通配符SSL证书(截至2017年11月)。但是,这将从2018年1月开始提供。因此,如果这是您束手无策的原因,请不要让它完全搁浅。但就目前而言,不具有通配符SSL的缺点在于,您需要为多个子域使用单独的SSL证书。如果不是在2018年1月阅读本文时,并且您迫切需要跨所有子域使用HTTPS ,那就太糟糕了。

如前所述,如果您的Web服务器不自动执行发行,则90天的有效期(尽管对安全性有好处)可能是一个真正的缺点。商业SSL证书的寿命往往更长。如果该过程是自动化的,那么这根本不是什么大问题,但是,如果您必须记住每90天手动进行一次操作,那么说实话……这是一项繁琐的工作,并且您很想让它过期。

尽管某些托管公司提供了现成的“让我们加密”设置,但还有更多托管公司(例如Namecheap和Hostgator)不提供。他们为什么将SSL证书作为服务出售?因此,如果您是这方面的新手,那么DIY 解决方法可能会有些挑战。

某些平台还存在兼容性问题,例如较早版本的Blackberry,Windows XP,Nintendo 3DS,PS3等…对于大多数网站所有者来说,这不是问题。您甚至可以对这个想法咯咯笑。 但这仍然值得一提,因为您永远不会知道。

如果您是一个大型网站,则可能还需要依靠频繁的客户支持…正如您可以从非营利组织期望的那样,他们确实缺乏强大的客户支持。另一方面,商业提供商有资源将更多时间专用于其付费客户。如果您没有大量使用SSL证书的经验,那么仅客户支持就值得付出更高的价格。

对于管理多个客户网站的开发人员而言,速率限制也可能带来不便。但是,有一个续订豁免,以确保用户始终能够续订证书,而无需计入每周费率限制。续订定义为包含“与先前颁发的证书完全相同的一组主机名”。

每个注册域每周20个证书每个证书100个名称每周5张重复证书每3小时每个IP地址10个帐户每3小时在IPv6 / 48内每个IP范围500个帐户您帐户中有300个待处理的授权有没有办法临时重置速率限制,如果你打它。(如果您想变脸的话,吊销证书也不会重置您的费率限制。)虽然如果您是大型组织或托管服务提供商,可以提前请求更高的费率限制,但是请求可能需要数周的时间才能处理。

尽管这并不直接影响“让我们加密” SSL证书在您的网站上的 工作方式 ,但一些网站所有者反对基于该原理使用“让我们加密”。 你为什么问?让我们加密在2016年因HTTPS 过于简单而备受争议 ,从而给用户带来虚假的安全感。换句话说,任何恶意网站都可以安装免费的SSL证书,而无需进行过多的审查或财务投入,并且可以利用“看起来更可信赖”的外观将恶意软件推向毫无戒心的访问者。这实际上不是Let's Encrypt的错,而是缺乏有关互联网安全的一般教育的错。仅仅因为网站说它是“安全的”并不意味着该网站的意图良好,并且一些网络犯罪机会主义者正在滥用这一普遍的误解,以诱使那些不太懂网络的人泄露敏感信息并下载“天知道的东西”。像Google这样的大公司都在努力推动在线安全连接,这很好,但是确实需要付出更多的努力才能准确地通知休闲用户 这意味着什么。

“自从我们宣布“让我们加密”以来,我们经常被问到如何确保不为网络钓鱼和恶意软件站点颁发证书。最常见的担忧是拥有有效的HTTPS证书有助于使这些站点看起来更加合法,从而使人们更有可能信任它们。决定在这里做什么很难。一方面,我们对这些网站的喜爱程度超过任何其他人,我们的使命是帮助构建更安全,更安全的网站。另一方面,我们不确定证书的颁发(至少对于域验证而言)是否是在2015年管理网络钓鱼和恶意软件站点的正确级别。”

你得到你所支付的吗?当然!但是价值是主观的。大型电子商务网站或处理敏感数据的网站绝对应考虑使用付费SSL证书。对于小型企业网站或普通的Joe Blogger,Let's Encrypt提供了一个绝佳的免费替代方案,您可能会充分利用并至少受益于SEO附加值。

域验证(DV证书) 是最快,最便宜的选择,但具有最低的身份验证级别。公司信息不会在SSL证书上检查或显示,但是,对于不需要广泛信誉的小型企业和个人网站,您将真正需要基本的加密和HTTPS。

由于证书颁发机构检查申请证书的组织或个人的信誉,因此不会像DV证书那样宽松地颁发组织验证(OV证书) ,并且公司信息将在证书上显示给网站访问者。如果他们知道他们在寻找什么,这将使网站访问者对组织有更明显的信任。否则,乍一看,DV和OV之间就没有真正的视觉区别。

当涉及到安全性时,扩展验证(EV证书) 是最终的SSL证书,因为它们要求证书颁发机构在签发之前更彻底地检查组织或个人。这是SSL证书,可让网站在地址栏旁边显示“绿色栏”,显示公司名称。处理敏感数据(例如信用卡信息)的大型电子商务站点绝对应该在这种类型的证书上进行投资。特别是作为一个知名的面向公众的组织,您对网络安全的承诺向您的用户和客户表明,您关心他们的信息的隐私,从而提高了您的信誉。反过来,这可能会导致较低的购物车放弃率和对公司的用户信任感。