שאלה האם יש סיבה להשתמש באישור SSL מלבד SSL ​​ללא הצפנה של Let?


בואו להצפין מספקים אישורי SSL ללא תשלום. האם יש חסרונות בהשוואה לאישורים אחרים ששולמו, למשל. מנהל אישור AWS?


133
2017-08-18 09:29




הסרתי את רוב הערות לגבי הדיון חסר טעם אם LE הוא מטבעו פחות אמין בשל הטבע החופשי שלה. - Sven♦


תשובות:


אורך חיי האישור

אבטחה

תוחלת החיים קצרה יותר. פשוט משום שביטול הוא תיאורטי בעיקר, בפועל זה לא ניתן לסמוך על (חולשה גדולה במערכת הציבורית PKI).

ניהול

ללא אוטומציה: תוחלת החיים ארוכה יותר. LE לא יכול להיות ריאלי אם, מכל סיבה שהיא, לא יכול להפוך את ניהול התעודות
עם אוטומציה: תוחלת חיים לא משנה.

הופעה של משתמש קצה

משתמשי הקצה לא סביר שיהיה להם מושג בדרך זו או אחרת.

רמת האימות

אבטחה

Letsencrypt מספק DV של אימות בלבד.
קניית תעודת אתה מקבל מה שאתה משלם עבור (החל ב DV, עם אותה רמת טענה כמו עם LE).

DV = רק בקרת שם תחום מאומת.
OV = מידע ישות הבעלים (ארגון) מאומת בנוסף.
EV = גרסה יסודית יותר של OV, אשר באופן מסורתי הוענק עם "בר ירוק" (אבל "בר ירוק" נראה הולך בקרוב).

ניהול

בעת שימוש LE, העבודה שאתה מכניס הוא הגדרת אוטומציה הצורך (בהקשר זה, כדי להוכיח שליטה תחום). כמה עבודה זה יהיה תלוי בסביבה שלך.

בעת רכישת cert DV / OV / EV רמה יגדיר כמה עבודה ידנית יידרש כדי לקבל את cert. עבור DV זה בדרך כלל מתגלגל עובר אשף משלם להעתיק / הדבקה משהו או לחיצה על משהו, עבור OV ו EV אתה יכול לסמוך על הצורך להיות קשר בנפרד לעשות צעדים נוספים כדי לאשר את הזהות שלך.

הופעה של משתמש קצה

משתמשי הקצה כנראה מכירים את ה- EV הנוכחי "בר ירוק" (אשר הולך), חוץ מזה הם לא נוטים באמת להסתכל על תוכן האישור.
באופן תיאורטי, ברור כי הוא מועיל יותר בתעודה המציינת מידע על בעל השליטה. אבל דפדפנים (או יישומים אחרים של הלקוח) צריך להתחיל למעשה להראות את זה בצורה שימושית לפני זה יש השפעה על המשתמש טיפוסי.

התקנה

אבטחה

אפשר לעשות דברים בצורה לא נכונה בדרכים שחושפות מפתחות פרטיים או דומים. עם LE, את הכלים שנוצרו מוגדר סביב שיטות סבירות.
עם אדם שיודע מה הם עושים, צעדים ידניים ניתן כמובן גם לעשות בצורה מאובטחת.

ניהול

LE מיועד מאוד יש את כל התהליכים האוטומטיים, השירות שלהם הוא לגמרי מבוסס ה- API ואת תוחלת החיים הקצרה גם משקף איך הכל מרוכז סביב אוטומציה.

כאשר קונים cert, גם עם CA המספק APIs ללקוחות קבועים (לא באמת את הנורמה בשלב זה) זה יהיה קשה כראוי לאוטומטי דבר אחר מאשר DV ו DV אתה משלם עבור אותו דבר כי LE מספקת.
אם אתה הולך על רמות OV או EV, אתה יכול כנראה רק באופן חלקי להפוך את התהליך.

הופעה של משתמש קצה

אם ההתקנה מתבצעת כראוי, משתמש הקצה בוודאי לא יודע איך זה נעשה. הסיכויים של בלגן דברים (למשל, שוכח לחדש או עושה את ההתקנה בצורה שגויה בעת חידוש) הם פחות עם תהליך אוטומטי.

באופן כללי

האמצעים המסורתיים של קניית certs הם שימושיים במיוחד אם אתה רוצה OV / EV certs, לא automating ניהול תעודות או רוצה certs בשימוש בהקשר אחר מאשר HTTPS.


118
2017-08-18 12:46



במקרים מסוימים יש היבט ביטוחי, במקרה של פשרה מצד צד שלישי. - John Keates
האם יש לך מקור על EV הולך? - Puddingfox
@ Puddingfox נקודה טובה. אני אצטרך לחפש את המצב הנוכחי ואולי להעפיל אותו יותר אם יש צורך. עם זאת, זה לא EV תעודות זה יהיה הולך משם אבל הקשורים "ירוק" בר ממשק המשתמש מחוון. - Håkan Lindqvist
מניסיוני, ניתן גם להשתמש ב'הצפנה 'עבור הדואר, ולכן הוא גמיש מספיק למטרה זו. - Manngo
@kloddant אה. היית מפעיל את התסריט יותר מפעם אחת לכל תקופת חידוש, וכמובן כמו כל תהליך אוטומטי אחר, זה צריך ניטור (אילו מפעילה לפני האישור יפוג). - Jonas Schäfer


מנקודת מבט טכנית גרידא:

  • העובדה כי התעודות תקפות למשך 3 חודשים בלבד. יכול להיות מטרד לשמור בהתאם לנהלים וניהול התשתית שלך.
  • מטרת 'הצפנת אישורים' מוגבלת. אתה לא יכול להשתמש בהם עבור הדוא"ל שלך, חתימת קוד או חותמת זמן.
    לבדוק עם: openssl x509 -in cert.pem -noout -text

    X509v3 שימוש מורחב במפתח:
                  אימות שרת אינטרנט של TLS, אימות לקוח אינטרנט של TLS

מנקודת מבט של משתמש קצה:


75
2017-08-18 11:47



שים לב ש- Chrome מתקדם באופן פעיל לקראת הצגת שום דבר מיוחד עבור HTTPS בכלל, והגרסה הבאה הבאה של OSX ו- iOS לא תראה את Safari לא תוצג שום דבר מיוחד עבור EV. נראה כי ספקי הדפדפן העיקריים מתרחקים EV. רבים של אתרי אינטרנט העליון אפילו לא להשתמש בו. - Greg W
לגבי הנקודה בנושא ניהול השינוי, הרעיון שמאחורי תוחלת החיים של 3 חודשים הוא שתהליך החידוש והחיפוש נועד להיות אוטומטי לחלוטין. כלומר, אם משתמשים בהם כמתוכנן, שינוי יהיה הגדרת כי אוטומציה, לא שוב ושוב התקנת אישורים באופן ידני. אבל אם יש מדיניות נגד automating זה, זה היה כנראה לעשות את זה לא ללכת. - Håkan Lindqvist
אימות שרת האינטרנט של TLS מספיק לאבטחת, לדוגמה. שרתי SMTP, IMAP, POP3. זה לא חוקי עבור S / MIME אף. - Michael Hampton♦
כדי הפרשנים, שים לב כי האמור לעיל הוא ויקי קהילה המיועד לעריכתו של כל אחד - HBruijn
@ ripper234 אתה מתכוון כמו רציני / משתמש מול האתר serverfault.com אתה נמצא עכשיו? אתר זה אינו משתמש בתעודת EV. גם google.com. או. או cisco.com. ו דפדפנים הם בהדרגה את הבר הירוק. אם תעודת EV חשובה לך, על ידי כל האמצעים לשלם על זה, אבל אין ספק שפעולות רבות של משתמשים מול אתרים הגיעו למסקנה אחרת על הערך שלה. - Zach Lipton


אני רוצה להציע כמה נקודות נגד הטיעונים נגד נגד בואו להצפין כאן.

חיים קצרים

כן, יש להם חיים קצרים כמוסבר בפק: https://letsencrypt.orgnt/11/09/why-90-days.html לצטט את הדף:

  1. הם מגבילים את הנזק מפשרות מפתח ומהנפקה לא נכונה. מפתחות גנובים ותעודות שהונפקו בתוקף תקפים לתקופת זמן קצרה יותר.

  2. הם מעודדים אוטומציה, וזה חיוני לחלוטין עבור קלות שימוש. אם אנחנו הולכים להעביר את כל האינטרנט HTTPS, אנחנו לא יכולים   המשך לצפות שמנהלי המערכת ידונו ידנית בחידושים.   לאחר הנפקה וחידוש הן אוטומטיות, חיים קצרים יותר לא יהיה   כל נוח פחות מאשר יותר.

חוסר EV

אין תוכנית לתמיכה EV. הנימוק (מתוך https://community.letsencrypt.org/t/plans-for-extended-validation/409) J

אנו מצפים כי בואו להצפין לא יתמוך EV, כי תהליך EV תמיד דורשים מאמץ אנושי, אשר ידרוש לשלם למישהו. המודל שלנו הוא להנפיק אישורים ללא תשלום, המחייבים אוטומציה ברמה שאינה מתאימה ל- EV.

יתר על כן יש כמה המאמינים כי EV מזיק, כמו זה blogpost (https://stripe.ian.sh/)

ג'יימס ברטון, למשל, קיבל לאחרונה תעודת EV עבור החברה שלו "זהות מאומת". למרבה הצער, המשתמשים פשוט לא מצוידים להתמודד עם הניואנסים של ישויות אלה, וזה יוצר וקטור משמעותי עבור התחזות.

דוגמה קלאסית בעולם האמיתי של זה sslstrip. אתרי ההומוגרפיה עם תעודות שנרכשו באופן לגיטימי הם התקפה בעולם האמיתי, אשר EV אינו מספק הגנה מספקת כרגע.


30
2017-08-18 12:43





אלא אם כן אתה צריך אישור עבור משהו אחר מאשר האינטרנט, אין אמיתי חסרונות, אבל אין ספק נתפס יחידות. למרות הבעיות נתפשים רק, כבעלים של אתר אינטרנט ייתכן שאין ברירה אלא לטפל בהם (אם העניין העסקי אוסר להראות את האמה).

החיסרון הגדול ביותר הוא, לעת עתה, כי האתר שלך יראה כמו קצת נחות, אולי מסוכן כי אין לו את התג הירוק נחמד כי יש אתרים אחרים. מה המשמעות של תג זה? שום דבר באמת. אבל זה כן לחיים כי האתר שלך הוא "מאובטח" (כמה דפדפנים אפילו להשתמש במילה המדויקת). למרבה הצער, משתמשים הם אנשים, ואנשים טיפשים. אחד או שניים ייקח את האתר שלך לא אמין (בלי להבין את כל ההשלכות) רק בגלל הדפדפן לא אומר שזה מאובטח.

אם התעלמות מהלקוחות / מבקרים אלה היא אפשרות חוקית, אין בעיה. אם אתה לא יכול להרשות לעצמך כי העסק חכם, אתה יהיה חייב לבזבז כסף. אין אפשרות אחרת.

בעיה נתפסת אחרת היא זו על החיים תעודת. אבל זה בעצם יתרון, לא חסרון. תוקף קצר יותר, יש לעדכן את התעודות לעתים קרובות יותר, הן בצד השרת והן בצד הלקוח.
אשר בצד השרת, זה קורה עם cron עבודה, אז זה בעצם פחות טרחה ו אמין יותר מהרגיל. אין דרך שאתה יכול לשכוח, אין דרך להיות מאוחר, אין דרך accidentially לעשות משהו לא בסדר, אין צורך להיכנס עם חשבון ניהול (... יותר מפעם אחת). בצד הלקוח, אז מה. הדפדפנים מעדכנים אישורים כל הזמן, זה לא biggie. המשתמש אפילו לא יודע שזה קורה. יש מעט יותר תנועה היה להיות בעת עדכון כל 3 חודשים במקום כל 2 שנים, אבל ברצינות ... כי היא לא בעיה.


5
2017-08-20 13:58



@ HåkanLindqvist: זו בדיוק הבעיה. אני יכול להקים אתר תוכנות זדוניות ולהוציא 5.99 דולר, והמשתמש הממוצע יבטח בתוכנה הזדונית שלי, מפני שהיא אומרת "מאובטח". אותו משתמש לא סומך על האתר הלגיטימי והבלתי מזיק לחלוטין שלך עם אישור להצפנה. כי, טוב, זה לא מאובטח. אבל אבוי, אלה דברים שאתה פשוט לא יכול לשנות. - Damon
LE cert הוא רק דוגמה של DV cert, למרות (וזה סביר להניח שאתה מקבל רק עבור $ 5.99). LE certs להראות כמו "מאובטח" בדפדפנים הנוכחי. - Håkan Lindqvist
אתה רואה שרתי דואר אלקטרוני כחלק web? Letencrypt תעודות לא היו מספיק בשבילי כי הייתי צריך להפעיל את שרת הדוא"ל שלי - hanshenrik
@hanshenrik אתה יכול להשתמש LE בסדר גמור עם שרתי דואר. לדוגמה, אני משתמש github.com/hlandau/acme בואו להצפין את הלקוח לא רק עבור HTTPS שלי, אלא גם עבור TLS ב- SMTP, IMAP, POP3, XMPP ... - Matija Nalis
@ hanshenrik - אני מפעיל לה certs עבור שרת הדואר שלי: אין בעיות בכלל - warren


ישנן שתי קבוצות של חסרונות שווה לשקול.

1. downsides באמצעות שירות הצפנה בואו

Let Encrypt דורש שהשם המדויק, או התחום (משנה), אם אתה מבקש תו כללי, קיים ב- DNS הציבורי הציבורי. גם אם תוכיח שליטה ב- example.com, Let Encrypt לא ינפיק לך אישורים עבור some.other.name.in.example.com מבלי לראות את זה ב- DNS ציבורי. המכונות בשם לא צריך רשומות כתובת ציבורית, הם יכולים להיות firewalled, או אפילו מנותקים פיזית, אבל שם ה- DNS הציבורי צריך להתקיים.

בואו להצפין חיי אישורים של 90 ימים אומר שאתה צריך אוטומציה כי אף אחד לא קיבל זמן לזה. זוהי למעשה הכוונה של השירות - אנשים עדר לקראת אוטומציה זו עבודה חיונית ולא בעקיפין עושה את זה באופן ידני בזמן שהם להפוך משם משימות הרבה יותר קשה. אבל אם אתה לא יכול להפוך מסיבה כלשהי זה שלילי - אם יש לך כלים, מכשירי חשמל או מה זה לחסום אוטומציה לשקול כל עלויות SSL מסחרי SSL כחלק העלות השוטפת של כלים / מכשירים / מה זה תכנון עלות. חיסכון קיזוז ללא צורך לקנות אישורים מסחריים בתמחור של כלים / מכשירים חדשים / וכו 'כי אוטומציה זו (עם בואו להצפין או לא)

ההצלחה להצפין הוכחה של אוטומציה שליטה לא יכול להתאים את הכללים של הארגון שלך. לדוגמה, אם יש לך עובדים שמותר להם להגדיר מחדש את אפאצ 'י אבל לא צריך לקבל אישורי SSL עבור שמות דומיין החברה אז בואו להצפין הוא בכושר גרוע. שים לב שבמקרה זה פשוט לא להשתמש בהם הוא הדבר הלא נכון (TM) אתה צריך להשתמש CAA כדי להשבית באופן מפורש בואו להצפין עבור הדומיינים שלך.

אם מדיניות הצפנה מסרב לך, "בית המשפט לערעורים" היחיד הוא לשאול בפורומים ציבוריים שלה מקווה אחד הצוות שלהם הוא מסוגל להציע דרך קדימה. זה יכול לקרות אם, למשל, האתר שלך יש שם DNS המערכות שלהם מחליטים הוא "דומה באופן מעורפל" על נכסים מפורסמים מסוימים כמו בנקים גדולים או גוגל. מסיבות סבירות, המדיניות המדויקת של כל רשות ציבורית בנושא זה אינה פתוחה לבחינת הציבור, לכן אתה יכול רק להבין שאינך יכול לקבל אישור להצפן כאשר אתה מבקש זאת ולקבל תגובה של "מדיניות אוסר ...".

2. Downsides אל בואו להצפין את האישור עצמו

בואו להצפין את האישורים הם מהימנים על ידי דפדפני האינטרנט הגדולים היום באמצעות ISRG (צדקה לספק את השירות הצפנה בואו) אבל מערכות ישנות יותר אמון בואו להצפין באמצעות IdenTrust, תעודת הסמכה יחסית השולט "DST Root CA X3". זה עושה את העבודה עבור רוב האנשים, אבל זה לא שורש מהימן ביותר בעולם. לדוגמה נטוש Nintendo WiiU קונסולת היה דפדפן אינטרנט, ברור נינטנדו לא יהיה עדכוני משלוח עבור WiiU ולכן הדפדפן נטוש, הוא לא סומך בואו להצפין.

בואו להצפין רק בעיות באישורים עבור Web PKI - שרתים עם שמות אינטרנט המשתמשים בפרוטוקול SSL / TLS. אז זה האינטרנט כמובן, ו- IMAP שלך, SMTP, כמה סוגים של שרת VPN, עשרות דברים, אבל לא הכל. בפרט, 'הצפנה' לא מציעה אישורים כלל עבור S / MIME (דרך להצפין דוא"ל במנוחה, ולא רק כאשר הוא נמצא במעבר) ולא עבור חתימת קוד או חתימת מסמך. אם אתה רוצה "one stop shop" עבור אישורים, זה עשוי להיות סיבה מספקת לא להשתמש בוא להצפין.

גם ב PKI האינטרנט, בואו להצפין מציעה רק "DV" אישורים, כלומר כל הפרטים על עצמך או על הארגון שלך מלבד FQDNs אינם מוזכרים בתעודה. גם אם אתה כותב אותם CSR הם פשוט נזרק. זה עשוי להיות חוסם עבור כמה יישומים מיוחדים.

בואו להצפין אוטומציה אומר שאתה מוגבל בדיוק על ידי מה אוטומציה מאפשר גם אם אין שום סיבה אחרת למה אתה לא יכול לקבל משהו. סוגים חדשים של מפתח ציבורי, תוספים X.509 חדשים ותוספות אחרות חייבים להיות מופעלים באופן מפורש על ידי בואו להצפין על ציר הזמן שלהם, וכמובן אתה לא יכול רק להציע לשלם נוסף כדי לקבל את התכונות הרצויות למרות התרומות יתקבלו בברכה.

עם זאת, עבור כמעט כולם, כמעט תמיד, בואו להצפין היא בחירה טובה טובה לשים תעודות על שרתי TLS שלך באש ו-לשכוח בדרך. החל בהנחה שתשתמש ב- Let Encrypt היא דרך הגיונית לגשת להחלטה זו.


5
2017-08-26 11:07



אני תוהה אם לא תומכת Nintendo WiiU הוא עניין גדול, בהתחשב כמה אתרי אינטרנט הדפדפן יכול להציג כראוי. - Dmitry Grigoryev
אתה מזכיר downsides של "הוכחה של אוטומציה מלאה", אבל מניסיוני, כל תעודת DV יאושר עם תוכניות דומות מאוד בכל מקרה. לדוגמה, הנה השיטות שמציעה קומודו, הכוללים גישה המבוססת על HTM-ACME. הגנה מפני רישומים סוררים יהיה כנראה מנוהל בצורה הטובה ביותר על ידי ניטור יומני שקיפות תעודת. - IMSoP
צפייה בצג ה- CT היא רעיון טוב בסוג זה של מצב, וכן, יש רק את עשר שיטות מבורך (אשר למעשה כרגע אני חושב 8 או 9 שיטות בפועל) כך מאחד למשנהו אתה רק הולך לראות שילוב שונה של שיטות וכמה וריאציה בדיוק איך הם עובדים. עם זאת, ההבדל בין השיטות המוצעות, הפוטנציאל שיש התחייבויות חוזיות להשתמש בשיטה המועדפת שלך ואפילו רעיונות טכניים כמו הוספת שדה CAA כדי להראות אילו שיטות מותר לעשות להשתנות על ידי CA, וזה יכול להיות הגיוני לא להשתמש בואו להצפין. - tialaramex
כדוגמה מוחשית: לפייסבוק יש חוזה עם CA מסחרי גדול. עכשיו הם משתמשים CAA לציין כי רק CA עשוי להנפיק אישורים עבור התחומים העיקריים שלהם כמו facebook.com ו fb.com; תנאי החוזה להבטיח של צוות האבטחה הטכנית של פייסבוק יש לנקות כל אישור חדש. CA עדיין צריך להשתמש באחת עשרה דרכים מבורך אבל החוזה דורש מהם גם להתקשר אבטחה פייסבוק. - tialaramex


אני אוסיף אחד כי נאלץ המעסיק שלי בחלקו מן מאפשר הצפנה: שיעור ה- API להגביל. בשל תקופות חיים קצרות וחוסר תמיכה בתווים כלליים, קל מאוד להתקרב למגבלות התעריף במהלך פעולות אוטומטיות רגילות (חידוש אוטומטי וכו '). מנסה להוסיף תת-דומיין חדש יכול לדחוף אותך מעל מגבלת הריבית, ו- LE אין דרך לעקוף את המגבלה פעם אחת. אם אתה לא מגבה את האישורים הישנים (מי היה עושה את זה בסביבה אוטומטית, ענן סוג microservices כמו LE חזיונות?) כל האתרים המושפעים ללכת לא מקוון כמו LE לא להנפיק מחדש את האישורים.

כאשר הבנו מה קרה, היה רגע של "אה # # # #" ואחריו חירום מסחרי הדרישה רק כדי לקבל את אתרי הייצור בחזרה באינטרנט. אחד עם תוחלת חיים סבירה יותר 1 שנה. עד LE מיישם תמיכה בתו הכללי הנכון (וגם אז), אנחנו הולכים להיות זהיר מאוד של הנפקות שלהם.

TL: dr: LE תווים כלליים + API עושה ניהול משהו מורכב יותר מאשר "הבית האישי שלי" מאתגר באופן בלתי צפוי, ומקדם בפועל אבטחה ירודה לאורך הדרך.


5
2017-08-23 09:58





כן.

החיסרון של שימוש חינם או בואו להצפין תעודת SSL-

גיליון תאימות - בואו להצפין אישור SSL לא תואם את כל הפלטפורמות. ראה הקישור הזה לדעת את רשימת פלטפורמות לא תואמות -

תוקף פחות - בואו להצפין אישור SSL מגיע עם תוקף מוגבל כמו 90 ימים. אתה צריך לחדש את תעודת ה- SSL שלך בכל 90 ימים. איפה כמו שילם SSL כמו Comodo מגיע עם תוקף ארוך כמו 2 שנים.

אין אימות עסקי - תעודת SSL ללא תשלום דורשת אימות תחום בלבד. אין אימות עסקי או ארגון כדי להבטיח למשתמשים עבור ישות עסקית משפטית.

מתאים לעסקים קטנים או אתרי בלוג - כפי שהוספתי בנקודה האחרונה, חינם או בואו להצפין תעודת SSL ניתן availed באמצעות אימות הבעלות על תחום, לא מתאים עבור העסק או אתר מסחר אלקטרוני שבו אמון וביטחון הוא גורם מרכזי עבור העסק.

אין כתובת ירוקה - לא ניתן לכלול שורת כתובת ירוקה עם אישור SSL ללא תשלום. אישור SSL לאימות מורחב הוא הדרך היחידה להציג את שם העסק שלך עם שורת הכתובת הירוקה בדפדפן.

אין תמיכה - אם אתה תקוע בין הדרך עם בואו להצפין, אתה יכול לקבל צ 'אט מקוון או תמיכה להתקשר. ניתן ליצור קשר באמצעות פורומים רק כדי להיפטר מן הבעיה.

תכונות אבטחה נוספות - תעודת SSL חינם אינו מציע כל תכונה נוספת כמו תוכנה זדונית חינם לסרוק, חותמת האתר וכו '

אין אחריות - חינם או בואו להצפין SSL תעודת אינו מציע כל סכום אחריות ואילו שילם תעודת SSL מציעה אחריות מ $ 10,000 ל $ 1,750,000.

על פי חדשות, 14,766 בואו להצפין אישורי SSL שהונפקו לאתרי פישינג של PayPal מכיוון שהוא דורש אימות תחום בלבד

אז, לפי ההמלצה שלי, לשלם עבור תעודת SSL הוא באמת שווה.


-1
2017-08-20 16:11



(1) LE הוא רק בקנה אחד עם מערכות ישנות. (2) תקופת תוקף היא לא נושא עקב אוטומציה. (3) אימות זהה לכל DV אחר DV. (4) LE cert מתאים לכל סוג של הארגון. (5) הבר הירוק הוא עבור תעודות EV בלבד (ו ייעלם בעתיד הקרוב). (6) אני לא יודע על כל ספק cert שעושה לסרוק תוכנות זדוניות ומה זה חותמת האתר אמור לתרום לכיוון ?. (7) מה צו היה צורך certer? (8) סוכני CA מוצלחים מוכרים אישורים לאתרי דיוג גם (9) הקישור שאליו אתה מתייחס מתייחס לאישורים חתומים עצמית, שאינו קשור - BlueCacti
כאשר הרשימה "מערכות לא תואמות" היא דברים כמו גרסאות של Android לפני 2.3.6, Nintendo 3DS ו- Windows XP מוקדם יותר מ- SP3, אין זה חשש ל -99.999% מהאנשים הזקוקים ל- SSL. כמו כן, "למה אתה לא צריך ..." הקישור בתחתית ההודעה שלך הוא רק על חתימה עצמית SSL, זה לא אומר שום דבר על בואו להצפין אישורים, אתה השימוש של הקישור הזה הוא לא נכון עובדתית. - semi-extrinsic


לאחר כמה מחקר גיליתי כי תעודות הצפנה בואו פחות תואם עם דפדפנים מאשר תעודות ששולמו. (מקורות: בואו להצפין לעומת. קומודו חיובי)


-6



הקישור השני שבור. - iamnotmaynard
מה אכפת לך מדפדפנים ופלטפורמות שהם עשור לא תומכים במשהו? - warren
@warren אוהב את זה או לא, אבל הרבה מכשירים ומחשבים בארגונים גדולים במיוחד עדיין להפעיל את Windows XP, או מערכות הפעלה בגיל דומה, ועלול לדרוש (בקרות, הרבה חומות אש ו proxies) גישה לאינטרנט כדי לתקשר אחד עם השני . תחשוב יד שנערך מסופים מדברים או קיוסקים. לעזאזל, אני כרגע כותב את serverside של מערכת כי מדבר על מכשירים בן 15 מעל https / ssl. בעוד שרוב הלקוחות שודרגו למכשירים חדשים, חלקם לא. - jwenting