網站SSL 憑證問題

ssl

fyshung 2017-03-30 08:37:50 ‧ 7629 瀏覽

假設目前主機已經有付費申請並掛載SSL憑證，目前也尚未到期，
但是主管要求Let’s Encrypt免費的SSL憑證 (節省支出),
是否可以在目前憑證尚未到期的情況下，直接改掛Let’s Encrypt的憑證?
感謝

看更多先前的討論...收起先前的討論...

hon2006 iT邦大師 1 級 ‧ 2017-03-30 08:54:28 檢舉

同一個域名可以申請多張憑證

zyman2008 iT邦大師 6 級 ‧ 2017-03-30 15:15:32 檢舉

Let's Encrypted 憑證申請只做Domain Validation (DV).
所以Let's Encrypted在市場上還是有爭議在, 對它不夠嚴謹的發證申請程序, 可能有助長網路犯罪的疑慮.
因為現在有一堆的DNS parking domain, 未來可能會有一堆的HTTPs phising site.
到時候可能又會發生像Google distrust WoSign and StartCom 的事件.

如果是對外的服務要用的憑證, 建議還是不要用這種憑證.

mytiny iT邦超人 1 級 ‧ 2017-03-30 21:48:47 檢舉

有句名言叫"免錢的最貴"

bizpro iT邦大師 1 級 ‧ 2017-03-31 11:00:20 檢舉

@zyman2008
"所以Let's Encrypted在市場上還是有爭議在, 對它不夠嚴謹的發證申請程序, 可能有助長網路犯罪的疑慮."

首先, 是Let's Encrypt, 不是Let's Encrypted
Let's Encrypt是嚴謹的, 目前必須透過兩種方式之一驗證.
1. DNS: 網域擁有者必須在其DNS中增加TXT紀錄供Let's Encrypt遠端驗證
2. HTTP: 網域擁有者必須在其網站中提供真實URL路徑供Let's Encrypt遠端驗證
這兩種方式都必須有真實的人工設定. 而且, 憑證有效期是三個月, 強迫您定時更新憑證.

至於您說的那些弊端, 正是Let's Encrypt所解決的. 連線加密已是基本人權.

bizpro iT邦大師 1 級 ‧ 2017-03-31 11:04:01 檢舉

@mytiny
Let's Encrypt提供優異的服務, 並非免錢(free as in beer), 而是自由(free as in freedom). 畢竟設定Let's Encrypt驗證的人並非免費.

zyman2008 iT邦大師 6 級 ‧ 2017-03-31 12:42:54 檢舉

DNS domain的申請, 管制本來就不嚴謹. 不然哪來的那麼多 parking domain讓惡意程式使用.
既然可以隨意申請到DNS domain, 那麼要用程式管理並加TXT record, 自動在cloud
platform deploy HTTPs web site, 自動subscribe certificate.
這個site在三個月內就可以是被用來做部署好的phishing site.
現在的hacking tool都已經走向PaaS了, 這種可以完全利用程式自動化就可以達到的事, 就是個隱憂.
自由並沒有不好, 但若會很容易被拿來做壞事. 就需要持續加強, 以避免這些可能性.
例如,
Anonymous VPN, 可以用來保護人享有網路存取自由的權利. 但是, 也可以被壞人用來當成工具.
我只是提出市場有些人對它可能被利用的疑慮. 相信它在這些大咖sponsors的資金加持下, 應該能盡快補強並消除這樣的疑慮. 讓想用的人, 用的更安心.

bizpro iT邦大師 1 級 ‧ 2017-03-31 13:59:40 檢舉

@zyman2008
您說的這些和Let's Encrypt並無關聯. 但Let's Encrypt的確可以多做些什麼, 而且能做得比其他CA更好, 例如, 最近的Paypal事件, Let's Encrypt也表明關心但並非其責
https://nakedsecurity.sophos.com/2017/03/30/lets-encrypt-issues-certs-to-paypal-phishing-sites-how-to-protect-yourself/

登入發表討論