Integracja z Let's Encrypt dla klientów - kto wprowadza?

[Piotr GRD]

Osobiście uważam, że nie ma potrzeby - a z całą pewnością w idealnym świecie nie powinno być potrzeby - by cały ruch w internecie szyfrować. Owszem, tam gdzie mamy do czynienia z danymi wrażliwymi, z operacjami finansowymi itp. tam szyfrowanie ma jak najbardziej uzasadnienie i oczywistym jest jego stosowanie. Ale na jakichś zwyczajnym stronach, publicznych wizytówkach firm, forach wędkarskich itd. - moim zdaniem to przesada.

 

Jednak niektórzy dążą usilnie do tego, by nakłonić cały świat do szyfrowania wszystkiego. Wykorzystując swoją pozycję rynkową duży nacisk kładzie na to chociażby Google. Od pewnego czasu zdają się wyżej "cenić" w wynikach wyszukiwania strony serwowane przez HTTPS (w jakim stopniu i ile w tym prawdy - nie wiem, ale jest to czynnik sprawiający, że wielu zdecydowało się na wdrożenie HTTPS u siebie). W ubiegłym roku w swojej przeglądarce Chrome zaczęli ostrzegać o braku szyfrowania i potencjalnym zagrożeniu przy wysyłaniu formularzy. A latem Chrome ma ponoć wyświetlać wyraźnie widoczną informację o braku szyfrowania już dla wszystkich stron serwowanych przez zwykłe HTTP, z formularzami czy bez.

 

Oczywiście, ten kto wie choć trochę o tym co to jest i po co to "HTTPS" będzie zdawał sobie sprawę, że nie wszędzie jest ono potrzebne i żaden komunikat przeglądarki go nie przestraszy i nie odwiedzie od przeglądania strony przez zwykłe HTTP, ale laicy mogą się czasem wystraszyć, szczególnie jeśli będą należeli do grona tych osób, które mylą pojęcia słów "niezabezpieczona" i "niebezpieczna" (a są takie osoby).

 

Mając na względzie to, nie chcąc stracić potencjalnych odwiedzających, spodziewając się kolejnych dalej idących kroków w przyszłości, czując coraz większą presję odnośnie szyfrowania coraz więcej właścicieli i webmasterów zwyczajnych małych stron może zechcieć je serwować poprzez HTTPS. Jednocześnie jednak mając maleńką, mało ważną stronkę nie mają ochoty wydawać dodatkowych kilkudziesięciu złotych na certyfikat, jakkolwiek małą kwota taka mogłaby się ludziom wydawać. Wielu postanowi więc skorzystać z oferty Let's Encrypt i podobnych (można wykorzystać np. CDN od CloudFlare). Ręczne odnawianie co 3 miesiące jest jednak na dłuższą metę nie tyle kłopotliwe, co można o nim zapomnieć, zagapić się, a wtedy komunikat o nieważnym certyfikacie będzie gorszy od braku HTTPS w ogóle.

 

Niektóre firmy hostingowe wprowadzają więc dla takich swoich "maluczkich" klientów automatyczną integrację czy to z Let's Encrypt, czy to z podobnym systemem certyfikatów wystawianych przez cPanel, wliczoną już w koszt usługi hostingowej jako takiej. Mówię o ofercie dla "maluczkich", bo wiadomo, że poważna strona z danymi wrażliwymi lub operacjami finansowymi itp. raczej wymaga czegoś więcej niż darmowy certyfikat od Let's Encrypt.

 

Kto już wprowadził taką integrację u siebie?

Kto ma taki zamiar w najbliższym czasie?

Kto nie ma zamiaru, a woli promować wśród swoich klientów wykupywanie płatnych certyfikatów?

 

[Poziomecki]

My u nas wszędzie dajemy dostęp do VNC jak i do zwykłych certyfikatów. Także można skorzystać z jednej jak i z drugiej opcji. U siebie również korzystam czasem z let's encrypt np. gdy strony są w budowie a chcę przetestować coś.

 

Dobra opcja również dla poczty.

[Suspect]

2 godziny temu, Piotr GRD napisał:

Ręczne odnawianie co 3 miesiące jest jednak na dłuższą metę nie tyle kłopotliwe, co można o nim zapomnieć, zagapić się, a wtedy komunikat o nieważnym certyfikacie będzie gorszy od braku HTTPS w ogóle.

 

Piotrze, jeżeli ktoś decyduje się na używanie certyfikatów z Let's Encrypt to prawie zawsze decyduje się na używanie certbota. Umożliwia on automatyczne, niezawodne odnawianie certyfikatów. Można po prostu zainstalować certyfikat, skonfigurować automatyczne odnawianie i zapomnieć o sprawie.

[IQ PL]

Witam,

 

U nas LetsEncrypt został udostępniony wszystkim klientom posiadającym hosting wirtualny. Można je łatwo zainstalować (zwykle kilka kliknięć myszką) i są automatycznie odnawiane.

Ze względu na specyfikę tych certyfikatów nie nadają się do zastosowań profesjonalnych i polecamy je naszym klientom tylko do testów.

Zachęcamy też do zakupu certyfikatów które mają służyć do czegoś więcej.

 

www.iq.pl

[nrm]

1 minutę temu, IQ PL napisał:

Ze względu na specyfikę tych certyfikatów nie nadają się do zastosowań profesjonalnych i polecamy je naszym klientom tylko do testów.

 

 

WAT?!? że co?

[Spoofy]

9 minut temu, IQ PL napisał:

Witam,

 

U nas LetsEncrypt został udostępniony wszystkim klientom posiadającym hosting wirtualny. Można je łatwo zainstalować (zwykle kilka kliknięć myszką) i są automatycznie odnawiane.

Ze względu na specyfikę tych certyfikatów nie nadają się do zastosowań profesjonalnych i polecamy je naszym klientom tylko do testów.

Zachęcamy też do zakupu certyfikatów które mają służyć do czegoś więcej.

 

www.iq.pl

 

Przepraszam, ale czym różni się certyfikat DV od DV LET pod kątem "profesjonalnych zastosowań"?

 

Wszędzie gdzie jest shared hosting - posiadamy certy LET.

Edytowane 20 Kwietnia 2018 przez Spoofy

[nrm]

4 godziny temu, Piotr GRD napisał:

Kto już wprowadził taką integrację u siebie?

 

Obecnie łatwiej jest powiedzieć gdzie tego nie ma (lub z problemami) bo jednak zostało to bardzo szybko powszechnie zaadaptowane. A tym bardziej jak firmy korzystają z gotowych rozwiązań typu cPanel czy DIrectAdmin. Wszystko jest automatyczne i żadna z Twoich obaw nie ma miejsca. Ustawiasz i zapominasz.

[IQ PL]

3 minuty temu, Spoofy napisał:

Przepraszam, ale czym różni się certyfikat DV od DV LET pod kątem "profesjonalnych zastosowań"?

 

Umową.

[szarik]

4 godziny temu, Piotr GRD napisał:

[...]. Mówię o ofercie dla "maluczkich", bo wiadomo, że poważna strona z danymi wrażliwymi lub operacjami finansowymi itp. raczej wymaga czegoś więcej niż darmowy certyfikat od Let's Encrypt.

 

[...]

 

 

 

17 minut temu, IQ PL napisał:

 

Ze względu na specyfikę tych certyfikatów nie nadają się do zastosowań profesjonalnych i polecamy je naszym klientom tylko do testów.

Zachęcamy też do zakupu certyfikatów które mają służyć do czegoś więcej.

 

www.iq.pl

 

 

Z tego co mi wiadomo to certyfikaty Let's Encrypt (dla uściślenia DV - domain validation, weryfikacja/uwierzytelnienie w oparciu o domenę) nie różnią się niczym od certyfikatów komercyjnych tego samego typu...

 

...oczywiście certyfikat Let's Encrypt nie jest objęty gwarancja wystawcy np. w razie jakiejkolwiek pomyłki, co jest naturalne, skoro za to nie płacisz... z drugiej strony nie słyszałem jeszcze, by miała sytuacja kiedykolwiek wypłacenia takowego 'odszkodowania'...  jest jeszcze jedna różnica, a mianowicie  brak wsparcia technicznego, które w przypadku komercyjnych certyfikatów występuje.

 

Chciałbym zapytać jakie są różnice między certyfikatami Let's Encrypt a ich komercyjnymi odpowiednikami (DV)? - oczywiście pytając jakie są różnice między wymienionymi certyfikatami, mam na myśli kwestie mające znaczenie dla końcowego użytkownika, a nie takie aspekty jak:

 

• sposób ich zatwierdzania: protokół ACME, plik, e-mail, DNS
• max. długość okresu na jaki certyfikaty są wystawiane
• itd. itp.

 

Oba rodzaje certyfikatów Let's Encrypt, jak i komercyjne: są anonimowe, zapewnia jedynie szyfrowanie, bez potwierdzenia tożsamości właściciela certyfikatu... czyli wykonują to samo zadanie... dla przykładu 'poziom szyfrowania':

 

• COMODO - 256 bit encryption and 2048-bit roots keys
• Let's Encrypt - SHA-1 and 2048-bit RSA

 

 

 

Jeszcze dodam, że można już wystawiać crtyfikaty Let's Encrypt typu wildcard (czyli wieloznaczne)... jedna z pierwszych na  świecie firm oferujących ta funkcjonalność zapewniła firma Progreso - https://progreso.pl/o_nas/newsroom/let-s-encrypt-wildcard/ 

 

[Spoofy]

3 minuty temu, IQ PL napisał:

 

Umową.

Dokładniej? Chodzi o gwarancję tych 10k dolarów?

[IQ PL]

6 minut temu, Spoofy napisał:

Dokładniej? Chodzi o gwarancję tych 10k dolarów?

 

Proponowałbym skonsultować to ze swoim prawnikiem i ocenić czy ryzyko używania danego typu certyfikatów jest dla Pana akceptowalne.

[theqkash]

1 minutę temu, IQ PL napisał:

 

Proponowałbym skonsultować to ze swoim prawnikiem i ocenić czy ryzyko używania danego typu certyfikatów jest dla Pana akceptowalne.

Jeżeli ktoś prowadzi sprzedaż w sklepie i obraca tam grubymi kwotami, jestem  w stanie się zgodzić, że LE może być "ryzykowne".
Nie widzę natomiast sensu w nabywaniu certyfikatów płatnych dla serwisów hobbystycznych, wizytówkowych i w zasadzie wszystkich, które nie należą do kategorii "e-commerce". Nie jest to natomiast tożsame z grupą stron "testowych".

[Suspect]

Temat różnic między certyfikatami płatnymi a darmowymi z LE był juz omawiany na WHT. Pod przymusem wynikło z niego, że te płatne są lepsze bo każdy kto sądził inaczej źle skończył  W praktyce wygląda to tak, że matematyki nikt nie oszuka. Można natomiast bardzo dobrze zarobić na klientach z mniejszą wiedzą w tym zakresie, oferując im płatne certyfikaty z wirtualnymi gwarancjami na setki tysięcy. To dlatego moim zdaniem duże firmy nie są zbyt przychylne względem LE.

[nnd.newbie]

Tylko sprawdźcie czego dotyczy gwarancja i kiedy jest wypłacana. Bo zazwyczaj dotyczy "złamania szyfru certyfikacji SSL". Jak dojdzie do złamania 2048-bit RSA to wszyscy będziemy mieli prze..ne, a to ubezpieczenie to pójdzie na waciki.

Pod względem technologicznym płatny certfikat DV nie chroni lepiej niż LE. Ani przed oszustwami, ani nadużyciami czy czymkolwiek innym.

A jak ktoś chce to ze względów wizerunkowych niech lepiej kupi EV albo OV, bo klient i tak nie odróżni jakiego DV używamy.

Edytowane 20 Kwietnia 2018 przez nnd.newbie

[Spoofy]

Za potwierdzenie hipotezy Riemanna i odgadnięcie liczb pierwszych są większe nagrody niż za łamanie certyfikatów DV

[Piotr GRD]

5 godzin temu, nrm napisał:

 

Obecnie łatwiej jest powiedzieć gdzie tego nie ma (lub z problemami) bo jednak zostało to bardzo szybko powszechnie zaadaptowane. A tym bardziej jak firmy korzystają z gotowych rozwiązań typu cPanel czy DIrectAdmin. Wszystko jest automatyczne i żadna z Twoich obaw nie ma miejsca. Ustawiasz i zapominasz.

 

Osobiście w ciągu ostatnich 2-3 miesięcy miałem dostęp do bodajże sześciu (tanich płatnych, takich co to korzystają z nich "maluczcy") różnych hostingów współdzielonych, 2x cPanel, 4x DA, jedynie na jednym była automatyczna integracja, na pozostałych trzeba wprowadzać certyfikaty ręcznie. Ze trzy miesiące temu nawet prowadziłem (w imieniu znajomego, którego stroną się zajmowałem) rozmowę z obsługą hostingu na ten temat, otrzymałem odpowiedź, że nie mają tego póki co w planach i zachęcał mnie do oferty płatnych certyfikatów. Dlatego gdy jakiś czas temu dostałem od jednej z firm mailing o planach Chrome na lato i (przy okazji) ofercie płatnych certyfikatów postanowiłem, że tu o tym napiszę i zapytam jak sprawa się ma.

[l3szcz]

U mnie już jest od jakiegoś pół roku (może krócej). 

[smarthost]

kiedyś popełniłem takie porównanie: https://www.smarthost.pl/blog/czym-roznia-sie-bezplatne-certyfikaty-ssl-od-platnych-certyfikatow-ssl

 

A u nas oczywiście po podpięciu domeny od razu instaluje się bezpłatny certyfikat (cPanel/Comodo). Automatycznie. Oczywiście jak ktoś sobie życzy, to może go w cPanelu usunąc i zainstalować Let's encrypta (również w cPanelu) - ale najwygodniej jest nic nie robić, bo się "samo instaluje" :-)

 

Wojtek

Edytowane 21 Kwietnia 2018 przez smarthost

[nnd.newbie]

@smarthost Miło, że powstało wyjaśnienie w eleganckiej formie i nie trzeba będzie się znowu z argumentami o gwarancji przepychać. Popraw tylko info o Wildcard, bo Let's Encrypt też już takie wystawia.

[theqkash]

No i jeszcze można poprawić kwestię certyfikatów na więcej na rok, bo obecnie nie ma już certyfikatów na 3 lata i dłużej, więc generalnie płatne certyfikaty na rok albo dwa

[blfr]

W dniu 20.04.2018 o 13:27, IQ PL napisał:

 

Umową.

 

W dniu 20.04.2018 o 13:41, IQ PL napisał:

 

Proponowałbym skonsultować to ze swoim prawnikiem i ocenić czy ryzyko używania danego typu certyfikatów jest dla Pana akceptowalne.

 

I co w tej umowie? Jakie ryzyko? Rozumiem, że konto firmowe macie głównie do promowania swoich usług, ale jak się włączasz w dyskusję, to wnieś coś do niej.

 

W dniu 20.04.2018 o 08:55, Piotr GRD napisał:

Osobiście uważam, że nie ma potrzeby - a z całą pewnością w idealnym świecie nie powinno być potrzeby - by cały ruch w internecie szyfrować.

 

Ale nie żyjemy w idealnym świecie i potrzeba jest. Choćby, żeby śmieciowy operator użytkownika nie dodał swoich reklam do Twojej strony.

[Piotr GRD]

11 godzin temu, blfr napisał:

Ale nie żyjemy w idealnym świecie i potrzeba jest. Choćby, żeby śmieciowy operator użytkownika nie dodał swoich reklam do Twojej strony.

 

Jestem idealistą, mam utopijną wizję świata. Zdecydowanie wolałbym odwoływać się do przyzwoitości tego śmieciowego operatora, aby zaprzestał swoich praktyk, niż prowadzić "wyścig zbrojeń" w coraz to bardziej wyrafinowanym i skmplikowanych zabezpieczaniu wszystkiego co tylko się da. Nie, nie mówię, żeby zostawiać drzwi swojego domu otwarte jak jeszcze nawet przed kilkudziesięciu laty na wsiach bywało, ale przeciwny jestem popadaniu w przesadę, montowaniu czujników ruchu, systemu kamer i automatycznego powiadamiania agencji ochrony wokół zwykłej letniej altanki. A powoli do tego to zmierza, jeśli ludzie widzą konieczność szyfrowania zwykłej małej byle jakiej stronki.

 

Zdaję sobie jednak sprawę z tego, że moje odwoływanie się do bycia przyzwoitym nic nie da. Dlatego zapytałem kto ma ofertę dla "maluczkich", którzy nie zamierzają wydawać nawet złotówki więcej niż do tej pory na swoje mało znaczące strony, a którzy jednak nie chcieliby zostać wykluczeni - dziś ostrzeżeniami przeglądarek, a za lat kilka/kilkanaście może w ogóle brakiem dostępu, kiedy to komuś przyjdzie do głowy, że przeglądarki nie tylko będą ostrzegały o braku szyfrowania, ale wręcz ruch taki zupełnie zablokują bez pytania użytkownika o zdanie.

Edytowane 13 Maja 2018 przez Piotr GRD

[someone]

W dniu 20.04.2018 o 13:13, IQ PL napisał:

Ze względu na specyfikę tych certyfikatów nie nadają się do zastosowań profesjonalnych i polecamy je naszym klientom tylko do testów. 

Zachęcamy też do zakupu certyfikatów które mają służyć do czegoś więcej.

 

www.iq.pl

 

Patrząc na ostatnie statystyki rozumiem, że firmy hostingowe a w szczególności wystawiające certyfikaty mają się czego bać, 51% i dalej w górę.

[kankan]

Z jednej strony tak, a z drugiej ma się czego bać i Lets encrypt patrząc na to jak w kilka miesięcy "ubito" darmowy Startcom, Wosign, ale też płatne RapidSSL i ogólnie Symanteca bo przestały się "podobać" ;).

[theqkash]

6 godzin temu, kankan napisał:

"ubito" darmowy Startcom, Wosign

Szczerze mówiąc też mi się to nie podobało, ale jednak były tu dość poważne podstawy do przeprowadzenia takiej czynności.