Jump to content

Frage

Hallo,

muss bald mal wieder alle Zertifikate erneuern und unser Webseiten-Programmier-Guru meint das
Let's Encrypt Zertifikate genauso gut wären wie jedes andere Zertifikat was Geld kostet. Wie haben eine internationale
Webseite und ich möchte mir keine Nachteile einfangen wenn es die geben sollte. Bisher habe ich auf
DigiCert vertraut.

Ich Sehe Fachinformatiker.de hat auch ein Let's Encrypt Zertifikat 🙂

Gibt es denn irgendwelche Nachteile bei der Benutzung von Let's Encrypt Zertifikaten. Das ganz muss wirklich von
überall Fuktionieren (Europa, USA, Russland, China)?

LG Jörg

bearbeitet von Broadcast

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

7 Antworten auf diese Frage

Empfohlene Beiträge

  • 2

Hi,

das Root CA von LetsEncrypt ist inzwischen in fast allen CA Stores von Betriebsystemen/Browser enthalten. Somit dürfte jedes LE Zertifikat vertraut werden. Der einzigste Nachteil dürfte die einfache Domain Validierung darstellen. Auch hat ein LE Zertifikat nur eine Dauer von 3 Monaten. Allerdings sind LE Zertifikate auch für Automatisierung ausgelegt, d.h. die Erneuerung wird automatisch durch einen ACME Client z.B. Certbot durchgeführt.

Ein LE Zertifikat ist eine sehr gute Alternative zu den ganzen kostenpflichtigen CAs. Der einzige große Unterschied liegt inzwischen nur noch bei der Validierung und der Gültigkeit (Dauer). Ob daher ein LE Zertifikat für eure Zwecke genügt, kann man daher nicht sagen.

bearbeitet von Exception

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
  • 1
vor einer Stunde schrieb Broadcast:

Das ganz muss wirklich von
überall Fuktionieren (Europa, USA, Russland, China)?

Die technische Funktionsfähigkeit ist gegeben und die Erneuerung automatisierbar. 

Wie bereits gesagt, bieten diese Zertifikate nur eine Domainvalidierung. Mit einer Organisations- oder Extended-Validation erstellten Zertifikate zeigen zusätzlich zu dem angezeigten Schloss in der Browserzeile noch eine grüne Adressleiste im Browser.

Wenn das nicht gefordert ist, kannst Du LE einfach und ohne zusätzliche Kosten verwenden. 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
  • 0
vor 3 Minuten schrieb Listener:

Meines Wissens nach ist der Zeitraum der Gültigkeit kürzer, eine Erneuerung lässt sich allerdings automatisieren.

Jep.

Man kann einfach täglich ein Programm ausführen, das versucht die Zertifikate zu aktualisieren. Sobald die Aktualisierung fällig ist wird dann auch tatsächlich aktualisiert.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
  • 0

Meines Wissens nach haben herkömmliche Zetifikate noch den „Vertrauensvorteil“, dass ein Unternehmen bei Beantragung eines Zertifikats formell/schriftlich seine Existenz nachweisen muss. Bei LetsEncrypt weist man „nur“ nach, dass man in Besitz der Domain ist. Sichert man sich also zb die Domain „officialapple.com“, kann man in einem Letsencryptzertifikat im Common Name einfach „Apple Inc.“ eintragen und sich als die offizielle Website von Apple ausgeben. Bei einem herkömmlichen Zerifikat von DigiCert und Co. muss man nachweisen, dass man tatsächlich die Firma „ist“ bzw. im Auftrag dieser agiert, für die man sich ausgibt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
  • 0
vor 11 Stunden schrieb LucaE:

Meines Wissens nach haben herkömmliche Zetifikate noch den „Vertrauensvorteil“, dass ein Unternehmen bei Beantragung eines Zertifikats formell/schriftlich seine Existenz nachweisen muss.

Bei den Domain validated (DV) Zertifikaten wird auch nur die Domain geprüft. Bei den teuren "Organisation Validated"  und "Extended Validation" Typen wird die Organisation von Menschenhand geprüft - da passieren den Menschen in den Zertifizierungsstellen aber auch schon mal "Missgeschicke" und Kollisionen, wenn z.B. eine Firma in einem Land den selben Namen hat wie eine in einem anderen Land.

Siehe z.B. "Extended Validation Is Broken" auf https://stripe.ian.sh/

Bei "Extended Validation" Typen wird die Browserleiste noch grün - da stehen Banken drauf. Sicherer in puncto Verschlüsselung sind die teureren Zertifikate nicht.

Die Problematik an sich ist z.B. das Vertrauen der CAs gegenüber, dass diese immer korrekt prüfen ob ein Zertifikat ausgestellt werden darf - u.a. Symmantec's SSL Business ist z.B. daran kaputt gegangen..

Dann hat man noch das Problem der Prüfung auf der Userseite (im Browser) - wie viele User prüfen überhaupt den ganzen Domainnamen auf Plausibilität und zusätzlich die Organisation im Zertifikat?

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Gast
Diese Frage beantworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.


Fachinformatiker.de, 2019 SE Internet Services

fidelogo_small.png

if_icon-6-mail-envelope-closed_314900.pnSchicken Sie uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App


Get it on Google Play

Kontakt

Hier werben?
Oder senden Sie eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...

Wichtige Information

Fachinformatiker.de verwendet Cookies. Mehr dazu in unserer Datenschutzerklärung