Let's Encrypt Zertifikate

[Broadcast]

Hallo,

muss bald mal wieder alle Zertifikate erneuern und unser Webseiten-Programmier-Guru meint das
Let's Encrypt Zertifikate genauso gut wären wie jedes andere Zertifikat was Geld kostet. Wie haben eine internationale
Webseite und ich möchte mir keine Nachteile einfangen wenn es die geben sollte. Bisher habe ich auf
DigiCert vertraut.

Ich Sehe Fachinformatiker.de hat auch ein Let's Encrypt Zertifikat ?

Gibt es denn irgendwelche Nachteile bei der Benutzung von Let's Encrypt Zertifikaten. Das ganz muss wirklich von
überall Fuktionieren (Europa, USA, Russland, China)?

LG Jörg

Bearbeitet 10. April 2019 von Broadcast

[Gast Exception]

Hi,

das Root CA von LetsEncrypt ist inzwischen in fast allen CA Stores von Betriebsystemen/Browser enthalten. Somit dürfte jedes LE Zertifikat vertraut werden. Der einzigste Nachteil dürfte die einfache Domain Validierung darstellen. Auch hat ein LE Zertifikat nur eine Dauer von 3 Monaten. Allerdings sind LE Zertifikate auch für Automatisierung ausgelegt, d.h. die Erneuerung wird automatisch durch einen ACME Client z.B. Certbot durchgeführt.

Ein LE Zertifikat ist eine sehr gute Alternative zu den ganzen kostenpflichtigen CAs. Der einzige große Unterschied liegt inzwischen nur noch bei der Validierung und der Gültigkeit (Dauer). Ob daher ein LE Zertifikat für eure Zwecke genügt, kann man daher nicht sagen.

Bearbeitet 10. April 2019 von Exception

[StefanE]

vor einer Stunde schrieb Broadcast:

Das ganz muss wirklich von
überall Fuktionieren (Europa, USA, Russland, China)?

Die technische Funktionsfähigkeit ist gegeben und die Erneuerung automatisierbar. 

Wie bereits gesagt, bieten diese Zertifikate nur eine Domainvalidierung. Mit einer Organisations- oder Extended-Validation erstellten Zertifikate zeigen zusätzlich zu dem angezeigten Schloss in der Browserzeile noch eine grüne Adressleiste im Browser.

Wenn das nicht gefordert ist, kannst Du LE einfach und ohne zusätzliche Kosten verwenden. 

[Listener]

Meines Wissens nach ist der Zeitraum der Gültigkeit kürzer, eine Erneuerung lässt sich allerdings automatisieren. Generell schlechter sind die Zertifikate nicht.

[JimTheLion]

vor 3 Minuten schrieb Listener:

Meines Wissens nach ist der Zeitraum der Gültigkeit kürzer, eine Erneuerung lässt sich allerdings automatisieren.

Jep.

Man kann einfach täglich ein Programm ausführen, das versucht die Zertifikate zu aktualisieren. Sobald die Aktualisierung fällig ist wird dann auch tatsächlich aktualisiert.

[Broadcast]

Vielen Dank für die Antworten/Beiträge. ich werde es mit Let's Encrypt
versuchen. Es scheint mit eine gute Alternative zu den herkömlichen
Zertifikaten von DigiCert/GeoTrust & Co zu sein.

LG Jörg

[LucaE]

Meines Wissens nach haben herkömmliche Zetifikate noch den „Vertrauensvorteil“, dass ein Unternehmen bei Beantragung eines Zertifikats formell/schriftlich seine Existenz nachweisen muss. Bei LetsEncrypt weist man „nur“ nach, dass man in Besitz der Domain ist. Sichert man sich also zb die Domain „officialapple.com“, kann man in einem Letsencryptzertifikat im Common Name einfach „Apple Inc.“ eintragen und sich als die offizielle Website von Apple ausgeben. Bei einem herkömmlichen Zerifikat von DigiCert und Co. muss man nachweisen, dass man tatsächlich die Firma „ist“ bzw. im Auftrag dieser agiert, für die man sich ausgibt.

[RipperFox]

vor 11 Stunden schrieb LucaE:

Meines Wissens nach haben herkömmliche Zetifikate noch den „Vertrauensvorteil“, dass ein Unternehmen bei Beantragung eines Zertifikats formell/schriftlich seine Existenz nachweisen muss.

Bei den Domain validated (DV) Zertifikaten wird auch nur die Domain geprüft. Bei den teuren "Organisation Validated"  und "Extended Validation" Typen wird die Organisation von Menschenhand geprüft - da passieren den Menschen in den Zertifizierungsstellen aber auch schon mal "Missgeschicke" und Kollisionen, wenn z.B. eine Firma in einem Land den selben Namen hat wie eine in einem anderen Land.

Siehe z.B. "Extended Validation Is Broken" auf https://stripe.ian.sh/

Bei "Extended Validation" Typen wird die Browserleiste noch grün - da stehen Banken drauf. Sicherer in puncto Verschlüsselung sind die teureren Zertifikate nicht.

Die Problematik an sich ist z.B. das Vertrauen der CAs gegenüber, dass diese immer korrekt prüfen ob ein Zertifikat ausgestellt werden darf - u.a. Symmantec's SSL Business ist z.B. daran kaputt gegangen..

Dann hat man noch das Problem der Prüfung auf der Userseite (im Browser) - wie viele User prüfen überhaupt den ganzen Domainnamen auf Plausibilität und zusätzlich die Organisation im Zertifikat?