Чем letsencrypt хуже платных сертификатов?

Question

[WebDev]

Скажите пожалуйста, в чем смысл покупать платный сертификат, если можно использовать бесплатный?
Данные ведь шифруются одинаково? Разницы в безопасности нет? Тогда почему люди продолжают покупать сертификаты?

Answer 1

[Михаил]

Let's Encrypt это точно такой же сертификат, как и платные (за исключением усиленных)
Разработчики данного сборщика сертификатов выдают на самом деле не бесплатно, если в кратце, то собрались как то большие дядьки из таких компаний как cisco mozilla google и др. и решили перебросить сайты на https, для использования протокола безопасности, если бы они просто сказали людям, что теперь в браузерах будут блокироваться сайты http (а так и хотели сделать), то люди бы послали по дальше google mozill'у и другие браузеры, которые это делали бы, и просели бы акции компаний, и потеряли бы они много лярдов, но есть выход, вложить в одну из компаний, которая будет выдавать сертификаты бесплатно, и пал жребий на ISRG, договорились они что будут платить этой компании, а те в свою очередь, будут выдавать сертификаты на халяву, что теперь и происходит.
Платные сертификаты раньше выдавали много компаний, при данных обстоятельствах эти компании просто оставили свой функционал выдавать сертификаты за деньги, ведь им то не платят за раздачу халявы, а люди не знающие, что разницы нету, покупают их.
Усиленные сертификаты можно только купить и только организациям или ИП, но они по факту используются только платежными системами, на том сервере, где проходят платежи, в других случаях они не используются, т.к. это пустая трата денег компании.

Answer 2

[Antonio Solo]

В большинстве случаев покупают, потому что не знают/не умеют установить бесплатный.
и да - есть 3 уровня DV (домен), OV (организация), CV (расширенные) .
в некоторых случаях (банки, платежные системы) может потребоваться OV или CV

Answer 3

[CityCat4]

Данные-то шифруются одинаково, но LE - это "решение для бедных". Ну то есть хочется тебе зашифровать сайт, но денег на сертификат жаба давит - идешь и берешь. На три месяца, Потом еще раз. И еще раз... LE выдает сертификаты только на три месяца.
А типов сертификатов бывает несколько. Кроме DV (Domain Validated, самой простой автоматической проверки) - которые только и выдает LE, есть еще OV (Organization Validated, более расширенная проверка, непременный обратный звонок, контакт с человеком, отвечающим за их выпуск в организации, проверка документов конторы etc) и EV (Extended Validated, еще более расширенная проверка - как, не знаю). LE такие не выдает. Да, шифрование одинаковое, но уровень доверия разный. А весь сертификатный бизнес фактически держится на доверии. То есть мы все доверяем тому факту, что если Thawte, Comodo, GeoTrust etc сказали, что "это - контора Васи Пупкина", то мы считаем, что так оно и есть.
Зачем люди покупают OV/EV? Есть несколько причин:
- LE выпускает только ограниченный набор сертификатов - на самом деле их гораздо больше, чем просто DV-сертификат для защиты одного сайта :)
- Бесплатный сертификат на сайте банка, кредитной организации, крупного магазина будет смотреться примерно как директор оного банка или магазина, приехавший на работу на помятой "жучке" - а здесь репутационные потери могут внезапно обернуться финансовыми
- Иногда требуется наличие сертификата от определенного CA
- Понты. Просто понты. EV-сертификаты достаточно дороги, чтобы подчеркнуть "илитность". Вы же не спрашиваете, зачем люди покупают айфоны, когда есть Xiaomi или зачем люди "делают" блатные номера на автомобили. Здесь то же самое.

Для сайта куда ходят два с половиной человека - разницы конечно нет, и сертификат от LE будет работать точно так же хорошо, как и от GeoTrust. Для банков, крупных магазинов (особенно связанных с тем, что называют "излишествами"), любых сайтов, имеющих отношение к обороту денег или хотя бы "фантиков" (у upwork.com например - EV-сертификат от DigiCert) - может быть существенная разница.

Answer 4

[Владимир Коротенко]

Сложно настроить вилкард, при моем провайдере невозможно.
EV только платный
Для некоторых организаций обязательны сертификаты выданные в определенном центре

Comments

[Сергей Соколов]

с wildcard'ом (*.domain.com) разобрался, оказалось несложно. У меня домены в бесплатном CloudFlare.
В докере запускаю ещё один контейнер с cerbot-dns-cloudflare, который обновляет сертификаты.

[Сергей Соколов]

Изобретатель Дикпиков, тоже вариант. Но мне предпочтительнее прямой трафик без их прокси и аналитики.

Сертификат CF забавно перечисляет ещё какие-то чужие левые домены, бывает.

Answer 5

[ky0]

Данные ведь шифруются одинаково? Разницы в безопасности нет? Тогда почему люди продолжают покупать сертификаты?

Данные шифруются одинаково, разницы в безопасности нет.

Иначе говоря - все загоны про "более надёжные EV-сертификаты и т. п." носят исключительно организационный, а не технический характер. То, что кто-то там требует для приёма платежей на сайте определённый сертификат - бюрократический атавизм, безопасность пользователя от него не зависит.

P.S. - Опасность фишинга, предвосхищая вскукареки, связана не с видом сертификата, а с невнимательностью пользователя и вредоносным ПО на оконечном устройстве.

Answer 6

[Sanes]

Разница только в уровне доверия. Самоподписанный точно так же шифрует, но будут ругаться браузеры. А у доверенных разный уровень проверки. Одни типы просто факт управления доменом проверяют (DV), другие документы юр. лица.

Answer 7

[Никита]

Разница есть. Его можно использовать только для сайтов, где нет приема платежей и работы с деньгами(про второе не точно).
Т.е для домашней странички или бложика можно, а если начинаете принимать там платежки, то уже нужно покупать нормальный сертификат.
Ну и срок действия. хотя это мелочная проблема и можно настроить автоматическое обновление

Comments

[Sanes]

Такой же, как и другие DV

[Никита]

нет конечно. возьмите booking.com или hotels.com. Есть варианты.
Но я думаю, что даже в случае если делается в другом месте, то могут не дать. Но это не точно.

Answer 8

[Winseven]

Вопрос безопасности - вопрос где генерируется закрытый ключ и у кого он может быть?! От этого зависит безопасность вашей информации!