Сравнение Let’s Encrypt, коммерческих и частных центров сертификации и самоподписанных SSL-сертификатов

Стремление получить все больше и больше веб-трафика, защищенного с помощью шифрования SSL, означает, что все большему числу сервисов и вариантов использования требуется решение для получения надлежащих сертификатов. Будь то общедоступный веб-сайт, трафик в интрасети или промежуточный сервер для вашего веб-приложения, вам потребуется сертификат для защиты ваших данных и соответствия современным требованиям безопасности ваших пользователей.

Основные преимущества SSL-соединений связаны сprivacy иdata integrity. Соединения являются частными, потому что шифрование предотвращает прослушивание. Целостность данных обеспечивается криптографической проверкой того, что вы подключаетесь к нужному серверу (а не мошенником), и проверкой того, что отдельные сообщения не были подделаны при передаче.

Существует несколько различных способов получения сертификатов SSL, и в зависимости от вашего бюджета, аудитории и нескольких других факторов вы можете выбрать между коммерческим центром сертификации, новым автоматическим и бесплатным центром сертификации, самозаверяющими сертификатами и вашим собственный частный центр сертификации. Давайте рассмотрим сравнение этих вариантов и обсудим, когда лучше всего использовать каждый из них.

Прежде чем мы начнем, мы определим некоторые общие термины, используемые при обсуждении безопасности SSL:

Коммерческие центры сертификации позволяют приобретать сертификаты DV, OV и EV. Некоторые предлагают бесплатные доменные сертификаты с определенными ограничениями (например, без подстановочных знаков).

Большинство коммерческих центров сертификации по умолчанию пользуются доверием в большинстве браузеров. Процесс продления обычно выполняется вручную, поэтому вы должны указать даты истечения срока действия ваших сертификатов и напомнить себе о необходимости продления в срок.

Коммерческие ЦС традиционно являются единственным реальным вариантом получения сертификатов, которым доверяют большинство основных браузеров. Это изменилось с появлением новых автоматизированных центров сертификации, таких как Let Encrypt. Тем не менее, коммерческие центры сертификации являются единственным способом получения сертификата EV и единственным способом получения сертификата с подстановочными знаками, которому большинство браузеров автоматически доверяют. Они также являются хорошим вариантом, если вам нужен сертификат для устройства, на котором не может работать автоматический клиент Let Encrypt (из-за несовместимости программного обеспечения или, возможно, с низким энергопотреблением встроенного устройства).

Коммерческие центры сертификации часто предоставляют дополнительные контракты на поддержку, гарантии и сертификацию, что важно для некоторых компаний и отраслей.

Let’s Encrypt предоставляет автоматизированный механизм для запроса и продления бесплатных сертификатов, подтвержденных доменом. Они создали стандартный протокол - ACME - для взаимодействия со службой для автоматического получения и обновления сертификатов. Официальный клиент ACME называетсяCertbot, хотя существует множество альтернативных клиентов.

Сертификаты Let Encrypt являются недолговечными, чтобы стимулировать автоматическое обновление и сократить время, в течение которого злоумышленник может использовать любые скомпрометированные сертификаты.

Если у вас есть сервер, который является общедоступным и на него указывает действительное доменное имя, то Let Let Encrypt может быть хорошим вариантом. Пусть серверам Encrypt нужно связаться с вашим веб-сервером или получить общедоступную запись DNS, чтобы убедиться, что вы управляете доменом, поэтому использовать его для частного сервера за брандмауэром в локальной сети может быть немного сложнее. Тем не менее, это все еще возможно при использовании авторизации Let Encrypt на основе DNS.

Let’s Encrypt не будет предоставлять сертификаты для чистого IP-адреса.

Если вам нужен сертификат EV или сертификат с подстановочными знаками, Let’s Encrypt не подходит. Обратите внимание, что Let's Encrypt может создать сертификат, содержащий до 100 имен хостов, поэтому вполне возможно, что вам не нужен подстановочный знак для вашего варианта использования, вам может просто понадобиться сертификат, который охватывает все ваши существующие субдомены.

Тем не менее, из-за ограничений скорости API Let Encrypt, если у вас много поддоменов или динамических поддоменов, которые можно создавать на лету, Let Encrypt может не подойти.

Можно использовать сертификат SSL, который был подписан своим собственным закрытым ключом, полностью исключая необходимость в центре сертификации. Это называется самозаверяющим сертификатом и довольно часто предлагается при настройке веб-приложений для тестирования или использования ограниченным числом технически подкованных пользователей.

Самоподписанные сертификаты можно создать с помощью командыopenssl, которая поставляется с библиотекой OpenSSL. Вы можете найти точные необходимые команды и дополнительную информацию об OpenSSL в нашем руководствеOpenSSL Essentials: Working with SSL Certificates, Private Keys and CSRs.

Поскольку самозаверяющий сертификат не подписан каким-либо доверенным центром сертификации, вам необходимо вручную пометить сертификат как доверенный, процесс, который отличается в каждом браузере и операционной системе. После этого сертификат будет действовать как любой обычный сертификат, подписанный СА.

Самозаверяющие сертификаты хороши для одноразового использования, когда вам нужно только вручную управлять доверием на нескольких клиентах, и не обращайте внимания на тот факт, что его нельзя отозвать или обновить без дополнительных ручных усилий. Этого часто бывает достаточно для разработки и тестирования, а также для веб-приложений, размещаемых самостоятельно, которыми могут пользоваться только несколько человек.

Можно создать собственный частный центр сертификации и использовать его для подписи сертификатов. Ваши пользователи должны будут вручную установить и доверять вашему частному центру сертификации, прежде чем доверять любому из его сертификатов.

Как и в случае с самозаверяющими сертификатами, вы можете создать частный ЦС с помощью инструментов командной строки, которые поставляются с библиотекой OpenSSL, но были разработаны некоторые альтернативные интерфейсы для упрощения процесса. tinyCA - это графический интерфейс для этого процесса, аcaman - программа командной строки. И то, и другое облегчает создание ЦС, а затем выдачу, обновление и отзыв сертификатов.

Частный ЦС является хорошим вариантом, если у вас есть несколько сертификатов для создания и вы можете распространять и устанавливать ЦС для своих пользователей вручную. Это, вероятно, ограничивает вас внутренним использованием внутри организации или небольшой группы технически подкованных пользователей, которые могут правильно установить ЦС. Более крупные ИТ-отделы часто имеют средства для автоматического развертывания ЦС для своих пользователей, что делает это решение более привлекательным для них.

В отличие от самозаверяющих сертификатов, где каждый сертификат должен быть помечен как доверенный вручную, частный ЦС необходимо установить только один раз. Все сертификаты, выданные этим центром сертификации, будут наследовать это доверие.

Одним из недостатков является то, что запуск ЦС сопряжен с некоторыми трудностями, и требуются некоторые знания по настройке и поддержке в безопасном режиме.

Если для вашего использования важен правильный отзыв, вам также потребуется поддерживать HTTP-сервер для списка отзыва сертификатов или респондента OCSP.

Мы рассмотрели несколько различных вариантов получения или создания SSL-сертификатов. Независимо от того, что лучше всего подходит для вашей ситуации, добавление защиты SSL полезно для защиты данных, конфиденциальности и безопасности вашего сервиса и ваших пользователей.

Если вы хотите глубже погрузиться в SSL и варианты, которые мы обсуждали, вам могут помочь следующие ссылки: