Let's Encrypt je hrozbou, ssls.cz o něm šíří nepravdy

Zpravodajství Web Let's Encrypt je hrozbou, ssls.cz o něm šíří nepravdy

Let's Encrypt funguje již poměrně dlouhou dobu a tak se objevuje i jeho negativní dopad na šifrování webů. Netýká se bezpečnosti, ale tržeb. Někteří lidé totiž místo běžných komerčních DV certifikátů s cenou několik set korun raději zvolí Let's Encrypt, který je zdarma. To se nelíbilo českému prodejci certifikátů ssls.cz, který rozeslal uživatelům, kteří na svých doménách přešli na Let's Encrypt, e-mail, ve kterém proti Let's Encrypt používá některé nepravdivé argumenty.


Srovnávací tabulka, kterou ssls.cz rozesílá v e-mailech

Tabulka začíná údaji, které sice pravdivé jsou, ale nejde o nic, kvůli čemu by měli uživatelé přestat Let's Encrypt využívat. Především je to 3 měsíce dlouhá platnost, kterou ale vyváží možnost automatizace obnovování certifikátu - ve výsledku se tak správce webserveru nemusí o certifikát starat déle, než 3 roky, což je platnost, která je podle tabulky výhodou placených certifikátů. Dále také ssls.cz tvrdí, že má Let's Encrypt problémovou podporu - neběží například na Windows XP bez SP3. I tak ale podporuje většinu zařízení, které jsou v současné době užívané, a hláška o neplatném certifikátu by se neměla příliš zobrazovat.

Nyní ale nastupují nepravdivé argumenty, například podpora ECC. Tu má Let's Encrypt již od letošního února. Dále se ssls.cz odvolává také na podporu IDN domén, se kterými nemá Let's Encrypt problém již déle než měsíc. Taktéž revokace certifikátu je u Let's Encrypt umožněna již velmi dlouhou dobu. Třešničkou na dortu je, že ssls.cz v e-mailech tvrdí, že se diskutuje o vyřazení Let's Encryptu z důvěryhodných autorit, a že se tak při pokusu o vstup na web s Let's Encrypt certifikátem zobrazí pouze chybová hláška.

Místo toho, aby ssls.cz používal pouze pravdivé argumenty, které i tak mohou být důvodem, proč Let's Encrypt nepoužívat, jako například absence finanční záruky nebo technické podpory, přidává k nim i argumenty, které lze jednoduše označit jako nepravdivé a jejich nepravdivost i podložit. Možná tak získají zpět několik zákazníků, ale ti, kteří problematice rozumí, si možná příště vyberou jiného prodejce certifikátů.


 

  Aktivity (1)

Zprávu pro vás napsal Michal Vašíček 28. listopadu 17:34
Avatar
Autor je webař, čas od času udělá i mobilní appku. Před Windows dává přednost Linuxu, ale ještě raději má macOS. Podílí se na překladech v Mozille, dobrovolničí i jinde, k tomu se snaží rozvíjet sebe sama.

Miniatura
Všechny články v sekci
Zprávy ze světa internetu

 

 

Komentáře
Zobrazit starší komentáře (5)

Avatar
Michal Vašíček
Tým ITnetwork
Avatar
Michal Vašíček:

Doporučuju spíš https://observatory.mozilla.org, kde je víc nástrojů v jednom a získáš tak mnohem obsáhlejší výsledky. Mimochodem, schválně se zkus kouknout v Observatory na ssls.cz. :)

Odpovědět 29. listopadu 20:40
Příspěvek může obsahovat stopy arašídů, sarkasmu a sóji.
Avatar
buri
Člen
Avatar
buri:

Ale tu nejde o XSS a podobne. Áno aj to je veľmi dôležité ale SSL je hlavne dobré proti tomu, aby ťa ISP alebo na nejakej neznámej WiFine nemohol nikto "odpočúvať" resp. robiť Man-in-the-middle útok. To je tá pasívna časť reťazca. Až potom nastupuje tá aktívna, kedy sa vyžaduje mať na webe ochránené vstupy, atp. to je tá aktívna. | A áno, som aj ja u ssls.cz, ešte mi ten e-mail neprišiel ale týmto ma skôr lákajú prejsť ku konkurencií i keď tá konkurencia zo slovenska to má drahšie (pretože využívam Comodo Positive SSL DV + 5 SAN). Ale ja mám takú filozofiu. Na osobné stránky a "neverejné projekty" alebo skrátka len linky ktoré chcem ochrániť, dávam Let's Encrypt. Na verejné projekty a niečo čo má širší dosah na ľudí, dávam platený (minimálne) DV - záleží od situácie. Ale dalo sa čakať že takto resellery zareagujú. Je jasné že im takto klesli tržby. Ale tu je iná pointa. Ja chápem že im ide o zisky, je to predsa firma a tá je primárne na generovanie obratu a zisku. Ale ak nemajú nastavenú dobre firemnú kultúru, je to špatne. Takto sa ukazujú len v tom, že im ide len o zisky a nie o dobro koncových používateľov. Naopak v dnešnej dobe kedy sa u nás teraz schválil zákon o hazarde a teda cenzúre atp., by o to viac sa mal tlačiť ASPOŇ free SSL certifikát do popredia aby sa raz vlády nerozhodli nás sledovať a zakázať akékoľvek šifrovanie (to sa dúfam nestane, bolo by to totiž k ničomu. Algoritmy existujú a uškoda len bežným ľuďom; tým čo sa rozumia, to nezakážu. ... Ale vysvetlite to politikom no... Hlavne tomu čo tvrdil: "Vy ste niekedy šifroval? Já teda nie!" :D)

Odpovědět  +1 2. prosince 13:20
Prvý dojem klame!
Avatar
Pavol Hejný
Redaktor
Avatar
Odpovídá na buri
Pavol Hejný:

Technicky odposlouchávání Man-in-the-middle a XSS je něco jiného, s tím plně souhlasím. Ale dopady na uživatele to má často prakticky stejné. Při Man-in-the-middle si někdo rovnou data odchytí. Pokud je na webu XSS díra, tak si je jenom od něj pomocí JS pošle k sobě (obvykle mu stačí nějaký PHP session cookie).

Samozřejmě asi ISP nezneužívají XSS díry, ale umím si představit, že si "logují" provoz.

Já chtěl jenom říct, že nemá smysl investovat mnoho peněz do jednoho druhu bezpečnosti a kašlat na jiné a to je podle mě typický případ SSL certifikátů, alespoň pokud vezmu české weby.

Odpovědět 2. prosince 14:24
http://pavolhejny.cz/
Avatar
Marian Benčat
Redaktor
Avatar
Odpovídá na Pavol Hejný
Marian Benčat:

Pokud není programátor úplnej trouba, tak se javascript ke cookie vubec nedostane.

 
Odpovědět 2. prosince 14:50
Avatar
mkub
Redaktor
Avatar
mkub:

dopustaju sa sireniu hoaxu, ked toto rozsiruju!
alebo klesli jej trzby a to, co sa deje s inou autoritou pripisuju Let' Encrypt...

a v kazdom pripade za tento HOAX by som urcite k tejto spolocnosti nesiel a ak by som bol zakaznikom tejto spolocnosti, tak by som u nich zrusil konto a presiel uplne inam, lebo praktikuje velmi nekale praktiky na ocernovanie konkurencie

 
Odpovědět  +2 Včera 10:20
Avatar
buri
Člen
Avatar
Odpovídá na Marian Benčat
buri:

Marian Benčat: To by si sa čudoval koľko programátorov netuší o flagoch na cookie alebo o existencií niečoho iného ako md5 alebo dokonca plaintext. Je to smutné a o to smutnejšie že na našej VŠ tu vyučujúci učí predmet štýlom, že spôsobuje aj SQL Injection a len povie: "Spravte to takto, ale takto by sa to robiť nemalo" - čím to končí a nikto menej znalý netuší "prečo" by sa to tak nemalo. Potom spolužiaci keď použijem napr. SQL prepared statements, na mňa pozerajú ako na paranoidného človeka.. wtf.

mkub: Tak áno, po tejto správe mám aj ja najväčšiu chuť prejsť ku konkurencií. Lenže v rámci SR/CZ poznáš iného rellera COMODO certs? Pretože tí majú fakt dobrú cenu na PositiveSSL s 5 SAN oproti Wildcardu od RapidSSL u konkurencii. Žiaľ. :/ Ideálne by bolo keby boli zo Slovenska (kvôli fakturácií na firmu ale, to je fuk viac menej).

Odpovědět Včera 11:10
Prvý dojem klame!
Avatar
Marian Benčat
Redaktor
Avatar
 
Odpovědět Včera 11:17
Avatar
Odpovědět Včera 11:20
Aj tisícmíľová cesta musí začať jednoduchým krokom.
Avatar
Odpovídá na Marian Benčat
Libor Šimo (libcosenior):

OMG, sorry, spatne som si precital tvoj prispevok.

Odpovědět Včera 11:31
Aj tisícmíľová cesta musí začať jednoduchým krokom.
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 10 zpráv z 15. Zobrazit vše