15-08-2019, 05:43
|
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
אם אתה עושה לזה אוטומציה, אין סיבה (מבחינת הצפנה), של לא לעשות את זה. יוצא דופן ספציפי הוא אם אתה רוצה תעודה שרמת הוידוא של הכנתה היא מעבר לאימות בעלות על הדומיין/אתר (DV) אלא וידוא זהות בעלי הארגון (תעודת OV) או וידוא מחמיר (EV, כזה שעושה פס ירוק על שורת הכתובת וכותב את שם הארגון והמדינה שלו לפניה).
מבחינת רמת האבטחה הטכנית, סוג התעודה לא משפיע שום דבר. ההבדל בין DV/OV/EV הוא בסך הכל בנוכחות שדות נוספים בתוך התעודה. זו לא הצפנה חזקה יותר או משהו כזה.
COMODO הוא אחד מספקי התעודות הגדולים שהיו לפני שהיה letsencrypt (ראה כאן), והוא "גדול" כי עלותו זולה יחסית (כמה דולרים לשנה עבור תעודת wildcard). כשהתעודה הנוכחית של פרש תפוג, נעבור ל letsencrypt, או אם נשתמש עד אז ב Cloudflare, אז תעודה שלהם.
החסרון היחיד של LetsEncrypt הוא תעודות wildcard: כדי להפיק אותן, המחשב שמפיק לא יכול לאמת את עצמו באמצעי stateless ע"ג HTTP כמו בתעודות אחרות (אפילו אם הוא שולט על ה apex של הדומיין), אלא חייבים אימות באמצעות DNS וכיוצ"ב. אם אתה לא רוצה לתת את מפתחות הניהול של הדומיין (ואתה לא, לדעתי) לתהליך שרץ על שרת פומבי - אז כאן יש חסרון. אם אתה מנהל את זה ממחשב מאובטח שלא חשוף לאינטרנט, שמפיק תעודות wildcard ואז מעלה אותן אוטומטית לשרתים השונים, אז אין בעייה. אבל אז אתה צריך מחשב כזה. בתדירות החלפת התעודות של LE שהיא פעם ב 3 חודשים, אם אתה לא עושה אוטומציה, אתה בסוף תפספס. זה חלק מהקונספט שלהם, שזה יהיה אוטומטי, ושלא יצטרכו להתעסק יותר בדבר הזה שנקרא תעודות אחרי הגדרה ראשונית חד-פעמית. כמובן שאפשר פשוט לא להשתמש ב wildcard - שכל אתר/סאבדומיין ייצר לעצמו תעודה משלו רק על ההוסטים שלו - ואז גם לא נותנים שליטה על הדומיין ממחשב שעלול להפרץ, וגם מקבלים אוטומציה ואוטונומיה שבה השרת המסויים לא תלוי באף מחשב אחר כדי שהתעודות שלו יווצרו ויוחלפו אוטומטית.
|
ראשי
צ'אט
מצב כלאיים
