SetupSlovenčina
Úvod > Hosting > SSL certifikáty > SSL certifikáty Let's Encrypt a ich výhody a nevýhody

SSL certifikáty Let's Encrypt a ich výhody a nevýhody

Najväčšou výhodou SSL certifikátov Let's Encrypt je to, že sú poskytované zadarmo. Ľahko sa inštalujú aj udržiavajú. Aké sú však nevýhody použitia Let's Encrypt? Je vhodné nahradiť štandardné SSL certifikáty bezplatnými certifikátmi Let's Encrypt? Pre koho sú vhodné a pre koho nie?

Let's Encrypt je certifikačná autorita (CA), ktorá má viac-menej rovnaké privilégiá a právomoci než akéhokoľvek iná (aj väčšia) existujúca certifikačná autorita na trhu. Najväčšou nevýhodou používania certifikátov Let's Encrypt je v súčasnosti otázka kompatibility. Ide o bežný problém, ktorému čelí každá nová CA, keď vstupuje na trh.

Aby bol certifikát dôveryhodný, musí byť podpísaný certifikátom, ktorý patrí dôveryhodnej certifikačnej autorite. Ak chcete byť dôveryhodný, CA musí mať podpísaný certifikát zabudovaný v prehliadači resp. operačnom systéme. CA, ktorá vstupuje na trh dnes, za predpokladu, že je schválená pre program koreňových certifikátov pre každý prehliadač a každý operačný systém odo dňa 0 (čo je v praxi nemožné), bude súčasťou aktuálnych verzií rôznych prehliadačov a operačných systémov. Nebude však môcť byť zahrnutá do starších (už uverejnených) verzií. Inými slovami, ak sa certifikačná autorita pripojí k hlavnému programu v deň 0, keď je verzia prehliadača Google Chrome 48 a Max OSX je 10.7, nebude zahrnutá (a teda ani dôveryhodná) v akejkoľvek verzii prehliadača Chrome pred 48 alebo Mac OSX pred 10.7. Spätné dôverovanie CA sa nastaviť nedá.

Okrem kompatibility sú ďalšie možné nedostatky v podstate spojené s emisnou politikou spoločnosti Let's Encrypt a ich obchodnými rozhodnutiami. Rovnako ako každá iná služba, nemusia ponúkať niektoré funkcie, ktoré potrebujete.

Tu je niekoľko pozoruhodných rozdielov v šifrovaní Let's Encrypt v porovnaní s inými CA:

  • Let's Encrypt nevydáva tzv. wildcard certifikáty (pre všetky subdomény danej domény)
  • platnosť Let's Encrypt certifikátov je iba 90 dní a potom ju treba obnoviť, iné CA majú platnosť zvyčajne 1 až 3 roky
  • spoločnosť Let's Encrypt vydáva iba certifikáty overené na základe domény alebo DNS (neplánujú vydávať OV alebo EV, pretože overujú vlastníctvo, a nie subjekt, ktorý požaduje certifikát)

V súčasnosti je veľmi obmedzujúci aj maximálny počet vydaných certifikátov na jednu IP-adresu, čo môže byť problém predovšetkým pri prevádzke webu na zdieľanom hostingu, kde bežia stovky iných domén na tej istej IP-adrese. Uvedené obmedzenia nemusia pre vás predstavovať problém. Každopádne ide o obchodné rozhodnutia, ktoré nemusia spĺňať vaše špecifické požiadavky, a v takom prípade budú predstavovať nevýhodu v porovnaní s inými alternatívami.