Lets Encrypt හි නොමිලේ SSL හැර වෙනත් SSL සහතිකයක් භාවිතා කිරීමට හේතුවක් තිබේද?

අපි එන්ක්‍රිප්ට් නොමිලේ SSL සහතික ලබා දෙමු . වෙනත්, ගෙවන ලද සහතික සමඟ සසඳන විට අවාසි තිබේද උදා. AWS සහතික කළමණාකරු ?

සහතික ආයු කාලය

ආරක්ෂාව

කෙටි ආයු කාලය වඩා හොඳය. අවලංගු කිරීම බොහෝ දුරට න්‍යායාත්මක බැවින්, ප්‍රායෝගිකව එය මත විශ්වාසය තැබිය නොහැක (මහජන PKI පරිසර පද්ධතියේ විශාල දුර්වලතාවයක්).

කළමනාකරණ

ස්වයංක්‍රීයකරණයකින් තොරව: දිගු ආයු කාලය වඩාත් පහසු වේ. ඔබට, කුමන හේතුවක් නිසා හෝ සහතික කළමණාකරණය ස්වයංක්‍රීය කළ නොහැකි නම් LE කළ නොහැකි විය හැකිය
ස්වයංක්‍රීයකරණය: ආයු කාලය වැදගත් නොවේ.

අවසාන පරිශීලක හැඟීම

අවසාන පරිශීලකයින්ට එක් ආකාරයකින් හෝ වෙනත් අදහසක් ලබා ගැනීමට අපහසුය.

සත්‍යාපන මට්ටම

ආරක්ෂාව

Letsencrypt මඟින් DV මට්ටමේ සත්‍යාපනය පමණක් සපයයි.
සහතිකයක් මිලට ගැනීම ඔබ ගෙවන ඕනෑම දෙයක් ලබා ගනී (DV වලින් ආරම්භ වන අතර LE සමඟ සමාන ප්‍රකාශයක් සහිතව).

DV = ඩොමේන් නාම පාලනය පමණක් සත්‍යාපනය වේ.
OV = හිමිකරුගේ (සංවිධාන) තොරතුරු ඊට අමතරව සත්‍යාපනය වේ.
සාම්ප්‍රදායිකව "හරිත තීරුව" සමඟ ප්‍රදානය කර ඇති OV හි EV = වඩාත් සවිස්තරාත්මක අනුවාදය (නමුත් "හරිත තීරුව" ඉක්මනින් නැති වී යන බව පෙනේ).

කළමනාකරණ

LE භාවිතා කරන විට, ඔබ දැමූ කාර්යය වන්නේ අවශ්‍ය ස්වයංක්‍රීයකරණය සැකසීමයි (මෙම සන්දර්භය තුළ, වසම් පාලනය සනාථ කිරීම සඳහා). කොපමණ වැඩ ප්‍රමාණයක් ඔබගේ පරිසරය මත රඳා පවතී.

සහතිකයක් මිලදී ගැනීමේදී DV / OV / EV මට්ටම මඟින් සහතිකය ලබා ගැනීම සඳහා කොපමණ අතින් වැඩ කළ යුතුද යන්න නිර්වචනය කරනු ඇත. ඩීවී සඳහා එය සාමාන්‍යයෙන් ගෙවන්නේ මායාකාරියක් හරහා ගෙවීම සහ යමක් පිටපත් කිරීම / ඇලවීම හෝ යමක් ක්ලික් කිරීම ය. OV සහ EV සඳහා ඔබේ අනන්‍යතාවය තහවුරු කිරීම සඳහා අමතර පියවර ගැනීම සඳහා වෙන වෙනම සම්බන්ධ වීමට අවශ්‍ය බව ඔබට විශ්වාස කළ හැකිය.

අවසාන පරිශීලක හැඟීම

අවසාන පරිශීලකයින් බොහෝ විට සහතිකයේ අන්තර්ගතය දෙස බැලීමට නැඹුරු නොවනවා හැර, වර්තමාන EV “හරිත තීරුව” (එය ඉවතට යන) හඳුනා ගනී.
න්‍යායාත්මකව, පාලක ආයතනය පිළිබඳ තොරතුරු සඳහන් කරන සහතිකයක් සමඟ එය වඩාත් ප්‍රයෝජනවත් වේ. නමුත් සාමාන්‍ය පරිශීලකයාට කිසියම් බලපෑමක් ඇති කිරීමට පෙර බ්‍රව්සර් (හෝ වෙනත් සේවාදායක යෙදුම්) මෙය ප්‍රයෝජනවත් ආකාරයකින් පෙන්වීම ආරම්භ කළ යුතුය.

ස්ථාපනය

ආරක්ෂාව

පුද්ගලික යතුරු හෝ ඒ හා සමාන දේ හෙළි කරන ආකාරයෙන් වැරදි ලෙස දේවල් කළ හැකිය. LE සමඟ, සපයා ඇති මෙවලම් සාධාරණ භාවිතයන් වටා සකසා ඇත.
ඔවුන් කරන්නේ කුමක්දැයි දන්නා පුද්ගලයෙකු සමඟ, අතින් පියවර පැහැදිලිවම ආරක්ෂිතව කළ හැකිය.

කළමනාකරණ

LE යනු බොහෝ ක්‍රියාදාමයන් ස්වයංක්‍රීයව කිරීමට අදහස් කරන අතර, ඔවුන්ගේ සේවාව මුළුමනින්ම API මත පදනම් වූවක් වන අතර කෙටි ආයු කාලය ද සියල්ල ස්වයංක්‍රීයකරණය කේන්ද්‍රගත වී ඇති ආකාරය පිළිබිඹු කරයි.

සහතිකයක් මිලට ගැනීමේදී, සාමාන්‍ය ගනුදෙනුකරුවන්ට ඒපීඅයි සපයන සීඅයිඒ එකක් සමඟ වුවද (ඇත්ත වශයෙන්ම මේ අවස්ථාවේ දී එය සාමාන්‍ය දෙයක් නොවේ) ඩීවී හැර වෙනත් කිසිවක් නිසියාකාරව ස්වයංක්‍රීය කිරීම අපහසු වන අතර ඩීවී සමඟ ඔබ ගෙවන්නේ LE සපයන එකම දෙයට ය.
ඔබ OV හෝ EV මට්ටම් සඳහා යන්නේ නම්, ඔබට බොහෝ විට ක්‍රියාවලිය අර්ධ වශයෙන් ස්වයංක්‍රීය කළ හැකිය.

අවසාන පරිශීලක හැඟීම

ස්ථාපනය නිවැරදිව සිදු කර ඇත්නම්, අවසාන පරිශීලකයා එය සිදු කළේ කෙසේදැයි නොදනී. ස්වයංක්‍රීය ක්‍රියාවලියක් සමඟ දේවල් අවුල් කිරීමේ සම්භාවිතාව (උදා: අලුත් කිරීමට අමතක කිරීම හෝ ස්ථාපනය අළුත් කිරීම වැරදියි).

සමස්ත

ඔබ OV / EV සහතික ලබා ගැනීමට කැමති නම්, සහතික කළමනාකරණය ස්වයංක්‍රීය නොකරන්නේ නම් හෝ HTTPS හැර වෙනත් සන්දර්භයක භාවිතා කරන සහතික අවශ්‍ය නම් සාම්ප්‍රදායික සහතික මිලදී ගැනීමේ ක්‍රම විශේෂයෙන් ප්‍රයෝජනවත් වේ.

තනිකරම තාක්ෂණික දෘෂ්ටිකෝණයකින්:

• සහතික වලංගු වන්නේ මාස 3 ක් පමණි. ඔබගේ වෙනස් කළමණාකරණ ක්‍රියා පටිපාටි සහ යටිතල පහසුකම් මත පදනම්ව නඩත්තු කිරීම කරදරයක් විය හැකිය.
• සහතික සංකේතාංකනය කිරීමේ අරමුණ සීමිතය. ඔබගේ විද්‍යුත් තැපැල් ලිපිනය, කේත අත්සන් කිරීම හෝ කාලරාමුව සඳහා ඔබට ඒවා භාවිතා කළ නොහැක.
  සමඟ පරීක්ෂා කරන්න: openssl x509 -in cert.pem -noout -text

  X509v3 විස්තාරිත යතුරු භාවිතය:
  TLS වෙබ් සේවාදායක සත්‍යාපනය, TLS වෙබ් සේවාලාභී සත්‍යාපනය

අවසාන පරිශීලක දෘෂ්ටිකෝණයකින්:

• නොමැති දිගු වලංගු ඇතැම් webbrowsers දී "නැහැ හරිත තීරුව" බවයි.
  • කෙසේ වෙතත්, ක්‍රෝම් විසින් කුඩා අගුළු නිරූපකය සඳහා 2018 සැප්තැම්බර් මාසයේදී හරිත තීරුව ඉවත් කරනු ඇති අතර අවසානයේ විශේෂ දර්ශකයක් නොමැති අතර ඒ වෙනුවට අනාරක්ෂිත පිටු සඳහා අනතුරු ඇඟවීම් පමණක් පෙන්වනු ඇත.

අපි මෙහි ගුප්තකේතනයට එරෙහිව භාවිතා කරන තර්ක සඳහා ප්‍රතිවිරුද්ධ කරුණු කිහිපයක් ඉදිරිපත් කිරීමට කැමැත්තෙමි.

කෙටි ආයු කාලය

ඔව්, faq හි විස්තර කර ඇති පරිදි ඔවුන්ට කෙටි ආයු කාලයක් ඇත: https://letsencrypt.org/2015/11/09/why-90-days.html පිටුව උපුටා දැක්වීමට:

1. ප්‍රධාන සම්මුතියෙන් සහ වැරදි ලෙස නිකුත් කිරීමෙන් සිදුවන හානිය ඔවුන් සීමා කරයි. සොරකම් කරන ලද යතුරු සහ වැරදි ලෙස නිකුත් කළ සහතික කෙටි කාලයක් සඳහා වලංගු වේ.

2. භාවිතයට පහසුව සඳහා අත්‍යවශ්‍ය වන ස්වයංක්‍රීයකරණය ඔවුන් දිරිමත් කරයි. අපි මුළු වෙබයම HTTPS වෙත ගෙන යාමට යන්නේ නම්, පද්ධති පරිපාලකයින් විසින් අළුත් කිරීම් අතින් හසුරුවනු ඇතැයි අපේක්ෂා කළ නොහැක. නිකුත් කිරීම සහ අළුත් කිරීම ස්වයංක්‍රීය වූ පසු, කෙටි ආයු කාලය දිගු කාලයට වඩා පහසු නොවනු ඇත.

EV හිඟකම

EV සහාය සඳහා සැලසුමක් නොමැත. තර්කනය ( https://community.letsencrypt.org/t/plans-for-extended-validation/409 වෙතින් ):

EV ක්‍රියාවලියට සැමවිටම මිනිස් උත්සාහයක් අවශ්‍ය වන බැවින් යමෙකුට ගෙවීමක් අවශ්‍ය වන බැවින් අපි EV සඳහා සහය නොදක්වනු ඇතැයි අපි අපේක්ෂා කරමු. අපගේ ආකෘතිය වන්නේ සහතික රහිතව සහතික නිකුත් කිරීමයි, එයට EV සමඟ නොගැලපෙන මට්ටමේ ස්වයංක්‍රීයකරණයක් අවශ්‍ය වේ.

තවද මෙම බ්ලොග් පෝස්ට් ( https://stripe.ian.sh/ ) වැනි EV හානිකර යැයි විශ්වාස කරන සමහරු සිටිති :

උදාහරණයක් ලෙස ජේම්ස් බර්ටන් මෑතකදී තම සමාගම සඳහා “හැඳුනුම්පත සත්‍යාපනය” සඳහා EV සහතිකයක් ලබා ගත්තේය. අවාසනාවකට මෙන්, පරිශීලකයින්ට මෙම ආයතනවල සූක්ෂ්මතාවයන් සමඟ කටයුතු කිරීමට හැකියාවක් නොමැති අතර මෙය තතුබෑම් සඳහා සැලකිය යුතු දෛශිකයක් නිර්මාණය කරයි.

මේ සඳහා සම්භාව්‍ය සැබෑ ලෝක උදාහරණයක් වන්නේ sslstrip ය. නීත්‍යානුකූලව මිලදී ගත් සහතික සහිත හෝමොග්‍රැෆ් අඩවි සැබෑ ලෝක ප්‍රහාරයක් වන අතර ඒ සඳහා EV දැනට ප්‍රමාණවත් ආරක්ෂාවක් සපයන්නේ නැත.

සලකා බැලිය යුතු අවාසි කණ්ඩායම් දෙකක් තිබේ.

1. අපි සංකේතාත්මක සේවාව භාවිතා කිරීමේ අවාසිය

එන්ක්‍රිප්ට් අවශ්‍ය වන්නේ නිශ්චිත නම හෝ (උප) වසම ඔබ ආදේශක කාඩ්පතක් ඉල්ලා සිටින්නේ නම් පොදු අන්තර්ජාල ඩීඑන්එස් තුළ තිබිය යුතුය. Example.com හි පාලනය ඔබ සනාථ කළත්, පොදු ඩීඑන්එස් තුළ එය නොපෙන්වා අපි එන්ක්‍රිප්ට් ඔබට some.other.name.in.example.com සඳහා සහතික නිකුත් නොකරමු. නම් කරන ලද යන්ත්‍රවලට පොදු ලිපින වාර්තා අවශ්‍ය නොවේ, ඒවා ගිනිබත් කළ හැකිය, නැතහොත් භෞතිකව විසන්ධි කළ හැකිය, නමුත් පොදු ඩීඑන්එස් නාමය පැවතිය යුතුය.

දින 90 ක සහතික ජීවිත කාලය සංකේතනය කරමු, එයින් අදහස් වන්නේ ඔබ ස්වයංක්‍රීය කළ යුතු බවයි, මන්ද ඒ සඳහා කිසිවෙකුට කාලය නොමැති නිසාය. මෙය ඇත්ත වශයෙන්ම සේවයේ අභිප්‍රායයි - මෙම අත්‍යවශ්‍ය කාර්යය ස්වයංක්‍රීයව සිදුකිරීමට වඩා අලි රංචු පිටින් අතින් අතින් සිදුකරනවාට වඩා අසීරු කාර්යයන් ස්වයංක්‍රීයව සිදු කිරීම. නමුත් ඔබට කිසියම් හේතුවක් නිසා ස්වයංක්‍රීය කිරීමට නොහැකි නම් එය negative ණාත්මක ය - ඔබට මෙවලම්, උපකරණ හෝ ස්වයංක්‍රීයව අවහිර කරන ඕනෑම දෙයක් තිබේ නම්, එම මෙවලම් / උපකරණවල / පිරිවැය සැළසුම්කරණයේ අඛණ්ඩ පිරිවැයේ කොටසක් ලෙස වාණිජ එස්එස්එල් සහතික කිරීමේ පිරිවැය සලකා බලන්න. මෙය ස්වයංක්‍රීය කරන නව මෙවලම් / උපකරණ / යනාදියෙහි මිල නියම කිරීමේදී වාණිජ සහතික මිලදී ගැනීමට අවශ්‍ය නොවීමෙන් ඉතුරුම් පියවා ගන්න (අපි සංකේතාත්මක කරමු හෝ නැත)

පාලන ස්වයංක්‍රීයකරණය පිළිබඳ සාක්ෂි සංකේතාත්මක කරමු ඔබේ සංවිධානයේ නීතිවලට නොගැලපේ. උදාහරණයක් ලෙස ඔබට අපාචේ නැවත සැකසීමට අවසර දී ඇති නමුත් සමාගම් ඩොමේන් නාම සඳහා එස්එස්එල් සහතික ලබා නොගත යුතු සේවකයින් සිටී නම් අපි එන්ක්‍රිප්ට් දුර්වල සුදුසුකමක් වෙමු. මෙම අවස්ථාවේ දී ඒවා භාවිතා නොකිරීම වැරදි දේ (TM) බව සලකන්න. ඔබේ වසම් සඳහා අපි සංකේතාත්මක කරමු.

අපි සංකේතාත්මක ප්‍රතිපත්තිය ප්‍රතික්ෂේප කරන්නේ නම්, එකම “අභියාචනාධිකරණය” වන්නේ එහි පොදු සංසදවලින් විමසීම සහ ඔවුන්ගේ කාර්ය මණ්ඩලයෙන් කෙනෙකුට ඉදිරි මාවතක් ඉදිරිපත් කිරීමට හැකි වනු ඇතැයි අපේක්ෂා කිරීමයි. නිදසුනක් ලෙස, ඔබේ වෙබ් අඩවියට ඩීඑන්එස් නමක් තිබේ නම් ඔවුන්ගේ පද්ධති තීරණය කරන්නේ විශාල බැංකු හෝ ගූගල් වැනි සමහර ප්‍රසිද්ධ දේපලවලට “ව්‍යාකූල ලෙස සමාන” බවය. සංවේදී හේතූන් මත මේ සම්බන්ධයෙන් එක් එක් පොදු වරලත් ගණකාධිකාරීවරයාගේ නිශ්චිත ප්‍රතිපත්ති මහජන පරීක්ෂාවට භාජනය නොවන බැවින් ඔබ ඉල්ලීමක් කළ විට “ප්‍රතිපත්ති තහනම් ...” ප්‍රතිචාරයක් ලබා ගන්නා විට ඔබට සංකේතාත්මක සහතිකයක් ලබා ගත නොහැකි බව ඔබට වැටහෙනු ඇත.

2. සහතික කිරීමේ ගුප්තකේතනයට අවාසි

අද දින ප්‍රධාන වෙබ් බ්‍රව්සර් විසින් අයිඑස්ආර්ජී හරහා සහතික කරමු (අපි එන්ක්‍රිප්ට් සේවාව සපයන පුණ්‍යායතනය) නමුත් පැරණි පද්ධති විශ්වාස කරන්නේ “ඩීඑස්ටී රූට් සීඒ එක්ස් 3” පාලනය කරන සාපේක්ෂව අපැහැදිලි සහතික අධිකාරියක් වන අයිඩන් ට්‍රස්ට් හරහා ය. මෙය බොහෝ මිනිසුන්ගේ කාර්යය ඉටු කරයි, නමුත් එය ලෝකයේ වඩාත්ම විශ්වාසදායක මූල නොවේ. උදාහරණයක් ලෙස අතහැර දැමූ නින්ටෙන්ඩෝ වයිඅයි කොන්සෝලයට වෙබ් බ්‍රව්සරයක් තිබුණි, පැහැදිලිවම නින්ටෙන්ඩෝ වයිඅයි සඳහා යාවත්කාලීනයන් නැව්ගත නොකරනු ඇති අතර බ්‍රව්සරය අතහැර දමා ඇති බැවින් එය විශ්වාස නොකරමු එන්ක්‍රිප්ට් කරමු.

එස්එස්එල් / ටීඑල්එස් ප්‍රොටෝකෝලය භාවිතා කරන අන්තර්ජාල නම් සහිත වෙබ් පීකේඅයි - සේවාදායකයන් සඳහා සහතික පමණක් නිකුත් කරමු. එබැවින් එය පැහැදිලිවම වෙබ් වන අතර ඔබේ IMAP, SMTP, සමහර වර්ගවල VPN සේවාදායකයන්, දේවල් දුසිම් ගණනක්, නමුත් සියල්ල නොවේ. විශේෂයෙන් අපි සංකේතාංකනය S / MIME සඳහා සහතිකයක් ලබා නොදේ (විද්‍යුත් තැපෑල සංක්‍රමණයේදී පමණක් නොව විවේකයෙන් සංකේතනය කිරීමේ ක්‍රමයක්) හෝ කේත අත්සන් කිරීම හෝ ලේඛන අත්සන් කිරීම සඳහා. සහතික සඳහා ඔබට “එක් නැවතුම් සාප්පුවක්” අවශ්‍ය නම්, අපි සංකේතාත්මක නොකරමු.

වෙබ් PKI හි පවා, අපි සංකේතාත්මක කරන්නේ "DV" සහතික පමණි, එයින් අදහස් වන්නේ ඔබ ගැන හෝ FQDN හැර වෙනත් ආයතනයක් පිළිබඳ විස්තර සහතිකයේ සඳහන් නොවන බවයි. ඔබ ඒවා ආයතනික සමාජ වගකීමක් ලෙස ලිවුවද ඒවා ඉවතලනු ලැබේ. මෙය සමහර විශේෂ ist යෙදුම් සඳහා අවහිර කරන්නෙකු විය හැකිය.

ස්වයංක්‍රීයකරණය සංකේතනය කරමු යන්නෙන් අදහස් කරන්නේ ඔබට යමක් ලබා ගැනීමට නොහැකි වීමට වෙනත් හේතු නොමැති වුවද ස්වයංක්‍රීයකරණයට ඉඩ දෙන දෙයින් ඔබ හරියටම සීමා වී ඇති බවයි. නව වර්ගයේ පොදු යතුර, නව X.509 දිගු සහ වෙනත් එකතු කිරීම් ඔවුන්ගේ කාලරාමුව මත අපි සංකේතාත්මකව පැහැදිලිව සක්‍රීය කළ යුතු අතර, ඇත්ත වශයෙන්ම ඔබට පරිත්‍යාග පිළිගැනීමට ලක්වුවද ඔබට අවශ්‍ය අංග ලබා ගැනීම සඳහා අමතර මුදලක් ගෙවීමට ඉදිරිපත් කළ නොහැක.

එසේ වුවද, සෑම දෙනාටම පාහේ, සෑම විටම පාහේ, ඔබගේ ටීඑල්එස් සේවාදායකයන් සඳහා සහතික කිරීම ගිනි හා අමතක නොවන ආකාරයකින් තැබීම සඳහා හොඳ පළමු තේරීම වේ. ඔබ භාවිතා කරමු යන උපකල්පනයෙන් පටන් ගෙන අපි මෙම තීරණයට එළඹීම සඳහා බුද්ධිමත් ක්‍රමයකි.

වෙබ් හැර වෙනත් දෙයක් සඳහා ඔබට සහතිකයක් අවශ්‍ය නොවන්නේ නම් , සැබෑ අවාසි නොමැත , නමුත් නිසැකවම වටහා ගත් ඒවාය. ගැටළු පමණක් වටහාගෙන ඇතත්, වෙබ් අඩවියක හිමිකරු වශයෙන් ඔබට ඒවා විසඳීම හැර වෙනත් විකල්පයක් නොමැති විය හැකිය (ව්‍යාපාරික උනන්දුව මැද ඇඟිල්ල පෙන්වීම තහනම් කරන්නේ නම්).

විශාලතම අවාසිය නම්, දැනට, ඔබේ වෙබ් අඩවිය තරමක් පහත්, සමහර විට භයානක ලෙස පෙන්වනු ඇති නිසා වෙනත් වෙබ් අඩවි සතුව ඇති හරිත ලාංඡනය එහි නොමැති බැවිනි. එම ලාංඡනයේ තේරුම කුමක්ද? ඇත්තටම මුකුත් නෑ. නමුත් එය ඔබගේ වෙබ් අඩවිය "ආරක්ෂිත" යැයි යෝජනා කරයි (සමහර බ්‍රව්සර් එම නිශ්චිත වචනය පවා භාවිතා කරයි). අහෝ, පරිශීලකයින් මිනිසුන් වන අතර මිනිසුන් මෝඩය. බ්‍රව්සරය එය ආරක්ෂිත යැයි නොකියන නිසා එක් හෝ තවත් එකක් ඔබේ වෙබ් අඩවිය විශ්වාසදායක නොවන බව (කිසිදු ඇඟවීමක් තේරුම් නොගෙන) ගනු ඇත.

මෙම ගනුදෙනුකරුවන් / අමුත්තන් නොසලකා හැරීම වලංගු හැකියාවක් නම්, ගැටළුවක් නැත. එම ව්‍යාපාරමය වශයෙන් ඔබට දරාගත නොහැකි නම්, ඔබට මුදල් වියදම් කිරීමට සිදුවනු ඇත . වෙනත් විකල්පයක් නැත.

අනෙක් වටහා ගත් ගැටලුව වන්නේ සහතික ජීවිත කාලය පිළිබඳ ගැටළුවයි. නමුත් එය ඇත්ත වශයෙන්ම වාසියක් මිස අවාසියක් නොවේ. කෙටි වලංගු භාවය යන්නෙන් සහතිකය සේවාදායකයේ සහ සේවාදායකයාගේ පැත්තෙන් බොහෝ විට යාවත්කාලීන කළ යුතුය.
සේවාදායක පාර්ශවය සම්බන්ධයෙන් ගත් කල, මෙය සිදුවන්නේ cronරැකියාවකින් වන අතර, එය ඇත්ත වශයෙන්ම අඩු කරදර සහ වෙනදාට වඩා විශ්වාසදායකය . ඔබට අමතක කළ හැකි ක්‍රමයක් නැත, ප්‍රමාද වීමට ක්‍රමයක් නැත, වැරදීමකින් යමක් කිරීමට ක්‍රමයක් නැත, පරිපාලන ගිණුමක් සමඟ ලොග් වීමට අවශ්‍ය නැත (... එක් වරකට වඩා). සේවාදායකයාගේ පැත්තෙන්, ඉතින් මොකක්ද. බ්‍රව්සර් සෑම විටම සහතික යාවත්කාලීන කරයි, එය ලොකු දෙයක් නොවේ. එය සිදු වන බව පරිශීලකයා පවා නොදනී. සෑම වසර 2 කට වරක් වෙනුවට සෑම මාස 3 කට වරක් යාවත්කාලීන කිරීමේදී තරමක් වැඩි තදබදයක් තිබිය යුතුය, නමුත් බැරෑරුම් ලෙස ... එය ප්‍රශ්නයක් නොවේ.

මගේ සේවායෝජකයාට එන්ක්‍රිප්ට් කරමු: API අනුපාතය සීමා කිරීම. කෙටි ආයු කාලය සහ ආදේශක ආධාරක නොමැතිකම හේතුවෙන් සාමාන්‍ය ස්වයංක්‍රීය මෙහෙයුම් වලදී (ස්වයංක්‍රීයව අලුත් කිරීම ආදිය) අනුපාත සීමාවන්ට ළඟාවීම ඉතා පහසුය. නව උප ඩොමේනයක් එක් කිරීමට උත්සාහ කිරීමෙන් ඔබට අනුපාත සීමාව ඉක්මවා යා හැකි අතර, වරක් පහර දුන් සීමාව අතින් අභිබවා යාමට LE ට හැකියාවක් නැත. ඔබ පැරණි සහතික උපස්ථ නොකරන්නේ නම් (LE අපේක්ෂාවන් වැනි ස්වයංක්‍රීය, වලාකුළු ආකාරයේ ක්ෂුද්‍ර සේවා පරිසරයක කවුරුන් එසේ කරන්නේද?) LE සහතික නැවත නිකුත් නොකරන බැවින් බලපෑමට ලක්වූ සියලුම අඩවි නොබැඳිව පවතී.

සිදුවූයේ කුමක්දැයි අපට වැටහුණු විට, "ඔහ් $ #! #" මොහොතක් ඇති වූ අතර නිෂ්පාදන අඩවි නැවත මාර්ගගත කර ගැනීම සඳහා හදිසි වාණිජ සහතිකයක් ඉල්ලා සිටියේය. වඩා සාධාරණ අවුරුදු 1 ක ආයු කාලයක් සහිත එකක්. LE විසින් නිසි ආදේශක ආධාරක ක්‍රියාත්මක කරන තුරු (පසුව පවා), අපි ඔවුන්ගේ පිරිනැමීම් ගැන ඉතා සැලකිලිමත් වනු ඇත.

Tl; dr: LE wildcard + API සීමාවන් "මගේ පුද්ගලික මුල් පිටුවට" වඩා කළමනාකරණය කිරීම අනපේක්ෂිත ලෙස අභියෝගාත්මක වන අතර මඟ දිගේ දුර්වල ආරක්ෂක භාවිතයන් ප්‍රවර්ධනය කරයි.

ඔව්.

නොමිලේ භාවිතා කිරීමේ අවාසිය හෝ අපි SSL සහතිකය සංකේතනය කරමු-

අනුකූලතා ගැටළුව - සියලුම වේදිකාවලට නොගැලපෙන SSL සහතිකය සංකේතනය කරමු. නොගැලපෙන වේදිකා ලැයිස්තුව දැන ගැනීමට මෙම සබැඳිය බලන්න -

අඩු වලංගු භාවය - එස්එස්එල් සහතිකය සංකේතාත්මක කරමු දින 90 ක සීමිත වලංගු භාවයක් ඇත. සෑම දින 90 කටම වරක් ඔබ ඔබේ SSL සහතිකය අලුත් කළ යුතුය. කොමෝඩෝ වැනි ගෙවන ලද එස්එස්එල් වසර 2 ක් වැනි දිගු වලංගු භාවයකින් යුක්ත වේ.

ව්‍යාපාර වලංගු කිරීමක් නොමැත - නොමිලේ SSL සහතිකයක් අවශ්‍ය වන්නේ වසම් වලංගු කිරීම පමණි. නෛතික ව්‍යාපාරික ආයතනයක් සඳහා පරිශීලකයින් සහතික කිරීම සඳහා ව්‍යාපාර හෝ සංවිධාන වලංගු භාවයක් නොමැත.

කුඩා ව්‍යාපාර හෝ බ්ලොග් අඩවි සඳහා සුදුසු ය - මා අවසාන අවස්ථාවේ දී එකතු කළ පරිදි, ඩොමේන් හිමිකාරිත්ව සත්‍යාපනය හරහා නොමිලේ හෝ සංකේතාත්මක SSL සහතිකයක් ලබා ගත හැකි අතර එය ව්‍යාපාරයට විශ්වාසනීයත්වය සහ ආරක්ෂාව ප්‍රධාන සාධකයක් වන ව්‍යාපාර හෝ ඊ-වාණිජ්‍යය වෙබ් අඩවියකට සුදුසු නොවේ.

හරිත ලිපින තීරුවක් නොමැත - ඔබට නොමිලේ SSL සහතිකයක් සහිත හරිත ලිපින තීරුවක් තිබිය නොහැක. බ්‍රවුසරයේ හරිත ලිපින තීරුව සමඟ ඔබේ ව්‍යාපාර නාමය ප්‍රදර්ශනය කිරීමට ඇති එකම ක්‍රමය දීර් valid වලංගු කිරීම SSL සහතිකයකි.

සහය නැත - අපි සංකේතාංකනය කරන මාර්ගය අතර සිරවී ඇත්නම්, ඔබට සබැඳි කතාබස් හෝ ඇමතුම් සහාය ලබා ගත හැකිය. ඔබට සංසද හරහා සම්බන්ධ විය හැක්කේ ගැටලුවෙන් මිදීමට පමණි.

අතිරේක ආරක්ෂක අංග - නොමිලේ SSL සහතිකයක් මඟින් නොමිලේ අනිෂ්ට මෘදුකාංග පරිලෝකනය, අඩවි මුද්‍රාව වැනි අමතර අංගයක් ලබා නොදේ.

වගකීමක් නැත - නොමිලේ හෝ සංකේතාත්මක SSL සහතිකයක් කිසිදු වගකීම් මුදලක් ලබා නොදෙන අතර ගෙවන ලද SSL සහතිකයක් ඩොලර් 10,000 සිට 7 1,750,000 දක්වා වගකීමක් ලබා දෙයි.

ප්‍රවෘත්තියකට අනුව , 14,766 ඩොමේන් වලංගු කිරීමක් පමණක් අවශ්‍ය බැවින් පේපෑල් තතුබෑම් අඩවි වෙත නිකුත් කරන ලද එස්එස්එල් සහතික සංකේතනය කරමු.

එබැවින්, මගේ නිර්දේශය අනුව, එස්එස්එල් සහතිකයක් සඳහා ගෙවීම සැබවින්ම වටී.

සමහර පර්යේෂණ වලින් පසුව මම සොයාගත්තා ගෙවුම් සහතිකවලට වඩා සහතිකයන් බ්‍රව්සර් සමඟ නොගැලපෙන බව. (මුලාශ්‍ර: අපි එදිරිව කොමෝඩෝ පොසිටිව් එස්එස්එල් සංකේතනය කරමු )