domingo, 12 de fevereiro de 2017

Certificado digital - Let's Encrypt tem limitações

Certificado SSL Gratuito para toda a internet

Certificado SSL gratuito para toda a internet! Essa é a proposta da Let’s Encrypt (Vamos Criptografar), projeto criado em 2012 por dois colaboradores da Mozilla em conjunto com a Electronic Frontier Foundation e a Universidade de Michigan.
Anunciada publicamente em 2014, recebendo a colaboração da Linux Foundation rapidamente ganhou visibilidade na internet, em outubro de 2015 já estava homologada pela maioria dos navegadores conhecidos como Chrome, Firefox, Internet Explorer.
Com o rápido crescimento devido a sua proposta inicial, que é entregar Certificados SSL gratuitamente para toda internet e com o patrocínio de grandes empresas como Cisco, Facebook e Akamai (Veja todos os patrocinadores em – https://letsencrypt.org/sponsors/), emitiu 1 milhão de certificados em pouco tempo.
O mais impressionante é que 44 dias após atingir a marca de 1 milhão a Let’s Encrypt já tinha emitido mais de 2 milhões de certificados, hoje (10/06/2016) já possui mais de 4,5 milhões de certificados ativos, conforme o gráfico disponibilizado pela própria empresa em https://letsencrypt.org/stats/.
Esse números são facilmente explicados quando realmente entendemos que a proposta da Let’s Encrypt é muito valiosa, que é criptografar, automatizar e facilitar, isso tudo de forma gratuita e muito simples.
Esse certificado conta com um novo modelo de validação de dados onde não é necessário receber e-mails ou fazer ativações complexas, para este fim foi lançado um novo protocolo chamado ACME que faz a validação automática através de um cliente desenvolvido pela própria Certificadora.
O processo de validação original das certificadoras como Geotrust, Comodo e Symantec é o seguinte:
1) Você cria uma chave privada e um arquivo CSR que inclui informações sobre seu domínio e organização;
2) Você envia esse arquivo CSR para a certificadora;
3) A certificadora valida o arquivo por e-mail (link) ou por HTTP (criando um arquivo na raiz do seu site) e lhe envia o certificado válido .CRT;
4) Você faz a instalação do arquivo enviado pela certificadora e pronto, seu certificado está instalado.
Já o processo com a Lets Encrypt é feito da seguinte forma:
1) Você instala e configura o cliente no servidor onde o certificado será instalado (você verá os tipos de instalações para as suas aplicações no final desse conteúdo);
2) O cliente automaticamente irá identificar os certificados que você quer instalar;
3) Ele fará todo o processo de validação para você e entregará um certificado que pode ser instalado;
4) Pronto! Seu certificado encontra-se instalado.

Certificado SSL Gratuito, mas esse processo é seguro?

Sim, com uma troca de chaves ele garante segurança na emissão conforme demonstrado pelas publicações da própria Let’s Encrypt:
Instalar Certificado SSL gratuito - publicações Let's Encrypt
Como demonstrado na imagem acima, o cliente da Let’s Encrypt garante que a emissão está sendo efetuada para o servidor que fez a requisição, é bem parecido com uma validação por HTTP utilizada pelas certificadoras já existentes, só que de forma automática.
Com a validação sendo feita de forma correta, o certificado é emitido com base nos testes de chaves executados conforme demonstração na imagem abaixo:
Instalar Certificado SSL gratuito - publicações Let's Encrypt
Com a chave autorizada o certificado é emitido ao servidor e poderá ser utilizado em qualquer aplicação configurada no ambiente.
Segue abaixo as principais dúvidas referentes a você obter certificados ssl gratuitos para o seu website:

1) Eu posso utilizar o certificado SSL Grátis para qualquer tipo de site?

Sim, você pode instalar e configurar em qualquer ambiente e em qualquer provedor.

2) Irá demonstrar alguma mensagem informando que meu certificado SSL é gratuito?

Não, nada é informado. Ele é idêntico aos certificados pagos.

3) Qual a diferença do certificado grátis da Let’s Encrypt para os certificados Pagos do Mercado?

Existem diversos tipos de certificados, e você pode saber mais neste post [O que é Certificado SSL: O guia definitivo], os certificados emitidos pela Let’s Encrypt são somente certificados de validação de domínio, e neste segmento o que muda é somente a garantia em dólares, que as certificadoras comerciais entregam para seus certificados caso eles sejam explorados por algum hacker.

4) É possível ter a barra verde com certificados da Let’s Encrypt?

Não, somente o https:// estará verde pois os certificados com a GreenBar são somente emitidos depois de serem verificados por certificadoras comerciais, muito bem verificados diga-se de passagem.

5) Qual é a validade dos certificados da Let’s Encrypt?

Todos os certificados emitidos possuem validade de até 90 dias, ou seja eu aconselho você automatizar a renovação, nos tutoriais demonstramos como fazer este procedimento.

6) É possível configura https/2 com o certificado da Let’s Encrypt?

Sim, você pode saber mais sobre esse protocolo no artigo [HTTP2 seja bem vindo e adeus SDPY] e também como ele ajuda no desempenho do seu site.
Abaixo também informo quais são os limites dos certificados grátis emitidos pela Let’s Encrypt.
Os certificados possuem algumas limitações, sendo elas:
  1. Certificados SSL grátis podem possuir no máximo 100 nomes (SANs) em um mesmo certificado;
  2. A quantidade de requisições é de 5 requisições de certificado por SEMANA para cada domínio, ou seja, você pode certificar 5 x 100 domínios por certificado = 500 páginas com SSL gratuito por semana 🙂
  3. Você pode requisitar até 5 certificados para o mesmo FQDN por semana, ou seja, caso você solicite rafaelandrade.org e www.rafaelandrade.org, até 5 destes certificados com FQDN completos podem ser utilizados ao mesmo tempo, mas onde vou usar isto? Normalmente é usado em ambientes com Loadbalance ou com distribuição de carga, quem precisa deste tipo de emissão vai entender o que digo com esta informação.
  4. Por IP podem ser requisitados até 500 certificados a cada 3 horas, caso você necessite de um ambiente de testes por favor utilize o Staging Client neste link https://community.letsencrypt.org/t/testing-against-the-lets-encrypt-staging-environment/6763;
  5. Não existem limites de emissões para diferentes domínios, obedecendo somente os limites acima descritos POR DOMÍNIO.
Para saber mais sobre os limites dos certificados Let’s Encrypt recomendo a leitura desse artigo https://community.letsencrypt.org/t/rate-limits-for-lets-encrypt/6769
Certo, agora você já sabe que pode ter um certificado seguro para o seu site de forma gratuita, eu aconselho que você faça a instalação do mesmo, abaixo tem alguns tutoriais que poderão te ajudar a instalar em seu ambiente, qualquer dúvida pergunte nos comentários.
A lista abaixo será atualizada sempre que sair um novo tutorial de instalação.
Instalar certificado SSL gratuito com Let’s Encrypt no Apache com Centos 7
Se você gostou deste conteúdo, peço que ajude mais pessoas a conhecer o Certificado SSL gratuito, compartilhando este artigo com seus amigos.
Quer saber mais coisas sobre segurança? Acesse a categoria Segurança do Blog.
Caso tenha alguma dúvida sobre o assunto, por favor deixe seu comentário que terei o prazer de conversar com você a respeito.


fonte: https://www.secnet.com.br/blog/certificado-ssl-gratuito-para-toda-internet

0 comentários: