Provozovatelé ssls.cz poslali e-mail zákazníkům, kteří od nich dříve kupovali certifikáty, ale přešli na certifikáty od Let's Encrypt. Ukázku toho e-mailu najdete na https://twitter.com/parisek/status/802847950863011840, podobná srovnávací tabulka je i na https://www.ssls.cz/lets-encrypt.html. Napsal jsem ssls.cz otevřenou odpověď, kterou najdete v nezměněné podobě níže. (Opravil jsem jen překlepy a chybějící interpunkční znaménka, díky za jejich nahlášení.)
Dobrý den,
(tuto odpověď píšu jako otevřený dopis, publikoval jsem ji také na https://gist.github.com/spaze/e081b948b8cd7d06dddbe9e6fa65c5ac)
díky za e-mail, jsem Vaším bývalým zákazníkem a podobným textem, který obsahuje zavádějící i nepravdivé informace, si mě nezískáte zpět. Pro mě osobně je rovněž alarmující Váš přístup k zabezpečení webu, kdy ani část chyb, o kterých jsem Vás informoval na podzim roku 2015, nejsou opravené. Jde například o chybu, která se projeví na https://www.ssls.cz/ssltest/www.michalspacek.cz (mimochodem, SSL Tester nesprávně detekuje chybějící HSTS na mém webu). Aktualizace 2018-03-15, chyba byla již opravena, ale objevila se o kousek níž, ukázka na https://www.ssls.cz/ssltest/foo.veradesign.cz
K e-mailu samotnému mám několik otázek a několik připomínek:
Píšete že Let's Encrypt má diskutabilní podporu v prohlížečích, můžete to prosím upřesnit?
Píšete, že v souvislosti s použitím certifikátů Let's Encrypt pro je hrozba pro
běžného uživatele velmi aktuální téma. Jakým způsobem je aktuální a o jakou
hrozbu jde? Dovolil bych si připomenout, že certifikáty se pro podvodné weby
používají nezávisle na Let's Encrypt, například Vámi propagované Comodo před
nějakou dobou vystavilo certifikát pro podvodný web halifaxonline-uk.com, viz
http://www.infoworld.com/article/2992605/security/phishing-sites-exploit-trust-in-valid-ssl-certificates.html
Dále píšete, že v zákulisí se navíc pomalu začínají objevovat hlasy volající po nedůvěřování certifikátům Let's encrypt. V jakém zákulisí? Máte prosím odkaz na relevantní diskuzi?
Dále mám připomínky ke srovnávací tabulce v e-mailu a rozšířené tabulce na https://www.ssls.cz/lets-encrypt.html, v obou případech uvádíte některé mylné informace:
Let's Encrypt podporuje:
- vystavení certifikátu bez instalace software CA na server https://certbot.eff.org/docs/using.html#manual
- ECC od února 2016: https://letsencrypt.org/upcoming-features/
- IDN od října 2016: https://letsencrypt.org/upcoming-features/
- možnost získat certifikát před spuštěním serveru, např. pomocí ověření přes DNS https://tools.ietf.org/html/draft-ietf-acme-acme-03#section-7.4
- neomezený počet vystavených certifikátů, pouze je omezen počet certifikátů pro jednu doménu na 20 týdně, ale lze použít SAN, více viz https://letsencrypt.org/docs/rate-limits/
- zneplatnění certifikátů
Prosím, upravte zmiňovanou tabulku a neposílejte zákazníkům další podobné e-maily, háže to na Vaše služby spíše špatné světlo.
Předem díky za odpovědi na mé otázky, hezký den, a jen pro úplnost, certifikáty od Let's Encrypt hodlám používat i nadále.
Michal Špaček
@vrana Díky!