Let’s Encrypt korlátai és biztonságos alternatívák

Let’s Encrypt korlátai és alternatívák éles környezetben

A Let’s Encrypt a világ legelterjedtebb ingyenes SSL/TLS tanúsítvány-szolgáltatója lett néhány év leforgása alatt. Automatizált, gyors, megbízható és a legtöbb esetben bőven elegendő – főleg kisebb weboldalak, tesztkörnyezetek, nonprofit vagy egyszerű kereskedelmi célú oldalak esetében. Azonban amikor az ember elér egy bizonyos szintet a szolgáltatásai kiforrottságában, ügyféligényekben vagy épp a technikai megfelelésben, érdemes alaposan átgondolni, hogy a Let’s Encrypt valóban a legjobb megoldás-e egy éles környezetben.

A Let’s Encrypt előnye – de meddig?

A Let’s Encrypt által kínált ingyenes tanúsítványok legnagyobb vonzereje nyilvánvaló: nulla költség mellett biztosítanak HTTPS-támogatást. Emellett a tanúsítványok kiadása és megújítása teljesen automatizálható a Certbot vagy más ACME kliens segítségével. Ezek a szempontok teszik különösen vonzóvá kezdő projektek vagy gyors fejlesztések során.

Az 1b.hu tapasztalatai szerint a Let’s Encrypt kiválóan teljesít olyan esetekben, ahol fontos az automatizáció, és ahol a rendelkezésre állás nem kritikus vállalati szinten. Ha azonban kilépünk ebből a keretből – például egy pénzintézeti, egészségügyi, adatvédelmi szempontból érzékeny vagy vállalati compliance által szabályozott környezetbe –, a Let’s Encrypt már nem minden esetben tudja biztosítani azt a szintet, amit az ügyfelek, szabályozó hatóságok vagy SLA-k megkövetelnek.

Három hónapos érvényesség – lehetőség vagy teher?

A Let’s Encrypt tanúsítványok csak 90 napig érvényesek, amit a szolgáltató szándékosan alakított így a biztonság növelése érdekében. Ez ugyanis csökkenti a hosszabb időre kiadott kompromittált tanúsítványokkal járó kockázatot. Ugyanakkor ez az érvényességi idő jelentős kihívást is jelent – különösen, ha valami miatt az automatizált megújítás nem működik. Egy le nem járt, de nem frissített tanúsítvány akár egy teljes szolgáltatásleállást is eredményezhet, ha nem veszik időben észre a problémát.

Egy éles környezetben, ahol akár több ezer ügyfél, partner vagy végfelhasználó kapcsolódik naponta, ez nem engedhető meg. Az 1b.hu saját infrastruktúrájában is fokozott monitoringot alkalmaz a Let’s Encrypt tanúsítványokra, de az is előfordult már, hogy egy edge eset miatt nem időben frissült le egy tanúsítvány – és ez komoly hibát eredményezett.

A wildcard tanúsítványok korlátai

Bár a Let’s Encrypt támogatja a wildcard (pl. *.domain.hu) tanúsítványokat is, ezek megszerzése kizárólag DNS-alapú hitelesítéssel lehetséges. Ez sok esetben – például dinamikusan skálázódó környezetekben, vagy olyan szolgáltatóknál, ahol a DNS-zóna nem programozható ACME-n keresztül – komoly nehézséget okozhat.

Egy másik hátrány, hogy a Let’s Encrypt nem biztosít EV vagy OV típusú tanúsítványokat, amelyek bizonyos iparágakban követelményként szerepelnek. Egy banki felület vagy egészségügyi rendszer számára a “zöld sávos”, cégellenőrzéssel kiadott tanúsítvány továbbra is preferált – már csak a felhasználók bizalma miatt is.

Milyen alternatívák léteznek?

Ha az automatizált, ingyenes megoldások határaihoz értünk, érdemes más szolgáltatók kínálatát is megvizsgálni. Az alábbi alternatívák különösen népszerűek az 1b.hu partnerei és ügyfelei körében:

1. ZeroSSL – szintén ACME-kompatibilis, támogatja a Let’s Encrypt-hez hasonló működést, de 90 nap helyett akár 1 éves tanúsítványokat is kínál (fizetős verzióban). Felhasználóbarát, és jól integrálható meglévő pipeline-okba.

2. Sectigo, Digicert, GeoTrust – ezek a hagyományos CA-k OV és EV tanúsítványokat is kínálnak, és akár 1-2 évre érvényes cert-eket adnak ki. Kifejezetten hasznosak, ha auditkövetelményeknek kell megfelelni.

3. Cloudflare Origin CA – ha valaki Cloudflare reverse proxy mögött működteti a szolgáltatását, az Origin CA tanúsítvány egy egyszerű, de biztonságos mód arra, hogy a Cloudflare és a szerver közti kapcsolat titkosított legyen. Ez nem nyilvános CA, csak belső célra alkalmas, de biztonságos alternatíva.

4. Self-signed tanúsítványok – bár éles környezetben nem ajánlott, bizonyos VPN-ek vagy belső rendszerek esetében még mindig használják őket. Automatikusan elutasításra kerülhetnek a böngészők által, így csak korlátozott szerepük van.

Mit ajánl az 1b.hu?

A 1b.hu javaslata éles környezet esetén egy hibrid modell alkalmazása. Fejlesztői és staging környezetekben kiválóan megállja a helyét a Let’s Encrypt, de az éles weboldalak, API endpointok és érzékeny adatokkal dolgozó backend rendszerek esetén ajánlott legalább egy OV szintű tanúsítvány használata. Az sem mellékes, hogy fizetős szolgáltatók esetén sokkal jobb támogatást kapunk problémás esetekben.

Fontos szempont még az infrastruktúra is: ha a tanúsítvány-megújítás folyamata nem automatizálható teljes biztonsággal, akkor nem érdemes kockáztatni. Ebben az esetben a hosszabb érvényességű tanúsítvány (1 vagy 2 év) sokkal kisebb karbantartási kockázatot jelent.

Összegzés

A Let’s Encrypt egy fantasztikus eszköz, de nem csodaszer. Éles környezetben a választás nemcsak a költségekről szól, hanem az üzemeltetési kockázatokról, a compliance megfelelésről és az ügyfélbizalomról is. Az 1b.hu tapasztalatai azt mutatják, hogy hosszú távon megéri átgondolni az SSL/TLS stratégia súlypontját, és nem minden szolgáltatásra automatikusan Let’s Encrypt-et használni. A modern webes infrastruktúrában a tanúsítvány nem csak technikai, hanem üzleti döntés is – amit nem érdemes elhamarkodni.