Olá!
Instalei o Discourse Ready VPS no DigitalOcean. Meu site funciona em HTTPS. Acredito que seja o Let’s Encrypt gratuito. É realmente seguro? Também comprei um certificado ComodoSSL. Quando quero criar um certificado no painel da Comodo, ele pede meu código CSR. Como posso criar um CSR? Ou estou fazendo algo errado? É a primeira vez que faço isso. Por favor, me oriente.
O SSL gerado pelo Discourse é emitido pelo Let’s Encrypt e é bastante seguro.
No entanto, se você quiser configurar seu próprio certificado SSL, siga estas instruções:
Não há diferença, do ponto de vista de segurança, entre o Let’s Encrypt e o Comodo. A criptografia suportada é a mesma. A única diferença é que um é gratuito e automático, enquanto o outro custa dinheiro e precisa ser renovado manualmente. A menos que você tenha um motivo muito, muito bom para precisar de um certificado pago, fique com o Let’s Encrypt e economize dores de cabeça (e algum dinheiro).
Let’s Encrypt para sempre? Ou é necessário fazer algo anual, como renovar?
Renova automaticamente a cada três meses. É gratuito. E funciona.
Não há motivo para comprar certificados para sua instalação do Discourse.
Um certificado é um certificado*, e a Comodo tem sido amplamente reconhecida como um ator problemático nesse setor devido à sua campanha incessante de FUD contra o Let’s Encrypt (a ponto de usar seu próprio navegador para marcar sites com certificados do Let’s Encrypt como “não seguros”, ou tentar registrar a marca Let’s Encrypt). O certificado não determina o tipo ou a força da criptografia utilizada. Em resumo, use o certificado do Let’s Encrypt; simplesmente não há necessidade de qualquer outra coisa.
*Bem, na maioria das vezes. Os certificados podem ser DV (validação de domínio), OV (validação de organização) ou EV (validação estendida), diferindo no que validam (e, naturalmente, no custo). Um certificado DV valida que ele realmente pertence ao domínio que nomeia. Um certificado OV valida que ele pertence à organização que nomeia (embora nada mostre isso no navegador, a menos que você acesse os detalhes do certificado). Um certificado EV faz o mesmo que um OV, só que de forma mais rigorosa — e historicamente exibia a “barra verde” no navegador, embora isso esteja prestes a ser descontinuado. Nenhuma variedade de certificado valida que seu proprietário é um “bom sujeito”, e não há absolutamente nenhuma diferença nos níveis de criptografia entre eles.
O Let’s Encrypt efetivamente alcança isso, validando o nome DNS no momento do cadastro.
O Chrome 77 removeu a barra verde; para referência, atualmente estamos na versão 78.x em lançamento e na 79.x em beta.
Daí eu dizer “historicamente”. Ela desapareceu no Chrome, mas ainda está presente no Firefox e no IE (os únicos outros que consigo testar facilmente no momento).
Ele também desapareceu da barra de endereços no Firefox 70, lançado no mês passado. Também sumiu do Safari.
Não tenho certeza se o IE ainda conta como navegador, com uma participação de mercado de 1,98% em outubro de 2019.
Acho que podemos confirmar que o EV está morto e enterrado neste momento.
E quanto ao Microsoft Edge?
2,05%, ou seja, menos do que o navegador pré-instalado que a Samsung envia em seus celulares Galaxy (3,29%).
Sua participação de mercado está à par com a do Internet Explorer? Isso faria com que ele deixasse de ser considerado um navegador também?
Daí a mudança do Edge da Microsoft para o Chromium em 15 de janeiro de 2020.
Ah, sim. Vamos ter que ver como isso vai correr.
Concordo. Será interessante (e alternadamente divertido e frustrante, sem dúvida) ver quais outros pontos de venda os CAs vão apresentar para tentar vendê-los, no entanto.
Os certificados EV chegaram em um momento em que a PKI não era bem compreendida, o SSL era visto como ‘apenas para comércio eletrônico’ e o phishing apresentava um aumento acentuado.
Eu apreciei a ideia de adicionar confiança; foram realmente as ACs que estragaram tudo.
O Let’s Encrypt é uma grande ameaça para esses caras, e por todos os motivos certos.