CERT SSL الموقعة ذاتيا أو كاليفورنيا؟ [مغلق
https://stackoverflow.com/questions/292732
-
08-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أرغب في تشفير أجزاء المصادقة والتسجيل في موقع الويب الخاص بي (لسبب واضح). هذا الموقع حاليًا وموقعًا أقدم ، حيث بدأت بعض الأصدقاء في المدرسة المتوسطة وما زلت نستخدمها اليوم. قد أكون أو لا أسجلها لتكون منظمة غير ربحية في المستقبل القريب ، ولكن في كلتا الحالتين ، فإن CA يكلف الأموال ولا تملك المنظمة أيًا من طلاب الجامعات.
Verisign غير معقول وجواددي هو 30 دولارًا في السنة. Godaddy ليس غير معقول للغاية ، وأعتقد أن شهاداتهم مقبولة من قبل معظم متصفحات الويب. الشيء مع GoDaddy هو أنني لا أعرف لماذا لديهم منتجات SSL مختلفة (أي: لماذا لا يتم التحقق مني؟ هل هذا له أي آثار على الشهادة وكيف يعاملها المتصفح إذا كان يحتوي فقط على اسم مجال ؟)
أيضا ، هل هناك مشكلة في استخدام الشهادة الخاصة بي؟ هل يمكن أن تكون صفحة تسجيل الدخول HTTP ، ولديها سطر يوضح أنني أستخدم شهادة موقعة ذاتيًا وهنا هي بصمة ثم نشر النموذج إلى صفحة HTTPS؟ طريقة Safari ليست سيئة للغاية أو تبدو مخيفة للغاية. ومع ذلك ، أخشى أن تخيف طريقة Firefox 3 للناس ويعطيني الكثير من رسائل البريد الإلكتروني التي تقول إن موقعي يتم اختراقه أو شيء من هذا القبيل. لا أعرف كيف يستجيب IE لأشتقارات موقعة ذاتيًا. (هناك أيضًا مسألة سبب دفع ثمن شيء يمكنني خلقه بنفسي دون جهد ، لكنني لن أشكل الجزء الفلسفي منه ، هذا سؤال أكثر عملية.)
باختصار ، هل أعطي Godaddy 30 دولارًا في السنة أم أني فقط أخبر الناس في فقرة صغيرة بما أفعله وأعطي القلائل الذين يريدون بالفعل بصمات الأصابع؟
تحرير: البعض في منتدى كنت أقرأ لمزيد من المعلومات ذكروا أن Godaddy Certs يتم إعطاؤها فقط إذا كان على خادم Godaddy ، وهو هذا ليس كذلك. شيئان: (1) هل هذا صحيح؟ وهناك CA آخرون في نفس السعر تقريبًا ، لذلك يجب أن تكون الحجة هي نفسها.
المحلول
شهادة SSL تحل غرضين: تشفير حركة المرور (لتبادل مفتاح RSA ، على الأقل) والتحقق من الثقة. كما تعلمون ، يمكنك تشفير حركة المرور مع (أو بدون ، إذا كنا نتحدث SSL 3.0 أو TLS) أي شهادة توقيع ذاتيا. لكن الثقة يتم من خلال سلسلة من الشهادات. لا أعرفك ، لكنني أثق في Verisign (أو على الأقل تقوم Microsoft ، لأنهم قد دفعوا الكثير من المال لتثبيتها في أنظمة التشغيل الخاصة بهم افتراضيًا) ، ومنذ يثق بك Verisign ، ثم أثق بك جدا. نتيجة لذلك ، لا يوجد تحذير مخيف عندما أذهب إلى صفحة SSL هذه في متصفح الويب الخاص بي لأن شخصًا ما أثق به قال أنك من أنت.
بشكل عام ، كلما كانت الشهادة أكثر تكلفة ، زاد التحقيق الذي تقوم به سلطة شهادة الإصدار. لذلك بالنسبة لشهادات التحقق من الصحة الموسعة ، يتعين على المطلبين تقديم المزيد من المستندات لإثبات أنهم من يقولون إنهم ، وفي المقابل يحصلون على شريط أخضر مشرق وسعيد في متصفحات الويب الحديثة (أعتقد أن Safari لا يفعل أي شيء مع انها حتى الآن).
أخيرًا ، تذهب بعض الشركات مع الأولاد الكبار مثل Verisign بحتة لاسم العلامة التجارية وحدها ؛ إنهم يعلمون أن عملائهم قد سمعوا على الأقل عن Verisign وأنه بالنسبة للأشخاص الذين يتسوقون في متجرهم على الإنترنت ، فإن ختمهم يبدو أقل بقليل من كرة الرسم من Godaddy.
إذا لم تكن العلامة التجارية مهمة بالنسبة لك أو إذا لم يكن موقعك عرضة لهجمات التصيد ، فإن أرخص شهادة SSL التي يمكنك شراءها والتي تم تثبيتها في معظم متصفحات الويب بشكل افتراضي ستكون جيدة. عادةً ما يكون التحقق الوحيد هو أنه يجب أن تكون قادرًا على الرد على بريد إلكتروني يتم إرساله إلى جهة الاتصال الإدارية لـ DNS ، وبالتالي "تثبت" أنك "تملك" اسم المجال هذا.
يمكنك استخدام شهادات الرخيصة O على خوادم غير Godaddy ، بالتأكيد ، ولكن ربما يتعين عليك تثبيت شهادة وسيطة على الخادم أولاً. هذه شهادة تقع بين شهادة رخيصة-O 30 دولارًا وشهادة جذر Godaddy "Deal Real". ستكون متصفحات الويب التي تزور موقعك مثل "هم ، يبدو أن هذا تم توقيعه مع وسيط ، هل حصلت على ذلك؟" أيّ يستوجب قد يستلزم رحلة إضافية. ولكن بعد ذلك سوف تطلب الوسيطة من الخادم الخاص بك ، وترى أنه يرفع إلى شهادة جذر موثوق بها تعرف عنها ، وليس هناك مشكلة.
ولكن إذا لم يُسمح لك بتثبيت الوسيط على الخادم الخاص بك (كما هو الحال في سيناريو الاستضافة المشتركة) ، فأنت محظوظ. هذا هو السبب في أن معظم الناس يقولون إن Godaddy Certs لا يمكن استخدامها على الخوادم غير Godaddy. ليس صحيحا ، ولكن صحيح بما يكفي للعديد من السيناريوهات.
(في العمل ، نستخدم شهادة comodo لمتجرنا على الإنترنت ، وشهادة Godaddy $ 30 $ لتأمين الاتصال الداخلي بقاعدة البيانات.)
تحرير بخط مائل لتعكس توضيحات إريكسون الثاقبة أدناه. تعلم شيئًا جديدًا كل يوم!
نصائح أخرى
هناك اعتقاد خاطئ شائع بأن الشهادات الموقعة ذاتياً أقل أمانًا بطبيعتها من تلك التي تباعها CA التجارية مثل Godaddy و Verisign ، وأنك يجب أن تعيش مع تحذيرات/استثناءات للمتصفح إذا كنت تستخدمها ؛ هذا غير صحيح.
إذا قمت بتوزيع شهادة موقعة ذاتيًا (أو CA CERT ، كما اقترح Bobince) وتثبيتها في المتصفحات التي ستستخدم موقعك, ، إنها آمنة تمامًا مثل تلك التي تم شراؤها وهي ليست عرضة للهجمات في الوسط وتزوير شهادة. من الواضح أن هذا يعني أنه من الممكن فقط أن يحتاج عدد قليل من الأشخاص فقط إلى الوصول إلى موقعك (على سبيل المثال ، التطبيقات الداخلية ، والمدونات الشخصية ، وما إلى ذلك).
من أجل زيادة الوعي وتشجيع زملائه المدونين الصغار مثلي لحماية أنفسهم ، كتبت برنامجًا تعليميًا للمبتدئين يفسر المفاهيم الكامنة وراء الشهادات وكيفية إنشاء الشهادة الموقعة ذاتيًا واستخدامها بأمان (كاملة مع عينات التعليمات البرمجية ولقطات الشاشة) هنا.
احصل على شهادة من دعونا نشفر ، CA مجاني في هذا العقد الجديد ، والذي يدعمه المتصفحات على نطاق واسع.
لم أجربهم بعد ، لكن StartCom تم ذكره في أ الرد على سؤال مماثل. يبدو أنه يمكنك الحصول على شهادة سنة واحدة مجانًا ، ويتم قبولها بواسطة Firefox 3.
حتى لو كان عليك الدفع ، أود أن أقترح استخدام CA بدلاً من الشهادات الموقعة ذاتيًا. لن يرى بعض الأشخاص تفسيرك ، ويمكن لموقع مزيف نشر بصمة شهادة المزيفة الخاصة بهم تمامًا كما تقترح. أشك في أن المستخدم العادي يعرف ماهية بصمة الشهادة أو كيفية التحقق من ذلك.
بدلاً من إنشاء شهادة توقيع ذاتيًا ، قم بإنشاء CA موقعة ذاتيًا ، وتوقيع شهادة HTTPS الخاصة بك مع ذلك. من الأسهل مطالبة المستخدمين بتثبيت CA من شهادة خادم واحدة ، ويمكنك إنشاء شهادات جديدة (على سبيل المثال ، للنطاقات الفرعية ، أو لتحديث Certs منتهية الصلاحية) دون أن يضطر المستخدمون إلى تثبيت CERT خادم مرة أخرى.
يمكنك بعد ذلك تحديد ما إذا كان الأمر يستحق 30 دولارًا للتبديل من شهادة موقعة من قبل CA إلى نفس الشهادة التي وقعت عليها Godaddy أو من.
في كلتا الحالتين ، ليس لديك صفحة HTTP مع نموذج تم نشره على HTTPS. لا يمكن للمستخدم أن يرى أن هذا هو المكان ؛ سيتعين عليهم عرض المصدر للتحقق من النموذج لم يتم اختطافه للتوجيه إلى مكان آخر ولن يفعل ذلك ذلك. يجب أن يكون لديك صفحة أمامية HTTP مع رابط CA ورابط منفصل إلى نموذج تسجيل الدخول HTTPS.
إن مطالبة المستخدمين بتثبيت CA باستخدام شهادة تم تنزيلها عبر Plain HTTP أمر شقي بعض الشيء: إذا كان هناك رجل في الوسط ، فيمكنهم استبدال CA الخاص بك على الطيران واختطاف اتصالات HTTPS التي تلت ذلك. إن فرص حدوث ذلك بالفعل منخفضة للغاية حيث يجب أن يكون هجومًا مستهدفًا بدلاً من استنشاق الأوتوماتيكي القديم ، ولكن يجب عليك حقًا استضافة رابط تنزيل CA على بعض الخدمات المحمية HTTPS الأخرى.
قبول العملاء مسألة فقط يمكنك الإجابة عليها ، ومعرفة من هم المستخدمون. بالتأكيد واجهة Firefox مخيفة للغاية. إذا انخفضت CAS مثل Godaddy إلى 30 دولارًا هذه الأيام ، فربما أذهب إليها ؛ كانت تستخدم الكثير ، أسوأ بكثير.
بافتراض الدعم على المتصفحات القديمة والمتخصصة ليس مشكلة كبيرة ، فقط اذهب إلى أرخص CA. أنت مفترض لكي تدفع للحصول على CA بشكل صحيح ، تحقق من من أنت ، ولكن في الممارسة العملية ، هذه ليست الطريقة التي تعمل بها ولم تكن أبدًا ، لذا فإن دفع المزيد من الشيكات الأكثر شمولية لا يحصل على شيء تقريبًا. أسعار Verisign الابتزاز البقاء على قيد الحياة من خلال القصور الذاتي للشركات وحدها.
CAS موجودة لتلقي المال لفعل أي شيء سوى امتلاك بضع مئات من البتات من المفاتيح الخاصة. تم نقل الأشياء التعريف الهوية التي كان من المفترض أن تكون جزءًا من تفويض CA إلى شهادات EV. التي هي أكثر من التمزق. مرح.
شهادات التوقيع الذاتي غير آمنة. نعم حقا. "على الأقل مشفر" لا يساعد على الإطلاق. من المقالة:
تشفير المستوى العالمي * مصادقة صفر = أمان صفر
إذا كان موقع الويب الخاص بك من أجلك وعدد قليل من أصدقائك ، فيمكنك إنشاء CA الخاص بك وتوزيع شهادتك على الأصدقاء.
وإلا إما الحصول على شهادة من كاليفورنيا المعروفة (مجانا) أو لا تهتم بالشهادات الموقعة ذاتيا على الإطلاق ، لأن كل ما ستحصل عليه هو خاطئة شعور بالأمان.
لماذا فقط حركة المرور المشفرة غير آمنة؟ أنت تسمح دائمًا للطرف الآخر بفك تشفير حركة المرور الخاصة بك (يجب عليك ذلك ، وإلا فإنك سترسل رطبة).
إذا لم تتحقق من من هو على الطرف الآخر ، فأنت تسمح لأي شخص بفك تشفير حركة المرور الخاصة بك. لا تحدث فرقًا إذا قمت بإرسال بيانات إلى مهاجم بشكل آمن أو غير آمن - يحصل المهاجم على البيانات على أي حال.
أنا لا أتحدث عن التحقق مما إذا كان EG Paypal.com ينتمي إلى مؤسسة مالية جديرة بالثقة (هذه مشكلة أكبر). أنا أتحدث عن التحقق مما إذا كنت ترسل البيانات إلى ال paypal.com ، أو فقط إلى سيارة قاب قوسين أو أدنى ترسل شهادة تقول "نعم ، أنا مثل paypal.com تمامًا ولديك كلامي أنه صحيح!"
لقد انهارت أخيرًا وتبديل الخادم الخاص بي من التوقيع الذاتي إلى شهادة Godaddy الليلة الماضية ولم تكن صفقة كبيرة ، بصرف النظر عن عمليةهم غير واضحة قدر الإمكان. 30 دولارًا في السنة هي تكلفة معقولة واستخدام الشهادة على خادم غير Godaddy ليس مشكلة.
إذا كنت ستتحدث SSL للجمهور ، فاحصل على شهادة حقيقية موقعة من قبل CA حقيقي. حتى إذا كنت تعمل للحصول على الحد الأدنى للأجور ، فستوفر أكثر من 30 دولارًا في السنة من الوقت الضائع في التعامل مع مخاوف المستخدم أو عدم الثقة ، وهذا حتى قبل التفكير في أي إيرادات ضائعة محتملة بسبب خوفهم من موقعك.
للإجابة على سؤالك حول Internet Explorer ، سيحذر المستخدمين من أي موقع لا يتم توقيع شهادته بواسطة CA المعروفة (للأسف "CA.). ويشمل ذلك لمنصب المرجع المصدق الخاص بك والشهادات الموقعة ذاتيا. كما أنه سيحقق تحذيرًا إذا لم يكن المجال في الشهادة هو الذي يتم الوصول إليه.
إذا كان هذا موقعًا خاصًا ، فقد لا تهتم طالما أنك تحصل على تشفير على مستوى الارتباط (وهل أنت خائف من شخص ما يستنشق حركة المرور الخاصة بك؟). إذا كان هناك وصول عام وتريد SSL ، فاحصل على شهادة موقعة من CA معترف بها ، كما نصح آخرون بالفعل.
إذا كانت تلك الشاحنة قاب قوسين أو أدنى قادرة على اختطاف اتصال الإنترنت الخاص بك بالفعل ، فستواجه مشاكل أسوأ من الشهادات الموقعة ذاتياً.
يجب على البنوك استخدام شهادات العميل للمصادقة. هذا من شأنه أن يجعل من المستحيل على تلك الشاحنة أن تفعل أي شيء .... لأنه لا يحتوي على المفتاح الخاص للبنوك.
الشركات الموقعة ذاتيا على ما يرام ... على افتراض أن اتصال الإنترنت الخاص بك لم يتم اختراقه. إذا كان اتصالك لديها تعرضت للخطر ... ربما كنت تعاني من ذلك على أي حال.
يقدم Godaddy شهادات SSL مقابل 15 دولارًا سنويًا عبر هذا الرابط Buy Now على هذا الموقع. لا تقم بتطبيق رموز القسيمة لأن السعر يعود إلى 30 دولارًا في السنة وخصومات من هناك.
http://www.sslshopper.com/ssl-certificate-comparison.html؟ids=17،25،34،37،62
