Selbst signierten SSL-Cert oder CA? [geschlossen]

Question

Ich mag die Authentifizierungs- und Registrierungs Teile meiner Webseite verschlüsselt haben (aus offensichtlichen Gründen). Diese Seite befindet sich zur Zeit und ältere Website, die einige Freunde und ich in der Mittelschule begann und noch heute verwenden. Ich kann oder es nicht registrieren kann eine Non-Profit-Organisation in der nahen Zukunft zu sein, aber so oder so, ein CA kostet Geld und die Organisation hat keine und wir sind zur Zeit College-Kids.

Verisign ist unvernünftig und GoDaddy ist $ 30 / Jahr. GoDaddy ist nicht zu unvernünftig, und ich denke, ihre certs von den meisten Web-Browsern akzeptiert werden. Die Sache mit GoDaddy ist, dass ich weiß nicht, warum sie verschiedene SSL-Produkte (dh: Warum ist es billig zu überprüfen mich nicht hat dies keine Auswirkungen auf die cert und wie der Browser es behandelt, wenn es nur einen Domain-Namen enthält? ?)

Außerdem gibt es ein Problem mit meinem eigenen cert verwenden? Könnte die Login-Seite sein http, und eine Linie haben die besagt, dass ich ein selbst signiertes Zertifikat verwenden, und hier ist es Fingerabdruck ist und dann das Formular auf eine https-Seite veröffentlichen? Safari-Methode ist nicht allzu schlecht oder klingen zu gruselig. Ich fürchte aber, dass Firefox 3 Methode Menschen abschrecken und geben Sie mir eine Tonne von E-Mail zu sagen, dass meine Website gehackt oder etwas wird. Ich weiß nicht, wie IE reagiert auf selbstsignierte Zertifikate. (Es gibt auch die Frage, warum zahlen für etwas, das ich mich ohne viel Aufwand erstellen können, aber ich werde nicht den philosophischen Teil davon stellen, ist dies eine praktische Frage.)

Insgesamt gebe ich GoDaddy 30 $ pro Jahr oder muss ich nur die Menschen in einem kleinen Absatz sagen, was ich tue, und die wenigen Menschen geben, die tatsächlich wollen, meinen Fingerabdruck es?

Edit: Einige auf einem Forum wurde ich für weitere Informationen Lesen erwähnt, dass GoDaddy certs nur gegeben werden, wenn es auf einem GoDaddy-Server ist, der dies nicht. Zwei Dinge: (1) ist das wahr? und es gibt andere CAs bei etwa dem gleichen Preis, so das Argument sollte immer noch die gleiche sein.

Answer 1

Das SSL-Zertifikat löst zwei Zwecke: Verschlüsselung des Verkehrs (für RSA-Schlüsselaustausch, mindestens) und Überprüfung des Vertrauens. Wie Sie wissen, können Sie den Verkehr mit (oder ohne, wenn wir SSL 3.0 oder TLS im Gespräch sind) verschlüsseln jeder selbst signiertes Zertifikat. Aber Vertrauen wird durch eine Kette von Zertifikaten erreicht. Ich kenne Sie nicht, aber ich traue verisign (oder zumindest Microsoft tut, weil sie viel Geld bezahlt worden bin, um es in ihren Betriebssystemen standardmäßig installiert werden), und da Verisign Sie vertraut, dann vertraue ich dir zu. Als Ergebnis gibt es keine beängstigend Warnung, wenn ich auf eine solche SSL-Seite in meinem Web-Browser zu gehen, weil jemand, dass ich sagte, vertrauen Sie, wer Sie sind.

Im Allgemeinen, desto teurer wird das Zertifikat, untersuchen die mehr, dass die ausstellende Zertifizierungsstelle der Fall ist. Also für die Extended Validation-Zertifikate haben die Antragsteller mehr Dokumente vorzulegen um zu beweisen, dass sie sind, wer sie sagen, sie sind, und im Gegenzug erhalten sie einen hellen, glücklich grünen Balken in der modernen Web-Browser (ich glaube, Safari tut nichts mit es durchaus noch) nicht.

Schließlich gehen einige Unternehmen mit den großen Jungs wie Verisign rein für die Markennamen allein; sie wissen, dass ihre Kunden zumindest von Verisign gehört haben und damit für die Menschen auf ihrem Online-Shop einkaufen, ihre Dichtung sieht ein wenig weniger skizzen Ball als etwa GoDaddys.

Wenn das Branding nicht für Sie wichtig ist oder wenn Ihre Website auf Phishing-Angriffe nicht anfällig ist, dann das günstigste SSL-Zertifikat, die Sie kaufen können, dass seine Wurzel in den meisten Web-Browsern standardmäßig wird gut installiert sein. Üblicherweise erfolgt die einzige Überprüfung ist, dass Sie in der Lage sein müssen, um eine E-Mail an den DNS-Verwaltungs Kontakt gesendet, um zu antworten, also „beweisen“, dass Sie „eigene“, dass Domain-Namen.

Sie können diese billig-o-Zertifikate auf nicht-GoDaddy-Server verwenden, sicher, aber Sie werden wahrscheinlich zuerst ein Zwischenzertifikat auf dem Server installieren. Dies ist ein Zertifikat, das zwischen billig-o $ 30-Zertifikat und dem GoDaddy „real deal“ Stammzertifikat sitzt. Web-Browser Ihrer Website besuchen wird wie „hmm, wie sieht das mit einem Zwischen unterzeichnet wurde, erhalten Sie das?“ die erfordert erfordert eine zusätzliche Fahrt. Aber dann wird es die Zwischen vom Server anfordern, sehen, dass es Ketten bis zu einem vertrauenswürdigen Root-Zertifikat, dass sie kennt, und es gibt kein Problem.

Aber wenn Sie nicht erlaubt sind der Zwischen auf Ihrem Server (wie in einem Shared-Hosting-Szenario) zu installieren, dann sind Sie kein Glück. Dies ist, warum die meisten Leute sagen, dass GoDaddy certs nicht auf nicht-GoDaddy-Server verwendet werden. Nicht wahr, aber wahr genug für viele Szenarien.

(Bei der Arbeit verwenden wir ein Comodo Zertifikat für unseren Online-Shop und ein cheapo $ 30 GoDaddy cert die interne Verbindung zur Datenbank zu sichern.)

Edited kursiv Ericksons aufschlussreiche Erläuterungen unten zu reflektieren. Erfahren Sie jeden Tag etwas Neues!

Answer 2

Es ist ein verbreiteter Irrtum, dass selbst signierten Zertifikate sind von Natur aus weniger sicher als die von kommerziellen CAs verkauft wie GoDaddy und Verisign, und dass Sie mit Browser-Warnungen leben müssen / Ausnahmen, wenn Sie sie verwenden; das ist falsch .

Wenn Sie sicher ein selbst signiertes Zertifikat verteilen (oder CA-Zertifikat, wie bobince vorgeschlagen) und installieren Sie es in den Browsern, die Ihre Website verwenden , es ist nur so sicher wie eine, die erworben hat und nicht anfällig für Man-in-the-Middle-Angriffe und cert Fälschung. Offensichtlich bedeutet dies, dass es nur möglich ist, wenn nur wenige Menschen auf Ihrer Website sicheren Zugang benötigen (zum Beispiel interne Anwendungen, persönliche Blogs, usw.).

Im Interesse der Sensibilisierung und Förderung der Kerl kleine Zeit Blogger wie mich selbst zu schützen, habe ich eine Entry-Level-Tutorial geschrieben, die die Konzepte hinter Zertifikate und wie man sicher erstellen und verwenden Sie Ihre eigene erklärt selbstsignierten cert (komplett mit Codebeispielen und Screenshots) hier .

Answer 3

ein Zertifikat von Lassen sie verschlüsseln, eine kostenlosen CA dieses neue Jahrzehnt, die weit von den Browsern unterstützt wird.

Ich habe sie noch nicht ausprobiert, aber StartCom wurde in einem Antwort auf eine ähnliche Frage . Anscheinend kann man ein einjähriges Zertifikat kostenlos bekommen, und es wird akzeptiert von Firefox 3.

Auch wenn Sie zu zahlen haben, würde ich vorschlagen, eine CA, anstatt selbst signierten Zertifikaten. Einige Leute werden nicht Ihre Erklärung sehen, und eine gefälschte Seite könnte ihr eigenes gefälschtes Zertifikat Fingerabdruck hinterlassen wie Sie vorschlagen. Ich bezweifle, dass der durchschnittliche Benutzer weiß, was ein Zertifikat Fingerabdruck ist oder wie es zu überprüfen.

Answer 4

Statt ein selbst signiertes Zertifikat zu erstellen, erstellen Sie ein selbst signiertes CA, und unterschreiben Sie Ihren HTTPS-Zertifikat mit dem. Es ist einfacher, Benutzer zu bitten, eine CA als ein einziger Server cert zu installieren, und Sie können neue Zertifikate erstellen (z. B. für Subdomains oder abgelaufene Zertifikate zu aktualisieren), ohne dass Benutzer einen Server Cert wieder zu installieren.

Sie können dann später entscheiden, ob es sich lohnt, die $ 30 von einem cert durch Ihre eigene CA zu demselben cert unterzeichnet von GoDaddy oder wer auch immer unterzeichnet wechseln.

So oder so, hat nicht eine HTTP-Seite mit einer HTTPS geschrieben Form. Der Benutzer kann nicht sehen, dass das ist, wohin es geht; sie müßten Quelle sehen zu prüfen hat das Formular nicht an anderer Stelle entführt worden zu zeigen und niemand hat das tun wird. Sie würden eine HTTP-Titelseite mit dem CA-Link und einem separaten Link auf das HTTPS-Login-Formular haben müssen.

Benutzer Fragt ein CA mit einem Zertifikat über einfaches HTTP heruntergeladen zu installieren, ist ein bisschen frech: wenn es einen gab man-in-the-Middle-sie Ihre CA on the fly ersetzen könnten und die sich daraus ergebenden HTTPS-Verbindungen kapern. Die Chancen, dass dies tatsächlich geschieht, sind sehr gering, da es einen gezielter Angriff sein müßte als zu normalen alten Gegensatz automatisierter Schnupfen, aber wirklich sollten Sie den CA Download-Link auf einem anderen HTTPS-geschützten Dienst zu bewirten.

Die Kundenakzeptanz ist eine Sache nur Sie beantworten können, zu wissen, wer die Benutzer sind. Gewiß ist die Firefox-Schnittstelle ist äußerst beängstigend. Wenn CAs wie GoDaddy sind bis auf 30 $ in diesen Tagen ich wahrscheinlich nicht gehen würde; es früher viel sein, viel schlimmer.

Unter der Annahme, Unterstützung auf alten und Nischen-Browser ist nicht viel von einem Problem, gehen Sie einfach für die billigsten CA zur Verfügung. Sie sind sollte zu zahlen die haben CA richtig zu überprüfen, wer Sie sind, aber in der Praxis, dass nicht so, wie es funktioniert und es nie gewesen, so für eine gründlichere Kontrollen mehr zu bezahlen, bekommt man so gut wie nichts. Verisign Wucherpreisen überleben durch Corporate Trägheit allein.

CAs gibt es Geld zu erhalten nichts zu tun, aber ein paar hundert Bits privater Schlüssel besitzen. Die Identitätsverifizierungs Sachen, die angeblich Teil des CA Mandat haben, um EV-Zertifikate verschoben wurde. Welche sind noch mehr ein Abzocke. Joy.

Answer 5

Selbst signierte Zertifikate sind unsicher . Ja wirklich. „Wenigstens ist es verschlüsselt“ ist überhaupt nicht zu helfen. Aus dem Artikel:

  

World-Class-Verschlüsselung * Null-Authentifizierung = null Sicherheit

Wenn Ihre Website für Sie und einige Ihrer Freunde, dann könnten Sie Ihre eigene CA erstellen und Ihr Zertifikat an Freunde verteilen.

erhalten Ansonsten entweder ein Zertifikat von bekannten CA ( kostenlos ) oder nicht die Mühe mit selbst signierten Zertifikaten überhaupt, weil alles, was Sie bekommen würden, ist ein false Gefühl der Sicherheit.

---

Warum gerade verschlüsselter Datenverkehr nicht sicher ist? Du bist immer das andere Ende so dass Sie Ihren Traffic entschlüsseln (Sie müssen, sonst würden Sie das Senden Kauderwelsch werden).

Wenn Sie nicht überprüfen, wer am anderen Ende ist, so dass Sie jemand Ihren Traffic zu entschlüsseln. Es macht keinen Unterschied, ob Sie die Daten an einen Angreifer sicher oder nicht sicher zu versenden -. die Angreifer die Daten bekommen sowieso

Ich spreche nicht über die Überprüfung, ob z.B. paypal.com gehört zu einem vertrauenswürdigen Finanzinstitut (das ist ein größeres Problem). Ich spreche über die Überprüfung, ob Sie das Senden von Daten zu die paypal.com, oder einfach nur auf einen van um die Ecke, die ein Zertifikat sendet sagen "ja , ich bin wie total paypal.com und Sie haben mein Wort, dass es wahr ist! "

Answer 6

Ich brach nur schließlich nach unten und schaltete meinen Server von selbstsignierten zu einem GoDaddy cert gestern Abend und es war nicht so große Sache, abgesehen von ihrem Prozess nicht so klar ist, wie es sein könnte. $ 30 / Jahr ist ein vernünftig Kosten und mit dem Zertifikat auf einem Nicht-GoDaddy-Server ist kein Thema.

Wenn Sie vorhaben, SSL für die Öffentlichkeit zu sprechen, eine echte cert von einem echten CA signiert bekommen Auch wenn Sie für einen Mindestlohn arbeiten, werden Sie mehr als 30 $ / Jahr im Wert von verschwendeter Zeit sparen mit Benutzern Ängsten oder Misstrauen im Umgang, und das ist, noch bevor ein möglichen Umsatzverluste aufgrund ihnen unter Berücksichtigung von Ihrer Website wurde verscheucht.

Answer 7

Um Ihre Frage zu beantworten, Internet Explorer, es Nutzern über jede Website, dessen Zertifikat von einer IE-nicht bekannt ist, unterzeichnet warnen wird (leider „trusted“ genannt) CA. Dazu gehören für die eigene CA und für selbstsignierte Zertifikate. Es wird auch eine Warnung machen, wenn die Domäne in dem Zertifikat nicht derjenige ist, zugegriffen wird.

Wenn dies eine private Seite, können Sie so lange egal, wie Sie Link-Level-Verschlüsselung werden immer (und sind Sie, dass Angst vor jemandem Ihren Traffic Sniffing?). Wenn es den Zugang der Öffentlichkeit ist und Sie SSL wollen, dann ein signiertes Zertifikat von einer anerkannten CA erhalten, wie andere bereits gesagt haben.

Answer 8

Wenn das van um die Ecke von Hijacking Ihre Internetverbindung bereits in der Lage ist, Sie haben schlimmere Probleme als selbstsignierten Zertifikaten.

Die Banken sollten Client-Zertifikate für die Authentifizierung verwenden. Das würde es unmöglich machen, dass van nichts zu tun .... da es nicht die Bänke private Schlüssel hat.

Selbst signierte Zertifikate sind völlig in Ordnung ... vorausgesetzt, Ihre Internetverbindung nicht beeinträchtigt wurde. Wenn Ihre Verbindung hat kompromittiert ... du bist sowieso wahrscheinlich verbissen.

Answer 9

GoDaddy schenkt SSL-Zertifikate für 15 $ pro Jahr über diese den Kauf jetzt auf dieser Seite verlinken. Nicht Gutscheincodes gelten, denn dann geht der Preis wieder auf 30 $ pro Jahr und Rabatte von dort aus.

http: // www .sslshopper.com / ssl-Zertifikat-comparison.html? ids = 17,25,34,37,62