¿Certificado SSL autofirmado o CA? [cerrado]

Question

Me gustaría cifrar las partes de autenticación y registro de mi sitio web (por razones obvias). Este sitio es actualmente un sitio más antiguo que algunos amigos y yo comenzamos en la escuela secundaria y todavía usamos hoy. Puedo o no registrarlo para ser una organización sin fines de lucro en el futuro cercano, pero de cualquier manera, una CA cuesta dinero y la organización no tiene ninguno y actualmente somos estudiantes universitarios.

Verisign no es razonable y GoDaddy cuesta $ 30 / año. GoDaddy no es demasiado irrazonable, y creo que sus certificados son aceptados por la mayoría de los navegadores web. Lo que pasa con GoDaddy es que no sé por qué tienen diferentes productos SSL (es decir, ¿por qué es barato no verificarme? ¿Esto tiene alguna implicación en el certificado y cómo el navegador lo trata si solo contiene un nombre de dominio ?)

Además, ¿hay algún problema con el uso de mi propio certificado? ¿Podría la página de inicio de sesión ser http, y tener una línea que indique que uso un certificado autofirmado y aquí está su huella digital y luego publicar el formulario en una página https? El método de Safari no es tan malo ni suena demasiado aterrador. Sin embargo, me temo que el método de Firefox 3 asustará a la gente y me dará una tonelada de correos electrónicos diciendo que mi sitio está siendo pirateado o algo así. No sé cómo responde IE a los certificados autofirmados. (También está la cuestión de por qué pagar por algo que puedo crear sin esfuerzo, pero no voy a plantear la parte filosófica, esta es una pregunta más práctica).

En resumen, ¿le doy a GoDaddy $ 30 al año o solo le digo a la gente en un pequeño párrafo lo que estoy haciendo y le doy a las pocas personas que realmente querrán mi huella digital?

Editar: Algunos en un foro que estaba leyendo para obtener más información mencionaron que los certificados de GoDaddy solo se dan si está en un servidor GoDaddy, lo cual no es así. Dos cosas: (1) ¿es esto cierto? y hay otras entidades emisoras de certificados al mismo precio, por lo que el argumento debería ser el mismo.

Answer 1

El certificado SSL resuelve dos propósitos: cifrado del tráfico (para el intercambio de claves RSA, al menos) y verificación de confianza. Como sabe, puede cifrar el tráfico con (o sin, si hablamos SSL 3.0 o TLS) cualquier certificado autofirmado. Pero la confianza se logra a través de una cadena de certificados. No te conozco, pero confío en verisign (o al menos Microsoft sí, porque se les ha pagado mucho dinero para instalarlo en sus sistemas operativos de forma predeterminada), y dado que Verisign confía en ti, entonces confío en ti también. Como resultado, no hay una advertencia aterradora cuando voy a una página SSL de este tipo en mi navegador web porque alguien en quien confío ha dicho que eres quien eres.

Generalmente, cuanto más caro es el certificado, más investigación realiza la autoridad emisora ??del certificado. Por lo tanto, para los certificados de Validación Extendida, los solicitantes deben presentar más documentos para demostrar que son quienes dicen ser, y a cambio obtienen una barra verde brillante y feliz en los navegadores web modernos (creo que Safari no hace nada con bastante todavía).

Finalmente, algunas compañías van con los grandes como Verisign solo por la marca; saben que sus clientes al menos han oído hablar de Verisign y, por lo tanto, para las personas que compran en su tienda en línea, su sello se ve un poco menos boceto que, por ejemplo, GoDaddy's.

Si la marca no es importante para usted o si su sitio no es propenso a los ataques de phishing, entonces el certificado SSL más barato que puede comprar y que tiene su raíz instalada en la mayoría de los navegadores web estará bien. Por lo general, la única verificación que se realiza es que debe poder responder a un correo electrónico enviado al contacto administrativo del DNS, y de este modo "probar". que usted '' posee '' ese nombre de dominio.

Puede usar esos certificados baratos en servidores que no son GoDaddy, claro, pero probablemente primero tenga que instalar un certificado intermedio en el servidor. Este es un certificado que se encuentra entre su certificado barato de $ 30 y el "trato real" de GoDaddy certificado raíz Los navegadores web que visiten su sitio serán como "hmm, parece que esto se firmó con un intermediario, ¿entendido?" que requiere puede requerir un viaje adicional. Pero luego solicitará el intermediario de su servidor, verá que se encadena a un certificado raíz de confianza que conoce, y no hay ningún problema.

Pero si no puede instalar el intermedio en su servidor (como en un escenario de alojamiento compartido), entonces no tiene suerte. Esta es la razón por la cual la mayoría de la gente dice que los certificados GoDaddy no se pueden usar en servidores que no son GoDaddy. No es cierto, pero es lo suficientemente cierto para muchos escenarios.

(En el trabajo utilizamos un certificado de Comodo para nuestra tienda en línea y un certificado GoDaddy de $ 30 para asegurar la conexión interna a la base de datos).

Editado en cursiva para reflejar las aclaraciones perspicaces de erickson a continuación. ¡Aprende algo nuevo todos los días!

Answer 2

Existe una idea errónea común de que los certificados autofirmados son inherentemente menos seguros que los vendidos por CA comerciales como GoDaddy y Verisign, y que debe vivir con advertencias / excepciones del navegador si las usa; esto es incorrecto .

Si distribuye de forma segura un certificado autofirmado (o un certificado de CA, como sugirió Bobince) y lo instala en los navegadores que utilizarán su sitio , es tan seguro como uno que se compra y es no vulnerable a ataques de hombre en el medio y falsificación de certificados. Obviamente, esto significa que solo es factible si solo unas pocas personas necesitan acceso seguro a su sitio (por ejemplo, aplicaciones internas, blogs personales, etc.).

En aras de aumentar la conciencia y alentar a otros bloggers pequeños como yo a protegerse, escribí un tutorial de nivel de entrada que explica los conceptos detrás de los certificados y cómo crear y usar de forma segura sus propios autofirmados. cert (completo con ejemplos de código y capturas de pantalla) aquí .

Answer 3

Obtenga un certificado de Let's Encrypt, una CA gratuita en esta nueva década, que es ampliamente compatible con los navegadores.

No los he probado todavía, pero StartCom fue mencionado en un respuesta a una pregunta similar . Aparentemente, puedes obtener un certificado de un año gratis, y Firefox 3. lo acepta

Incluso si tiene que pagar, sugeriría usar una CA en lugar de certificados autofirmados. Algunas personas no verán su explicación, y un sitio falso podría publicar la huella digital de su propio certificado falso tal como usted lo propone. Dudo que el usuario promedio sepa qué es una huella digital de certificado o cómo verificarla.

Answer 4

En lugar de crear un certificado autofirmado, cree una CA autofirmada y firme su certificado HTTPS con eso. Es más fácil pedir a los usuarios que instalen una CA que un certificado de servidor único, y puede crear nuevos certificados (por ejemplo, para subdominios o actualizar certificados caducados) sin que los usuarios tengan que volver a instalar un certificado de servidor.

Luego puede decidir si vale la pena pagar $ 30 para cambiar de un certificado firmado por su propia CA al mismo certificado firmado por GoDaddy o quien sea.

De cualquier manera, no tenga una página HTTP con un formulario publicado en HTTPS. El usuario no puede ver que es a donde va; tendrían que ver la fuente para verificar que el formulario no haya sido secuestrado para apuntar a otra parte y nadie va a hacer eso. Tendría que tener una página principal HTTP con el enlace CA y un enlace separado al formulario de inicio de sesión HTTPS.

Pedir a los usuarios que instalen una CA con un certificado descargado a través de HTTP simple es un poco travieso: si hubiera un intermediario, podrían reemplazar su CA sobre la marcha y secuestrar las conexiones HTTPS resultantes. Las posibilidades de que esto suceda realmente son bastante bajas, ya que tendría que ser un ataque dirigido en lugar de un simple olfateo automático, pero realmente debería alojar el enlace de descarga de CA en algún otro servicio protegido por HTTPS.

La aceptación del cliente es un asunto que solo usted puede responder, sabiendo quiénes son sus usuarios. Ciertamente, la interfaz de Firefox da mucho miedo. Si CAs como GoDaddy han bajado a $ 30 en estos días, probablemente lo haría; solía ser mucho, mucho peor.

Asumir que el soporte en los navegadores antiguos y de nicho no es un gran problema, solo busque la CA más barata disponible. Se supone que se supone que está pagando para que la autoridad de certificación verifique correctamente quién es usted, pero en la práctica esa no es la forma en que funciona y nunca lo ha sido, por lo que pagar extra por controles más exhaustivos no le da casi nada. Los precios exorbitantes de Verisign sobreviven solo a través de la inercia corporativa.

Las CA están allí para recibir dinero por no hacer nada más que poseer unos pocos cientos de bits de clave privada. Las cosas de verificación de identidad que se suponía que formaban parte del mandato de CA se han trasladado a certificados EV. Que son aún más una estafa. Alegría.

Answer 5

Los certificados autofirmados no son seguros . Sí, en serio. " Al menos está encriptado " No está ayudando en absoluto. Del artículo:

  

Cifrado de clase mundial * autenticación cero = seguridad cero

Si su sitio web es para usted y algunos de sus amigos, puede crear su propia CA y distribuir su certificado a sus amigos.

De lo contrario, obtenga un certificado de CA conocida ( gratis ) o no se moleste con los certificados autofirmados en absoluto, porque lo único que obtendría es una sensación de seguridad falsa .

---

¿Por qué el tráfico encriptado no es seguro? Siempre está permitiendo que el otro extremo descifre su tráfico (tiene que hacerlo, de lo contrario estaría enviando galimatías).

Si no verifica quién está en el otro extremo, está permitiendo que alguien descifre su tráfico. No hay diferencia si envía datos a un atacante de manera segura o no. - el atacante obtiene los datos de todos modos.

No estoy hablando de verificar si, p. paypal.com pertenece a una institución financiera confiable (ese es un problema mayor). Estoy hablando de verificar si está enviando datos a the paypal.com, o simplemente a una camioneta a la vuelta de la esquina que envía un certificado que dice " sí, estoy totalmente como paypal.com y tienes mi palabra de que es verdad! "

Answer 6

Anoche finalmente me quebré y cambié mi servidor de autofirmado a un certificado GoDaddy anoche y no fue un gran problema, aparte de que su proceso no fue tan claro como podría ser. $ 30 / año es un costo razonable y usar el certificado en un servidor que no sea GoDaddy no es un problema.

Si va a hablar SSL al público, obtenga un certificado real firmado por una CA real. Incluso si está trabajando por un salario mínimo, ahorrará más de $ 30 / año en tiempo perdido al tratar con los temores o la desconfianza de los usuarios, y eso es incluso antes de considerar cualquier posible pérdida de ingresos debido a que se asustan de su sitio.

Answer 7

Para responder a su pregunta sobre Internet Explorer, advertirá a los usuarios sobre cualquier sitio cuyo certificado no esté firmado por una CA conocida por IE (lamentablemente llamada "confiable"). Esto incluye para su propia CA y para certificados autofirmados. También hará una advertencia si el dominio en el certificado no es al que se accede.

Si este es un sitio privado, es posible que no le importe siempre y cuando obtenga cifrado de nivel de enlace (¿y tiene miedo de que alguien detecte su tráfico?). Si hay acceso público y desea SSL, obtenga un certificado firmado de una CA reconocida, como ya lo han aconsejado otros.

Answer 8

Si esa furgoneta a la vuelta de la esquina ya es capaz de secuestrar su conexión a Internet, tiene problemas peores que los certificados autofirmados.

Los bancos deben usar certificados de cliente para la autenticación. Eso haría imposible que esa camioneta haga algo ... ya que no tiene la clave privada del banco.

Los certificados autofirmados están perfectamente bien ... suponiendo que su conexión a Internet no se haya visto comprometida. Si su conexión ha sido comprometida ... probablemente sea perseguido de todos modos.

Answer 9

GoDaddy está dando certificados SSL por $ 15 al año a través de este enlace de compra ahora en este sitio. No aplique códigos de cupón porque el precio vuelve a $ 30 al año y descuentos a partir de ahí.

http: // www .sslshopper.com / ssl-certificate-compare.html? ids = 17,25,34,37,62