Auto-signé SSL Cert ou CA? [fermé]

Question

J'aimerais que les parties authentification et enregistrement de mon site Web soient cryptées (pour des raisons évidentes). Ce site est actuellement un site plus ancien que certains amis et moi avons commencé au collège et que nous utilisons encore aujourd'hui. Je pourrai ou non l'enregistrer comme organisation à but non lucratif dans un proche avenir, mais dans tous les cas, une autorité de certification coûte de l'argent et l'organisation n'en a pas, et nous sommes actuellement des étudiants au niveau collégial.

Verisign est déraisonnable et GoDaddy coûte 30 $ / an. GoDaddy n'est pas trop déraisonnable, et je pense que leurs certificats sont acceptés par la plupart des navigateurs Web. Le problème avec GoDaddy est que je ne sais pas pourquoi ils ont des produits SSL différents (c’est-à-dire: pourquoi est-il avantageux de ne pas me vérifier? Cela at-il une incidence sur le certificat et sur la manière dont le navigateur le traite s’il ne contient qu’un nom de domaine? ?)

De plus, l’utilisation de mon propre CERT pose-t-elle un problème? La page de connexion peut-elle être http et comporter une ligne indiquant que j'utilise un certificat auto-signé et voici son empreinte digitale, puis publie le formulaire sur une page https? La méthode de Safari n'est ni trop mauvaise ni trop effrayante. Cependant, je crains que la méthode de firefox 3 effraie les gens et me donne une tonne de courriels me disant que mon site est piraté ou quelque chose du genre. Je ne sais pas comment IE réagit aux certificats auto-signés. (Il y a aussi la question de savoir pourquoi payer pour quelque chose que je peux créer moi-même sans effort, mais je ne vais pas en poser le volet philosophique, c'est une question plus pratique.)

En résumé, est-ce que je donne à GoDaddy 30 dollars par an ou est-ce que je dis simplement aux gens dans un petit paragraphe ce que je fais et que je donne aux quelques personnes qui voudront réellement mon empreinte digitale?

Modifier: Certains sur un forum que je lisais pour plus d’informations mentionnent que les certificats GoDaddy ne sont donnés que s’il s’agit d’un serveur GoDaddy, ce qui n’est pas le cas. Deux choses: (1) est-ce vrai? et il y a d'autres CA à peu près au même prix, l'argument devrait donc rester le même.

Answer 1

Le certificat SSL répond à deux objectifs: le chiffrement du trafic (pour l’échange de clé RSA, au moins) et la vérification de la confiance. Comme vous le savez, vous pouvez chiffrer le trafic avec (ou sans, si nous parlons de SSL 3.0 ou TLS) n’importe quel certificat auto-signé. Mais la confiance passe par une chaîne de certificats. Je ne vous connais pas, mais je me fie à Verisign (ou du moins à Microsoft, car ils ont été payés beaucoup par défaut pour l’installer par défaut sur leur système d’exploitation), et comme Verisign vous fait confiance, je vous fais confiance. aussi. En conséquence, il n'y a pas d'avertissement effrayant lorsque je vais sur une page SSL de ce type dans mon navigateur Web, car quelqu'un en qui j'ai confiance a dit que vous êtes qui vous êtes.

En règle générale, plus le certificat est coûteux, plus l'autorité de certification émettrice enquête. Ainsi, pour les certificats Extended Validation, les demandeurs doivent soumettre davantage de documents prouvant qu'ils sont bien ce qu'ils prétendent être. En retour, ils obtiennent une barre verte brillante et heureuse dans les navigateurs Web modernes (je pense que Safari ne fait rien avec encore tout à fait).

Enfin, certaines entreprises vont avec les grands comme Verisign uniquement pour le seul nom de marque; ils savent que leurs clients ont au moins entendu parler de Verisign et que, pour les acheteurs de leur boutique en ligne, leur sceau est un peu moins esthétique que, par exemple, celui de GoDaddy.

Si la stratégie de marque n’est pas importante pour vous ou si votre site n’est pas sujet aux attaques de phishing, le certificat SSL le moins cher que vous pouvez acheter et dont la racine est installée dans la plupart des navigateurs Web sera correct. Habituellement, la seule vérification effectuée est que vous devez pouvoir répondre à un courrier électronique envoyé au contact administratif du DNS, ce qui permet de "prouver" que que vous " possédez " ce nom de domaine.

Vous pouvez utiliser ces certificats cheap-o sur des serveurs autres que GoDaddy, bien sûr, mais vous devrez probablement d'abord installer un certificat intermédiaire sur le serveur. C’est un certificat qui se situe entre votre certificat bon marché à 30 $ et le GoDaddy "real deal". certificat racine. Les navigateurs Web qui visitent votre site seront comme "hmm, on dirait que cela a été signé avec un intermédiaire, vous avez ça?" qui nécessite peut nécessiter un voyage supplémentaire. Mais ensuite, il demandera l’intermédiaire à votre serveur, verra qu’il se connecte à un certificat racine de confiance qu’il connaît, et qu’il n’ya pas de problème.

Mais si vous n'êtes pas autorisé à installer l'intermédiaire sur votre serveur (comme dans un scénario d'hébergement partagé), vous n'avez pas de chance. C'est pourquoi la plupart des gens disent que les certificats GoDaddy ne peuvent pas être utilisés sur des serveurs autres que GoDaddy. Pas vrai, mais assez vrai pour de nombreux scénarios.

(Au travail, nous utilisons un certificat Comodo pour notre boutique en ligne et un certificat GoDaddy bon marché à 30 $ pour sécuriser la connexion interne à la base de données.)

Edité en italique pour refléter les éclaircissements éclairants d'Erickson ci-dessous. Apprenez quelque chose de nouveau chaque jour!

Answer 2

Il existe une idée fausse commune selon laquelle les certificats auto-signés sont intrinsèquement moins sécurisés que ceux vendus par des autorités de certification commerciales telles que GoDaddy et Verisign, et que vous devez respecter les avertissements / exceptions du navigateur si vous les utilisez; ceci est incorrect .

Si vous distribuez de manière sécurisée un certificat auto-signé (ou un certificat CA, comme suggéré par bobince) et l'installez dans les navigateurs qui utiliseront votre site , il est tout aussi sécurisé qu'un certificat acheté. non vulnérable aux attaques de l'homme du milieu et à la falsification de certificats. Évidemment, cela signifie que cela n’est possible que si quelques personnes seulement ont besoin d’un accès sécurisé à votre site (applications internes, blogs personnels, etc.).

Dans l’intérêt de sensibiliser et d’encourager les petits bloggeurs comme moi à se protéger, j’ai rédigé un didacticiel pour débutant qui explique les concepts à la base des certificats et explique comment créer et utiliser en toute sécurité votre propre signature. cert (avec des exemples de code et des captures d'écran) ici .

Answer 3

Obtenez un certificat auprès de Encryptons une autorité de certification gratuite de cette nouvelle décennie, largement prise en charge par les navigateurs. / p>

Je ne les ai pas encore essayées, mais StartCom a été mentionné dans un réponse à une question similaire . Apparemment, vous pouvez obtenir gratuitement un certificat d'un an, accepté par Firefox 3.

Même si vous devez payer, je suggérerais d'utiliser une autorité de certification plutôt que des certificats auto-signés. Certaines personnes ne verront pas votre explication, et un faux site pourrait publier les empreintes digitales de leur faux certificat, exactement comme vous le proposez. Je doute que l’utilisateur moyen sache ce qu’est une empreinte de certificat ou comment la vérifier.

Answer 4

Au lieu de créer un certificat auto-signé, créez une autorité de certification auto-signée et signez votre certificat HTTPS avec ce certificat. Il est plus facile de demander aux utilisateurs d'installer une autorité de certification plutôt qu'à un certificat de serveur unique, et vous pouvez créer de nouveaux certificats (par exemple, pour les sous-domaines ou mettre à jour des certificats expirés) sans que les utilisateurs aient à réinstaller un certificat de serveur.

Vous pourrez ensuite décider ultérieurement s'il vaut la peine, au prix de 30 USD, de passer d'un certificat signé par votre propre autorité de certification au même certificat signé par GoDaddy ou qui que ce soit.

Dans les deux cas, n’avez pas de page HTTP avec un formulaire posté sur HTTPS. L'utilisateur ne peut pas voir que c'est là que ça se passe; ils devraient voir la source pour vérifier que le formulaire n'a pas été détourné pour être dirigé ailleurs et personne ne le fera. Vous devez disposer d’une page d’accueil HTTP avec le lien CA et un lien distinct vers le formulaire de connexion HTTPS.

Demander aux utilisateurs d'installer une autorité de certification avec un certificat téléchargé via HTTP simple est un peu méchant: s'il y avait un intermédiaire, il pourrait remplacer votre autorité de certification à la volée et pirater les connexions HTTPS qui en découlent. Les chances que cela se produise sont plutôt faibles car il s'agirait d'une attaque ciblée, par opposition à un sniff automatisé classique, mais en réalité, vous devriez héberger le lien de téléchargement CA sur un autre service protégé par HTTPS.

L’acceptation du client est une question à laquelle vous seul pouvez répondre, sachant qui sont vos utilisateurs. Certes, l'interface de Firefox est excessivement effrayante. Si les CA comme GoDaddy sont réduits à 30 $ ces jours-ci, j'irais probablement de l'avant. il y avait beaucoup, beaucoup pire.

En supposant que la prise en charge des navigateurs anciens et de niche ne soit pas un problème, il suffit de choisir l’AC la moins chère disponible. Vous êtes supposé payer pour que l'autorité de certification vérifie correctement qui vous êtes, mais en pratique, ce n'est pas comme cela que cela fonctionnait et cela n'a jamais été le cas. Par conséquent, payer un supplément pour des contrôles plus approfondis ne vous procure presque rien. Les prix exorbitants de Verisign survivent uniquement par l'inertie des entreprises.

Les CA sont là pour recevoir de l’argent pour n'avoir rien fait d'autre que posséder quelques centaines de bits de clé privée. Les éléments de vérification d'identité censés faire partie du mandat de l'autorité de certification ont été déplacés vers les certificats EV. Ce qui est encore plus une arnaque. Joie.

Answer 5

Les certificats auto-signés ne sont pas sécurisés . Oui vraiment. "Au moins, c'est crypté" n'aide pas du tout. De l'article:

  

Cryptage de classe mondiale * authentification zéro = sécurité zéro

Si votre site Web est pour vous et quelques-uns de vos amis, vous pouvez créer votre propre autorité de certification et distribuer votre certificat à des amis.

Sinon, obtenez un certificat auprès d'une autorité de certification connue ( gratuitement ) ou ne vous inquiétez pas des certificats auto-signés. du tout, parce que tout ce que vous obtiendrez est un faux sentiment de sécurité.

Pourquoi le trafic crypté n'est-il pas sécurisé? Vous permettez toujours à l’autre bout de déchiffrer votre trafic (vous devez le faire, sinon vous enverriez du charabia).

Si vous ne vérifiez pas qui se trouve à l'autre bout du fil, vous permettez à quiconque de déchiffrer votre trafic. Cela n'a pas d'importance si vous envoyez des données à un attaquant de manière sécurisée ou non sécurisée. & # 8212; l’attaquant récupère quand même les données.

Je ne parle pas de vérifier si, par exemple, paypal.com appartient à une institution financière de confiance (c'est un problème plus grave). Je parle de vérifier si vous envoyez des données à le paypal.com, ou simplement à une fourgonnette au coin de la rue qui envoie un certificat indiquant " ouais, je suis comme totalement paypal.com et vous avez ma parole que c'est vrai! "

Answer 6

Je suis finalement tombé en panne et je suis passé de mon serveur auto-signé à un cert de GoDaddy hier soir, et ce n’était pas si grave, à part que leur processus n’était pas aussi clair que possible. 30 $ / an est un coût raisonnable et l'utilisation du certificat sur un serveur autre que GoDaddy n'est pas un problème.

Si vous envisagez de parler SSL au public, procurez-vous un vrai certificat signé par une vraie autorité de certification. Même si vous travaillez au salaire minimum, vous épargnerez plus de 30 $ par an de temps perdu à gérer les craintes ou la méfiance des utilisateurs, et ce, même avant d'envisager une éventuelle perte de revenus due à la peur de votre site.

Answer 7

Pour répondre à votre question sur Internet Explorer, il avertira les utilisateurs de tout site dont le certificat n'est pas signé par une autorité de certification connue par IE (malheureusement appelée "digne de confiance"). Cela inclut pour votre propre autorité de certification et pour les certificats auto-signés. Il émettra également un avertissement si le domaine du certificat n’est pas celui auquel on a accès.

S'il s'agit d'un site privé, vous pouvez ne pas vous en soucier tant que vous obtenez un cryptage au niveau des liens (et craignez-vous que quelqu'un surveille votre trafic?). S'il existe un accès public et que vous souhaitez utiliser le protocole SSL, obtenez alors un certificat signé d'une autorité de certification reconnue, comme d'autres l'ont déjà indiqué.

Answer 8

Si cette camionnette au coin de la rue est déjà capable de détourner votre connexion Internet, vous avez des problèmes plus graves que les certificats auto-signés.

Les banques doivent utiliser des certificats clients pour l'authentification. Cela empêcherait ce fourgon de faire quoi que ce soit ... puisqu'il ne possède pas la clé privée de la banque.

Les certificats auto-signés conviennent parfaitement ... si votre connexion Internet n’a pas été compromise. Si votre connexion a été compromise, vous êtes probablement poursuivi de toute façon.

Answer 9

GoDaddy offre des certificats SSL à 15 $ par an via ce lien Acheter maintenant sur ce site. N'appliquez pas de codes de coupon, car le prix revient à 30 $ par an et les remises à partir de là.

http: // www .sslshopper.com / ssl-certificate-compare.html? ids = 17,25,34,37,62