Cert SSL o CA autofirmato? [chiuso]

Question

Vorrei che le parti di autenticazione e registrazione del mio sito Web fossero crittografate (per ovvie ragioni). Questo sito è attualmente e più vecchio sito che alcuni amici e io abbiamo iniziato nella scuola media e ancora oggi usiamo. Potrei o meno registrarmi come Organizzazione senza scopo di lucro nel prossimo futuro, ma in entrambi i casi, un'autorità di certificazione costa denaro e l'organizzazione non ne ha e siamo attualmente studenti universitari.

Verisign è irragionevole e GoDaddy è $ 30 / anno. GoDaddy non è troppo irragionevole e penso che i loro certificati siano accettati dalla maggior parte dei browser web. La cosa con GoDaddy è che non so perché hanno diversi prodotti SSL (ovvero: perché è economico non verificarmi? Questo ha implicazioni sul certificato e come il browser lo tratta se contiene solo un nome di dominio ?)

Inoltre, c'è un problema con l'utilizzo del mio certificato? La pagina di accesso potrebbe essere http e avere una riga che indica che uso un certificato autofirmato ed ecco la sua impronta digitale e quindi pubblicare il modulo in una pagina https? Il metodo di Safari non è troppo male o sembra troppo spaventoso. Temo, tuttavia, che il metodo di Firefox 3 spaventerà le persone e mi darà una tonnellata di e-mail dicendo che il mio sito è stato violato o qualcosa del genere. Non so come IE risponda ai certificati autofirmati. (C'è anche il problema del perché pagare per qualcosa che posso creare da solo senza sforzo, ma non ho intenzione di porre la parte filosofica di esso, questa è una domanda più pratica.)

In breve, do a GoDaddy $ 30 all'anno o dico alle persone in un piccolo paragrafo cosa sto facendo e do alle poche persone che vorranno davvero la mia impronta digitale?

Modifica: alcuni su un forum che stavo leggendo per maggiori informazioni hanno affermato che i certificati GoDaddy vengono dati solo se si trova su un server GoDaddy, cosa che non è. Due cose: (1) è vero? e ci sono altre CA allo stesso prezzo, quindi l'argomento dovrebbe essere sempre lo stesso.

Answer 1

Il certificato SSL risolve due scopi: crittografia del traffico (almeno per lo scambio di chiavi RSA) e verifica della fiducia. Come sai, puoi crittografare il traffico con (o senza, se stiamo parlando di SSL 3.0 o TLS) qualsiasi certificato autofirmato. Ma la fiducia si ottiene attraverso una catena di certificati. Non ti conosco, ma mi fido di verisign (o almeno di Microsoft, perché sono stati pagati un sacco di soldi per installarlo nei loro sistemi operativi di default), e poiché Verisign si fida di te, allora mi fido di te pure. Di conseguenza, non ci sono avvisi spaventosi quando vado a una pagina SSL del genere nel mio browser Web perché qualcuno di cui mi fido ha detto che sei quello che sei.

Generalmente, più costoso è il certificato, maggiore è l'indagine svolta dall'autorità di certificazione emittente. Quindi, per i certificati di convalida estesa, i richiedenti devono presentare più documenti per dimostrare di essere quello che dicono di essere e in cambio ottengono una barra verde brillante e felice nei moderni browser Web (penso che Safari non faccia nulla con abbastanza ancora).

Infine, alcune compagnie vanno con i grandi come Verisign solo per il solo marchio; sanno che i loro clienti hanno almeno sentito parlare di Verisign e quindi per le persone che fanno acquisti nel loro negozio online, il loro sigillo sembra un po 'meno schizzi di quello, diciamo, di GoDaddy.

Se il branding non è importante per te o se il tuo sito non è soggetto ad attacchi di phishing, allora il certificato SSL più economico che puoi acquistare che ha il suo root installato nella maggior parte dei browser Web per impostazione predefinita andrà bene. Di solito, l'unica verifica effettuata è che devi essere in grado di rispondere a un'e-mail inviata al contatto amministrativo del DNS, quindi "dimostrando" che "possiedi" quel nome di dominio.

Puoi usare quei certificati economici su server non GoDaddy, certo, ma probabilmente dovrai prima installare un certificato intermedio sul server. Questo è un certificato compreso tra il tuo certificato da $ 30 economico e il "vero affare" di GoDaddy certificato di root. I browser Web che visitano il tuo sito saranno come "hmm, sembra che questo sia stato firmato con un intermedio, hai capito?" che richiede potrebbe richiedere un viaggio extra. Ma poi richiederà l'intermedio dal tuo server, vedrai che si collega a un certificato radice attendibile di cui è a conoscenza e che non ci sono problemi.

Ma se non ti è permesso installare l'intermedio sul tuo server (come in uno scenario di hosting condiviso), sei sfortunato. Questo è il motivo per cui la maggior parte delle persone afferma che i certificati GoDaddy non possono essere utilizzati su server non GoDaddy. Non vero, ma abbastanza vero per molti scenari.

(Al lavoro utilizziamo un certificato Comodo per il nostro negozio online e un certificato GoDaddy da $ 30 economico per proteggere la connessione interna al database.)

Modificato in corsivo per riflettere i chiarimenti perspicaci di erickson di seguito. Impara qualcosa di nuovo ogni giorno!

Answer 2

C'è un malinteso comune sul fatto che i certificati autofirmati siano intrinsecamente meno sicuri di quelli venduti da CA commerciali come GoDaddy e Verisign e che si debbano convivere con avvisi / eccezioni del browser se li si utilizza; non è corretto .

Se distribuisci in modo sicuro un certificato autofirmato (o CA cert, come suggerito da Bobince) e lo installi nei browser che utilizzeranno il tuo sito , è sicuro tanto quanto quello acquistato e lo è non vulnerabile agli attacchi man-in-the-middle e alla falsificazione sicura. Ovviamente questo significa che è possibile solo se solo poche persone hanno bisogno di un accesso sicuro al tuo sito (ad es. App interne, blog personali, ecc.).

Nell'interesse di aumentare la consapevolezza e incoraggiare gli altri blogger di piccole dimensioni come me a proteggersi, ho scritto un tutorial di base che spiega i concetti alla base dei certificati e come creare e utilizzare in sicurezza il proprio autofirmato cert (completo di esempi di codice e schermate) qui .

Answer 3

Ottieni un certificato da Let's Encrypt, una CA gratuita in questo nuovo decennio, ampiamente supportata dai browser.

Non li ho ancora provati, ma StartCom è stato menzionato in un risposta a una domanda simile . Apparentemente puoi ottenere un certificato di un anno gratis ed è accettato da Firefox 3.

Anche se dovessi pagare, suggerirei di utilizzare una CA anziché i certificati autofirmati. Alcune persone non vedranno la tua spiegazione e un sito falso potrebbe pubblicare l'impronta digitale del proprio certificato falso proprio come tu proponi. Dubito che l'utente medio sappia cos'è un'impronta digitale del certificato o come controllarla.

Answer 4

Invece di creare un certificato autofirmato, crea una CA autofirmata e firma il tuo certificato HTTPS con quello. È più semplice chiedere agli utenti di installare una CA di un singolo certificato server e puoi creare nuovi certificati (ad es. Per sottodomini o aggiornare certificati scaduti) senza che gli utenti debbano installare nuovamente un certificato server.

È quindi possibile decidere in seguito se valgono i $ 30 per passare da un certificato firmato dalla propria CA allo stesso certificato firmato da GoDaddy o chiunque.

Ad ogni modo, non hai una pagina HTTP con un modulo pubblicato su HTTPS. L'utente non può vedere che è dove sta andando; dovrebbero vedere la fonte per verificare che il modulo non sia stato dirottato per indicare altrove e nessuno lo farà. Dovresti avere una prima pagina HTTP con il collegamento CA e un collegamento separato al modulo di accesso HTTPS.

Chiedere agli utenti di installare una CA con un certificato scaricato tramite HTTP semplice è un po 'cattivo: se ci fosse un man-in-the-middle potrebbero sostituire la tua CA al volo e dirottare le connessioni HTTPS che ne conseguono. Le probabilità che ciò accada effettivamente sono piuttosto basse in quanto dovrebbe essere un attacco mirato rispetto al semplice vecchio sniffing automatizzato, ma in realtà dovresti ospitare il link di download della CA su qualche altro servizio protetto da HTTPS.

L'accettazione da parte del cliente è una questione a cui solo tu puoi rispondere, sapendo chi sono i tuoi utenti. Certamente l'interfaccia di Firefox è eccessivamente spaventosa. Se al giorno d'oggi CA come GoDaddy sono scesi a $ 30, probabilmente lo farei; era molto, molto peggio.

Supponendo che il supporto su browser vecchi e di nicchia non sia un grosso problema, basta cercare la CA più economica disponibile. Sei supposto che stai pagando per fare in modo che la CA verifichi correttamente chi sei, ma in pratica non è così che funziona e non lo è mai stato, quindi pagare un extra per controlli più approfonditi non ti fa quasi nulla. I prezzi esorbitanti di Verisign sopravvivono solo attraverso l'inerzia aziendale.

Le CA sono lì per ricevere denaro per non fare altro che possedere alcune centinaia di bit di chiave privata. Il materiale di verifica dell'identità che avrebbe dovuto far parte del mandato della CA è stato spostato nei certificati EV. Che sono ancora più di una fregatura. Joy.

Answer 5

I certificati autofirmati non sono sicuri . Sì davvero. " Almeno è crittografato " non aiuta affatto. Dall'articolo:

  

Crittografia di classe mondiale * zero autenticazione = zero sicurezza

Se il tuo sito Web è per te e alcuni dei tuoi amici, potresti creare la tua CA e distribuire il tuo certificato agli amici.

In caso contrario, ottenere un certificato da una CA nota ( gratuitamente ) o non preoccuparsi dei certificati autofirmati affatto, perché tutto ciò che otterresti è un falso senso di sicurezza.

---

Perché solo il traffico crittografato non è sicuro? Consenti sempre all'altra estremità di decrittografare il tuo traffico (devi, altrimenti invieresti senza senso).

Se non controlli chi si trova dall'altra parte, stai permettendo a chiunque di decifrare il tuo traffico. Non fa differenza se invii dati a un utente malintenzionato in modo sicuro o non protetto - l'attaccante ottiene comunque i dati.

Non sto parlando di verificare se ad es. paypal.com appartiene a un istituto finanziario affidabile (questo è un problema più grande). Sto parlando di verificare se stai inviando dati a the paypal.com o semplicemente a un furgone dietro l'angolo che invia un certificato che dice " sì, sono totalmente paypal.com e tu hai la mia parola che è vero! "

Answer 6

Alla fine ho appena interrotto e ho cambiato il mio server da autofirmato a un certificato GoDaddy la scorsa notte e non è stato un grosso problema, a parte il fatto che il loro processo non è chiaro come potrebbe essere. $ 30 / anno è un costo ragionevole e l'utilizzo del certificato su un server non GoDaddy non è un problema.

Se parlerai di SSL al pubblico, ottieni un vero certificato firmato da una vera CA. Anche se stai lavorando per un salario minimo, risparmierai più di $ 30 all'anno di tempo sprecato nel gestire le paure o la sfiducia degli utenti, e questo è ancora prima di considerare qualsiasi possibile perdita di guadagno a causa della loro paura del tuo sito.

Answer 7

Per rispondere alla tua domanda su Internet Explorer, avviserà gli utenti di qualsiasi sito il cui certificato non è firmato da una CA nota da IE (purtroppo chiamata "quotata attendibile"). Ciò include per la propria CA e per i certificati autofirmati. Inoltre avviserà se il dominio nel certificato non è quello a cui si accede.

Se si tratta di un sito privato, potrebbe non interessarti fintanto che stai ricevendo la crittografia a livello di link (e hai paura di qualcuno che annusa il tuo traffico?). Se esiste un accesso pubblico e desideri SSL, ottieni un certificato firmato da un'autorità di certificazione riconosciuta, come altri hanno già consigliato.

Answer 8

Se quel furgone dietro l'angolo è già in grado di dirottare la tua connessione Internet, hai problemi peggiori dei certificati autofirmati.

Le banche dovrebbero utilizzare i certificati client per l'autenticazione. Ciò renderebbe impossibile per quel furgone fare qualsiasi cosa .... dal momento che non ha la chiave privata delle banche.

I certificati autofirmati vanno benissimo ... supponendo che la tua connessione Internet non sia stata compromessa. Se la tua connessione è stata compromessa ... probabilmente sei perseguitata comunque.

Answer 9

GoDaddy fornisce certificati SSL per $ 15 all'anno tramite questo link acquista ora su questo sito. Non applicare i codici coupon perché il prezzo torna a $ 30 all'anno e sconti da lì.

http: // www .sslshopper.com / ssl-certificate-comparison.html? id = 17,25,34,37,62