자체 서명된 SSL 인증서 또는 CA?[닫은]

Question

내 웹사이트의 인증 및 등록 부분을 암호화하고 싶습니다(당연한 이유로).이 사이트는 현재 일부 친구와 제가 중학교 때 시작하여 오늘날에도 여전히 사용하고 있는 오래된 사이트입니다.가까운 장래에 비영리 단체로 등록할 수도 있고 등록하지 않을 수도 있지만, 어느 쪽이든 CA에는 비용이 들고 조직에는 아무 것도 없고 우리는 현재 대학생입니다.

Verisign은 불합리하고 GoDaddy는 연간 30달러입니다.GoDaddy는 그다지 불합리하지 않으며 대부분의 웹 브라우저에서 GoDaddy의 인증서를 승인한다고 생각합니다.GoDaddy의 문제점은 왜 그들이 다른 SSL 제품을 가지고 있는지 알 수 없다는 것입니다(예:나를 확인하지 않는 것이 왜 저렴합니까?이것이 인증서에 어떤 영향을 미치며, 인증서에 도메인 이름만 포함되어 있는 경우 브라우저가 이를 어떻게 처리합니까?)

또한 내 자신의 인증서를 사용하는 데 문제가 있습니까?로그인 페이지가 http이고 자체 서명된 인증서를 사용하고 여기에 지문이 있다는 내용의 줄이 있을 수 있으며 양식을 https 페이지에 게시할 수 있습니까?Safari의 방법은 그다지 나쁘지도 않고 너무 무섭게 들리지도 않습니다.하지만 파이어폭스 3의 방법이 사람들을 겁주고 내 사이트가 해킹당했다는 등의 내용을 담은 수많은 이메일을 보낼까 두렵습니다.IE가 자체 서명된 인증서에 어떻게 응답하는지 모르겠습니다.(노력 없이 스스로 만들 수 있는 것에 왜 비용을 지불하는지에 대한 문제도 있지만, 철학적인 부분은 제시하지 않겠습니다. 이것이 더 실용적인 질문입니다.)

요약하면, 나는 GoDaddy에게 연간 30달러를 줄 것인가, 아니면 사람들에게 내가 하고 있는 일을 작은 문단으로 말하고 실제로 내 지문을 원하는 소수의 사람들에게 줄 것인가?

편집하다:자세한 내용을 알아보기 위해 읽은 포럼 중 일부에서는 GoDaddy 인증서가 GoDaddy 서버에 있는 경우에만 제공된다고 언급했지만 이는 그렇지 않습니다.두가지:(1) 이것이 사실입니까?그리고 거의 같은 가격의 다른 CA가 있으므로 주장은 여전히 ​​동일해야 합니다.

Answer 1

SSL 인증서는 다음 두 가지 목적을 해결합니다.트래픽 암호화 (적어도 RSA 키 교환의 경우) 그리고 신뢰의 검증.아시다시피 다음을 사용하여 트래픽을 암호화할 수 있습니다. (또는 SSL 3.0이나 TLS를 사용하지 않는 경우) 자체 서명된 인증서.그러나 신뢰는 일련의 인증서를 통해 이루어집니다.나는 당신을 모르지만 Verisign을 신뢰합니다(또는 적어도 Microsoft는 기본적으로 운영 체제에 설치하기 위해 많은 돈을 받았기 때문에 그렇습니다). 그리고 Verisign이 당신을 신뢰하므로 나도 당신을 믿습니다. 도.결과적으로, 내가 신뢰하는 누군가가 당신이 누구인지 말해주었기 때문에 내 웹 브라우저에서 SSL 페이지에 접속할 때 무서운 경고가 발생하지 않습니다.

일반적으로 인증서 비용이 높을수록 발급 인증 기관에서 더 많은 조사를 수행합니다.따라서 확장 유효성 검사 인증서의 경우 요청자는 자신이 누구인지 증명하기 위해 더 많은 문서를 제출해야 하며 그 대가로 최신 웹 브라우저에 밝고 행복한 녹색 막대가 표시됩니다(Safari는 아무 것도 수행하지 않는 것 같습니다). 아직은 그렇습니다).

마지막으로 일부 회사는 순전히 브랜드 이름 때문에 Verisign과 같은 대기업과 협력합니다.그들은 고객이 적어도 Verisign에 대해 들어본 적이 있다는 것을 알고 있으므로 온라인 상점에서 쇼핑하는 사람들에게 그들의 인장은 GoDaddy의 인장보다 약간 덜 스케치 볼처럼 보입니다.

브랜딩이 중요하지 않거나 사이트가 피싱 공격에 취약하지 않은 경우에는 기본적으로 대부분의 웹 브라우저에 루트가 설치되어 있는 가장 저렴한 SSL 인증서가 괜찮을 것입니다.일반적으로 수행되는 유일한 확인은 DNS 관리 담당자에게 전송된 전자 메일에 회신할 수 있어야 하며 이를 통해 해당 도메인 이름을 "소유"하고 있음을 "증명"하는 것입니다.

물론 GoDaddy 이외의 서버에서도 저렴한 인증서를 사용할 수 있지만 먼저 서버에 중간 인증서를 설치해야 할 수도 있습니다.이는 저렴한 $30 인증서와 GoDaddy "실제 거래" 루트 인증서 사이에 있는 인증서입니다.귀하의 사이트를 방문하는 웹 브라우저는 "흠, 이것이 중급으로 서명 한 것 같습니다. 어느 필요하다 필요할 수 있습니다 추가 여행.그러나 그런 다음 서버에서 중간 항목을 요청하고 알고 있는 신뢰할 수 있는 루트 인증서에 연결되어 있는지 확인하면 문제가 없습니다.

그러나 서버에 중간 항목을 설치할 수 없는 경우(예: 공유 호스팅 시나리오)에는 운이 없는 것입니다.이것이 바로 대부분의 사람들이 GoDaddy 인증서가 GoDaddy 이외의 서버에서 사용될 수 없다고 말하는 이유입니다.사실은 아니지만 많은 시나리오에서는 충분히 사실입니다.

(직장에서는 온라인 상점에 Comodo 인증서를 사용하고 데이터베이스에 대한 내부 연결을 보호하기 위해 저렴한 $30 GoDaddy 인증서를 사용합니다.)

편집됨 이탈 릭 체로 아래 Erickson의 통찰력 있는 설명을 반영합니다.매일 새로운 것을 배워보세요!

Answer 2

자체 서명된 인증서는 본질적으로 GoDaddy 및 Verisign과 같은 상업용 CA에서 판매하는 인증서보다 덜 안전하며 이를 사용할 경우 브라우저 경고/예외를 감수해야 한다는 일반적인 오해가 있습니다. 이건 틀렸어.

자체 서명된 인증서(또는 bobince가 제안한 CA 인증서)를 안전하게 배포하고 사이트를 사용할 브라우저에 설치하는 경우, 구매한 제품만큼 안전하며 중간자 공격 및 인증서 위조에 취약하지 않습니다.이는 분명히 소수의 사람만이 귀하의 사이트(예: 내부 앱, 개인 블로그 등)에 대한 보안 액세스가 필요한 경우에만 가능하다는 것을 의미합니다.

저와 같은 소규모 블로거들의 인식을 높이고 자신을 보호하도록 격려하기 위해 인증서 뒤에 있는 개념과 자체 서명된 인증서를 안전하게 만들고 사용하는 방법을 설명하는 초보 수준 튜토리얼을 작성했습니다(완료). 코드 샘플 및 스크린샷 포함) 여기.

Answer 3

에서 인증서 받기 암호화하자, 브라우저에서 널리 지원되는 무료 CA입니다.

아직 시도해 보지는 않았지만 스타트컴 에서 언급되었다 비슷한 질문에 대한 답변.분명히 1년 인증서를 무료로 얻을 수 있으며 Firefox 3에서 허용됩니다.

비용을 지불해야 하더라도 자체 서명된 인증서보다는 CA를 사용하는 것이 좋습니다.어떤 사람들은 귀하의 설명을 보지 못할 수도 있고, 가짜 사이트에서는 귀하가 제안한 것처럼 자신의 가짜 인증서 지문을 게시할 수도 있습니다.일반 사용자가 인증서 지문이 무엇인지, 이를 확인하는 방법을 알고 있는지 의심됩니다.

Answer 4

자체 서명된 인증서를 만드는 대신 자체 서명된 CA를 만들고 이를 사용하여 HTTPS 인증서에 서명하세요.단일 서버 인증서보다 사용자에게 CA 설치를 요청하는 것이 더 쉽고 새 인증서(예:하위 도메인의 경우 또는 만료된 인증서 업데이트) 사용자가 서버 인증서를 다시 설치할 필요 없이.

그런 다음 자체 CA에서 서명한 인증서에서 GoDaddy 또는 다른 사람이 서명한 동일한 인증서로 전환하는 데 30달러를 지불할 가치가 있는지 나중에 결정할 수 있습니다.

어느 쪽이든 HTTPS에 게시된 양식이 있는 HTTP 페이지가 없습니다.사용자는 그것이 어디로 가는지 알 수 없습니다.양식이 다른 곳을 가리키도록 도용되지 않았는지 확인하기 위해 소스를 확인해야 하며 아무도 그렇게 하지 않을 것입니다.CA 링크가 포함된 HTTP 첫 페이지와 HTTPS 로그인 양식에 대한 별도의 링크가 있어야 합니다.

사용자에게 일반 HTTP를 통해 다운로드한 인증서를 사용하여 CA를 설치하도록 요청하는 것은 약간 잘못된 것입니다.중간자(man-in-the-middle)가 있다면 즉석에서 CA를 교체하고 이어지는 HTTPS 연결을 가로챌 수 있습니다.일반적인 자동 스니핑이 아닌 표적 공격이어야 하기 때문에 실제로 이런 일이 발생할 가능성은 매우 낮습니다. 그러나 실제로는 다른 HTTPS로 보호되는 서비스에서 CA 다운로드 링크를 호스팅해야 합니다.

고객 수용은 귀하의 사용자가 누구인지 아는 귀하만이 대답할 수 있는 문제입니다.확실히 Firefox 인터페이스는 지나치게 무섭습니다.요즘 GoDaddy와 같은 CA의 가격이 30달러까지 떨어지면 아마도 그렇게 할 것입니다.예전에는 훨씬 더 나빴습니다.

오래되고 틈새 브라우저에 대한 지원이 큰 문제가 되지 않는다고 가정하면 가장 저렴한 CA를 선택하세요.당신은 추정된 CA가 귀하가 누구인지 적절하게 확인하도록 비용을 지불하지만 실제로는 작동 방식이 아니며 결코 그랬던 적이 없으므로 보다 철저한 확인을 위해 추가 비용을 지불하면 거의 아무것도 얻을 수 없습니다.Verisign의 터무니없는 가격은 기업의 관성만으로도 살아남습니다.

CA는 수백 비트의 개인 키를 소유하는 것 외에는 아무것도 하지 않고 돈을 받기 위해 존재합니다.CA 의무의 일부였던 신원 확인 항목이 EV 인증서로 이동되었습니다.그것은 훨씬 더 찢어진 것입니다.기쁨.

Answer 5

자체 서명된 인증서 불안하다.네 진짜로 요."적어도 암호화되어 있습니다"는 전혀 도움이 되지 않습니다.기사에서 :

세계적 수준의 암호화 * 인증 제로 = 보안 제로

귀하의 웹 사이트가 귀하와 몇몇 친구를 위한 것이라면 자체 CA를 만들고 인증서를 친구들에게 배포할 수 있습니다.

그렇지 않으면 알려진 CA(무료로) 또는 자체 서명된 인증서에 전혀 신경쓰지 마세요. 거짓 안정감.

---

암호화된 트래픽만 안전하지 않은 이유는 무엇입니까?항상 상대방이 트래픽을 해독하도록 허용합니다(그렇지 않으면 횡설수설을 보내게 됩니다).

상대방이 누구인지 확인하지 않으면 누구나 트래픽을 해독할 수 있게 됩니다. 공격자에게 데이터를 안전하게 보내든 안전하게 보내지 않든 상관없습니다. 어쨌든 공격자는 데이터를 얻게 됩니다.

예를 들어 확인하는 것에 대해 말하는 것이 아닙니다.paypal.com은 신뢰할 수 있는 금융 기관에 속해 있습니다(그게 더 큰 문제입니다).나는 당신이 다음으로 데이터를 보내고 있는지 확인하는 것에 대해 이야기하고 있습니다. 그만큼 paypal.com 또는 모퉁이에 있는 밴으로 가서 다음과 같은 인증서를 보냅니다. "그렇습니다. 저는 완전히 paypal.com에 속하며 그것이 사실이라고 약속합니다!"

Answer 6

마침내 어젯밤에 서버가 고장나서 자체 서명된 서버에서 GoDaddy 인증서로 전환했는데 프로세스가 그만큼 명확하지 않다는 점을 제외하면 그다지 큰 문제는 아니었습니다.연간 30달러는 합리적인 비용이며 GoDaddy 이외의 서버에서 인증서를 사용하는 것은 문제가 되지 않습니다.

SSL을 대중에게 알리려면 실제 CA가 서명한 실제 인증서를 받으십시오.최저 임금을 받고 일하더라도 사용자의 두려움이나 불신을 처리하는 데 낭비되는 시간을 연간 30달러 이상 절약할 수 있습니다. 이는 사용자가 사이트를 떠나는 것에 대한 두려움으로 인해 발생할 수 있는 수익 손실을 고려하기도 전에 발생합니다.

Answer 7

Internet Explorer에 대한 질문에 답하기 위해 IE에서 알려진(안타깝게도 "신뢰할 수 있는" CA라고 함) CA에서 인증서가 서명되지 않은 사이트에 대해 사용자에게 경고합니다.여기에는 자체 CA 및 자체 서명 인증서가 포함됩니다.또한 인증서의 도메인이 액세스 중인 도메인이 아닌 경우에도 경고를 표시합니다.

이것이 개인 사이트인 경우 링크 수준 암호화를 받는 한 신경 쓰지 않을 수 있습니다(그리고 누군가가 귀하의 트래픽을 스니핑하는 것이 그렇게 두렵습니까?).공개 액세스가 있고 SSL을 원하는 경우 다른 사람들이 이미 조언한 대로 인정된 CA로부터 서명된 인증서를 받으십시오.

Answer 8

모퉁이를 돌고 있는 밴이 이미 인터넷 연결을 가로챌 수 있다면 자체 서명된 인증서보다 더 심각한 문제가 있는 것입니다.

은행은 인증을 위해 클라이언트 인증서를 사용해야 합니다.그러면 그 밴이 아무 것도 할 수 없게 될 것입니다....은행의 개인 키가 없기 때문입니다.

자체 서명된 인증서는 완벽하게 괜찮습니다.인터넷 연결이 손상되지 않았다고 가정합니다.당신의 연결이라면 가지다 타협됐다...어쨌든 당신은 아마 끈질기게 매달리고 있을 거예요.

Answer 9

GoDaddy에서는 이 사이트의 지금 구매 링크를 통해 SSL 인증서를 연간 15달러에 제공하고 있습니다.쿠폰 코드를 적용하지 마십시오. 그러면 가격이 연간 30달러로 돌아가고 거기에서 할인이 적용됩니다.

http://www.sslshopper.com/ssl-certificate-comparison.html?ids=17,25,34,37,62