SSL auto-assinados Cert ou AC?[fechado]

Question

Eu gostaria de ter a autenticação e registro de partes do meu site criptografado (por razões óbvias).Este site está atualmente e mais antigos site que eu e alguns amigos começaram no ensino médio e usar ainda hoje.Pode ou não pode registrá-lo para ser uma Organização Sem fins Lucrativos no futuro próximo, mas de qualquer forma, uma autoridade de CERTIFICAÇÃO custa dinheiro e a organização não tem qualquer e estamos actualmente a faculdade de crianças.

A Verisign é razoável e GoDaddy é de r $30/ano.GoDaddy não é muito razoável, e eu acho que seus certificados são aceitos pela maioria dos navegadores da web.A coisa com a GoDaddy é que eu não sei por que eles têm diferentes SSL produtos (i.e.:por que é barato para não verificar mim?será que isso tem alguma implicação no cert e como o browser trata-se apenas contém um nome de domínio?)

Além disso, há um problema com o uso de meu próprio cert?Poderia a página de login de ser http, e tem uma linha informando que eu uso auto-assinado cert e aqui é de impressões digitais e, em seguida, enviar o formulário para uma página https?O Safari do método não é muito ruim ou o som assustador demais.Eu tenho medo, no entanto, que o firefox 3 método de assustar as pessoas para longe e dar-me uma tonelada de e-mails dizendo que o meu site está sendo hackeado, ou algo assim.Eu não sei como IE responde a auto-assinado certs.(Há também a questão de por que pagar por algo que eu possa me criar, sem esforço, mas eu não estou indo para representar a parte filosófica, essa é mais uma questão prática.)

Em suma, posso dar GoDaddy $30 a um ano, ou posso apenas dizer às pessoas, em um pequeno parágrafo que eu estou fazendo e dar as poucas pessoas que realmente querem o meu impressão digital-lo?

Editar:Algumas em um fórum que eu estava lendo para mais informações, mencionou que o GoDaddy certificados são fornecidos apenas se for em um GoDaddy servidor, que este não é.Duas coisas:(1) isso é verdade?e Há outros ca's em aproximadamente o mesmo preço, portanto, o argumento deve ainda ser o mesmo.

Answer 1

O certificado SSL resolve dois propósitos:a criptografia do tráfego (para troca de chaves RSA, pelo menos) e a verificação de confiança.Como você sabe, você pode criptografar o tráfego com (ou sem, se estamos falando de 3.0 SSL ou TLS) qualquer certificado auto-assinado.Mas a confiança é realizado através de uma cadeia de certificados.Eu não sei você, mas eu confio verisign (ou pelo menos a Microsoft faz, porque eles têm sido pago muito dinheiro para obtê-lo instalado em seus sistemas operacionais por padrão), e desde que a Verisign confia em você, então eu confio em você também.Como resultado, não há nenhum aviso assustador quando eu ir para o tal SSL página no meu navegador da Web porque alguém que eu confie disse: você é quem você é.

Geralmente, quanto mais caro o certificado, o mais a investigar de que a autoridade de certificação emissora faz.Assim, para os certificados de Validação Expandida, os solicitadores têm de apresentar mais documentos, para provar que eles são quem eles dizem que são, e, em troca, eles recebem um brilhante, feliz barra verde em navegadores modernos (eu acho que o Safari não fazer nada com ele, muito ainda).

Finalmente, algumas empresas ir com os meninos grandes, como a Verisign exclusivamente para a marca sozinho;eles sabem que seus clientes têm pelo menos ouviu falar da Verisign e de modo que para pessoas de compras na sua loja online, o selo parece um pouco menos esboçar-bola que, digamos, a GoDaddy.

Se a marca não é importante para você ou se o seu site não é propenso a ataques de phishing e, em seguida, a barata certificado SSL que você pode comprar o que tem a sua raiz instalado na maioria dos navegadores da Web por padrão vai ficar bem.Geralmente, a única verificação feita é a de que você deve ser capaz de responder a um e-mail enviado para o DNS do contato administrativo, portanto, "provando" que você "próprio" que o nome de domínio.

Você pode usar essas barato-o dos certificados de não-servidores da GoDaddy, com certeza, mas você provavelmente vai ter de instalar um certificado intermediário no servidor pela primeira vez.Este é um certificado que fica entre o baratos-s $30 certificado e o GoDaddy "real deal" certificado de raiz.Navegadores Web a visitar o seu site vai ser como "hmm, parece que este foi assinado com um intermediário, você tem o que?", o que requer pode exigir uma viagem extra.Mas em seguida, ele vai pedir o intermédio do seu servidor, ver que ele cadeias de até um certificado de raiz fidedigna que ele conhece, e não há nenhum problema.

Mas se você não tem permissão para instalar o intermediário no servidor (como em um cenário de hospedagem), então você está fora de sorte.É por isso que a maioria das pessoas dizem que a GoDaddy certs não pode ser utilizado em não-GoDaddy servidores.Não é verdade, mas é verdade o suficiente para a maioria dos cenários.

(No trabalho usamos um certificado Comodo para a nossa loja online, e um cheapo $30 GoDaddy cert para proteger a ligação interna para o banco de dados.)

Editado em itálico para refletir erickson perspicaz de esclarecimentos abaixo.Aprender algo novo todos os dias!

Answer 2

Há um equívoco comum de que os certificados autônomos são inerentemente menos seguros do que os vendidos por CA comerciais, como GoDaddy e Verisign, e que você deve viver com avisos/exceções do navegador, se você os usar; Isso está incorreto.

Se você distribuir com segurança um certificado autoassinado (ou CA Cer, como Bobince sugeriu) e instale-o nos navegadores que usarão seu site, é tão seguro quanto aquele que é comprado e não é vulnerável a ataques de homem no meio e falsificação de certificados. Obviamente, isso significa que só é viável se apenas algumas pessoas precisarem de acesso seguro ao seu site (por exemplo, aplicativos internos, blogs pessoais etc.).

No interesse de aumentar a conscientização e incentivar colegas blogueiros pequenos como eu a se proteger, escrevi um tutorial de nível básico que explica os conceitos por trás dos certificados e como criar e usar com segurança seu próprio certificado (completo com amostras de código e capturas de tela) aqui.

Answer 3

Obtenha um certificado de Vamos criptografar, Uma CA gratuita nesta nova década, que é amplamente suportada pelos navegadores.

Eu ainda não os tentei, mas StartCom foi mencionado em um resposta a uma pergunta semelhante. Aparentemente, você pode obter um certificado de um ano gratuitamente e é aceito pelo Firefox 3.

Mesmo se você tiver que pagar, sugiro o uso de uma CA em vez de certificados autônomos. Algumas pessoas não verão sua explicação, e um site falso pode postar a impressão digital do certificado falso, assim como você propõe. Duvido que o usuário médio saiba o que é uma impressão digital de certificado ou como verificar.

Answer 4

Em vez de criar um certificado autoassinado, crie uma CA autoassinada e assine seu certificado HTTPS com isso. É mais fácil solicitar aos usuários que instalem uma CA do que um único certificado de servidor e você pode criar novos certs (por exemplo, para subdomínios ou atualizar os certificados expirados) sem que os usuários precisem instalar um certificado de servidor novamente.

Você pode decidir mais tarde se vale a pena mudar de um certificado assinado por sua própria CA para o mesmo certificado assinado por GoDaddy ou quem quer que seja.

De qualquer forma, não tenha uma página HTTP com um formulário publicado no HTTPS. O usuário não pode ver que é para onde está indo; Eles teriam que visualizar a fonte para verificar se o formulário não foi seqüestrado para apontar para outro lugar e ninguém vai fazer isso. Você teria que ter uma página inicial HTTP com o link CA e um link separado para o formulário de login HTTPS.

Pedindo aos usuários que instalem uma CA com um certificado baixado via HTTP simples é um pouco travesso: se houvesse um homem no meio, eles poderiam substituir sua CA em tempo real e sequestrar as conexões HTTPs que se seguiram. As chances de isso realmente acontecer são bastante baixas, pois teriam que ser um ataque direcionado, em oposição ao cheirar automatizado simples, mas na verdade você deve estar hospedando o link de download da CA em algum outro serviço protegido por HTTPS.

A aceitação do cliente é uma questão que você pode responder, sabendo quem são seus usuários. Certamente a interface do Firefox é excessivamente assustadora. Se CAS como Godaddy caírem para US $ 30 hoje em dia, eu provavelmente iria em frente; Costumava ser muito, muito pior.

Supondo que o apoio aos navegadores antigos e de nicho não seja um problema, basta optar pela CA mais barata disponível. Tu es suposto Pagar para que a CA verifique corretamente quem você é, mas na prática não é assim que funciona e nunca foi, portanto, pagar mais por cheques mais completos faz quase nada. Os preços extorsivos da Verisign sobrevivem apenas pela inércia corporativa.

CAS estão lá para receber dinheiro por não fazer nada além de possuir algumas centenas de chaves de chave privada. O material que verificando a identidade que deveria fazer parte do mandato da CA foi transferido para certificados de EV. Que são ainda mais um roubo. Alegria.

Answer 5

Certificados autônomos são inseguros. Sim, realmente. "Pelo menos é criptografado" não está ajudando. Do artigo:

Criptografia de classe mundial * Autenticação zero = segurança zero

Se o seu site for para você e alguns de seus amigos, você poderá criar sua própria CA e distribuir seu certificado aos amigos.

Caso contrário, obtenha um certificado de CA conhecido (de graça) ou não se preocupe com os certificados auto-autenticados, porque tudo o que você recebe é um falso sensação de segurança.

---

Por que apenas o tráfego criptografado não está seguro? Você está sempre permitindo que a outra extremidade descriptografa seu tráfego (você precisa, caso contrário, estaria enviando bobagem).

Se você não verificar quem está do outro lado, está permitindo que alguém descriptografasse seu tráfego. Não faz diferença se você enviar dados para um invasor com segurança ou não com segurança - o invasor recebe os dados de qualquer maneira.

Não estou falando sobre verificar se o EG PayPal.com pertence a uma instituição financeira confiável (esse é um problema maior). Estou falando sobre verificar se você está enviando dados para a paypal.com, ou apenas para uma van na esquina que envia um certificado dizendo "Sim, eu sou totalmente paypal.com e você tem minha palavra que é verdade!"

Answer 6

Finalmente, eu finalmente quebrei e mudei meu servidor de autoassinado para um certificado de GoDaddy na noite passada e não foi tão grande, além de o processo deles não ser tão claro quanto poderia ser. US $ 30/ano é um custo razoável e o uso do certificado em um servidor não-Deus não é um problema.

Se você vai falar sobre o público, obtenha um certificado de verdade assinado por uma ca. Mesmo se você estiver trabalhando por salário mínimo, economizará mais de US $ 30/ano em tempo perdido ao lidar com medos ou desconfiança do usuário, e isso é mesmo antes de considerar qualquer receita perdida possível devido a serem assustadas com o seu site.

Answer 7

Para responder à sua pergunta sobre o Internet Explorer, ele alertará os usuários sobre qualquer site cujo certificado não seja assinado por um IE conhecido (infelizmente chamado de "Trusted") ca. Isso inclui para sua própria CA e para certificados autoassinados. Também fará um aviso se o domínio no certificado não for o que está sendo acessado.

Se este é um site privado, você pode não se importar, desde que esteja recebendo criptografia no nível do link (e você tem tanto medo de que alguém cheire seu tráfego?). Se houver acesso público e você deseja SSL, obtenha um certificado assinado de uma CA reconhecida, como outros já aconselharam.

Answer 8

Se a van na esquina for capaz de seqüestrar sua conexão com a Internet, você já terá problemas piores do que os certificados autoassinados.

Os bancos devem usar certificados de cliente para autenticação. Isso tornaria impossível para essa van fazer qualquer coisa ... já que não tem a chave privada dos bancos.

Os certificados autoassinados estão perfeitamente bem ... supondo que sua conexão com a Internet não tenha sido comprometida. Se sua conexão tem foi comprometido ... você provavelmente está obstinado de qualquer maneira.

Answer 9

Godaddy está dando certificados SSL por US $ 15 por ano, através deste link de compra agora neste site. Não aplique códigos de cupom, pois o preço remonta a US $ 30 por ano e descontos a partir daí.

http://www.ssslhopper.com/sssl-certificate-comparison.html?ids=17,25,34,37,62