Самозаверяющий SSL-сертификат или CA?[закрыто]

Question

Я хотел бы, чтобы части моего веб-сайта, связанные с аутентификацией и регистрацией, были зашифрованы (по понятной причине).В настоящее время этот сайт является более старым, который мы с некоторыми друзьями создали в средней школе и используем до сих пор.Я могу или не могу зарегистрировать ее как некоммерческую организацию в ближайшем будущем, но в любом случае CA стоит денег, а у организации их нет, и в настоящее время мы учимся в колледже.

Verisign необоснован, а GoDaddy стоит 30 долларов в год.GoDaddy не так уж неразумен, и я думаю, что их сертификаты принимаются большинством веб-браузеров.Проблема с GoDaddy в том, что я не знаю, почему у них разные продукты SSL (т.е.:почему не верифицировать меня дешево?имеет ли это какие-либо последствия для сертификата и как браузер обрабатывает его, если он содержит только доменное имя?)

Кроме того, есть ли проблема с использованием моего собственного сертификата?Может ли страница входа быть http и иметь строку, в которой говорится, что я использую самозаверяющий сертификат и вот его отпечаток пальца, а затем опубликовать форму на странице https?Метод Safari не так уж плох и не звучит слишком пугающе.Однако я боюсь, что метод Firefox 3 отпугнет людей и выдаст мне массу писем о том, что мой сайт взломан или что-то в этом роде.Я не знаю, как IE реагирует на самоподписанные сертификаты.(Есть еще вопрос, зачем платить за то, что я могу создать сам, не прилагая никаких усилий, но я не буду ставить философскую часть этого вопроса, это более практический вопрос.)

В общем, даю ли я GoDaddy 30 долларов в год или просто рассказываю людям в небольшом абзаце, что я делаю, и даю это тем немногим людям, которые действительно захотят снять мой отпечаток пальца?

Редактировать:Некоторые на форуме, который я читал для получения дополнительной информации, упомянули, что сертификаты GoDaddy выдаются только в том случае, если они находятся на сервере GoDaddy, а это не так.Две вещи:(1) это правда?и есть другие центры сертификации примерно по той же цене, поэтому аргумент должен быть тот же.

Answer 1

Сертификат SSL решает две цели:шифрование трафика (по крайней мере, для обмена ключами RSA) и проверка доверия.Как вы знаете, вы можете шифровать трафик с помощью (или без, если мы говорим о SSL 3.0 или TLS) любой самоподписанный сертификат.Но доверие достигается через цепочку сертификатов.Я вас не знаю, но я доверяю Verisign (или, по крайней мере, Microsoft доверяет, потому что им заплатили много денег за установку этого продукта в их операционные системы по умолчанию), и поскольку Verisign доверяет вам, то и я вам доверяю. слишком.В результате, когда я захожу на такую ​​SSL-страницу в своем веб-браузере, я не получаю пугающего предупреждения, потому что кто-то, кому я доверяю, сказал, что вы тот, кто вы есть.

Как правило, чем дороже сертификат, тем больше исследований проводит выдавший его центр сертификации.Таким образом, для сертификатов расширенной проверки запрашивающие должны предоставить больше документов, чтобы доказать, что они те, за кого себя выдают, а взамен они получают яркую радостную зеленую полосу в современных веб-браузерах (я думаю, что Safari ничего не делает с это еще совсем).

Наконец, некоторые компании выбирают таких крупных компаний, как Verisign, исключительно ради торговой марки;они знают, что их клиенты, по крайней мере, слышали о Verisign, и поэтому для людей, совершающих покупки в их интернет-магазине, их печать выглядит немного менее схематично, чем, скажем, GoDaddy.

Если брендинг для вас не важен или ваш сайт не подвержен фишинговым атакам, тогда подойдет самый дешевый SSL-сертификат, который вы можете купить, корень которого по умолчанию установлен в большинстве веб-браузеров.Обычно единственная проверка заключается в том, что вы должны иметь возможность ответить на электронное письмо, отправленное административному контакту DNS, тем самым «доказывая», что вы «владеете» этим доменным именем.

Конечно, вы можете использовать эти дешевые сертификаты на серверах, отличных от GoDaddy, но вам, вероятно, придется сначала установить промежуточный сертификат на сервере.Это сертификат, который находится между вашим дешевым сертификатом за 30 долларов и «реальным» корневым сертификатом GoDaddy.Веб -браузеры, посещающие ваш сайт который требует может потребоваться дополнительная поездка.Но затем он запросит промежуточный продукт с вашего сервера, увидит, что он связан с доверенным корневым сертификатом, о котором он знает, и проблем не будет.

Но если вам не разрешено устанавливать промежуточное звено на вашем сервере (например, в сценарии общего хостинга), то вам не повезло.Вот почему большинство людей говорят, что сертификаты GoDaddy нельзя использовать на серверах, отличных от GoDaddy.Неправда, но достаточно верно для многих сценариев.

(На работе мы используем сертификат Comodo для нашего интернет-магазина и дешевый сертификат GoDaddy за 30 долларов для защиты внутреннего соединения с базой данных.)

Отредактировано курсивом чтобы отразить проницательные разъяснения Эриксона, приведенные ниже.Узнавайте что-то новое каждый день!

Answer 2

Существует распространенное заблуждение, что самозаверяющие сертификаты по своей природе менее безопасны, чем те, которые продаются коммерческими центрами сертификации, такими как GoDaddy и Verisign, и что вам приходится мириться с предупреждениями / исключениями браузера, если вы их используете; это неверно .

Если вы надежно распространяете самозаверяющий сертификат (или сертификат CA, как предложил bobince) и устанавливаете его в браузерах, которые будут использовать ваш сайт , он так же безопасен, как и купленный, и не подвержен атакам «человек посередине» и подделке сертификатов. Очевидно, это означает, что это возможно только в том случае, если только несколько человек нуждаются в безопасном доступе к вашему сайту (например, внутренние приложения, личные блоги и т. Д.).

В целях повышения осведомленности и поощрения таких же маленьких блоггеров, как я, чтобы защитить себя, я написал учебник начального уровня, в котором объясняются принципы, лежащие в основе сертификатов, и способы безопасного создания и использования собственной самозаверяющей подписи. сертификат (в комплекте с примерами кода и снимками экрана) здесь .

Answer 3

Получите сертификат от Let's Encrypt, бесплатного ЦС этого нового десятилетия, широко поддерживаемого браузерами.

Я еще не пробовал их, но StartCom упоминался в ответ на аналогичный вопрос . Очевидно, вы можете получить годичный сертификат бесплатно, и он будет принят Firefox 3.

Даже если вам придется платить, я бы предложил использовать центр сертификации, а не самозаверяющие сертификаты. Некоторые люди не увидят вашего объяснения, и поддельный сайт может опубликовать отпечаток своего поддельного сертификата, как вы предлагаете. Я сомневаюсь, что обычный пользователь знает, что такое отпечаток сертификата или как его проверить.

Answer 4

Вместо создания самозаверяющего сертификата создайте самозаверяющий центр сертификации и подпишите им сертификат HTTPS. Проще попросить пользователей установить центр сертификации, чем сертификат одного сервера, и вы можете создавать новые сертификаты (например, для поддоменов или обновлять сертификаты с истекшим сроком действия) без необходимости повторной установки сертификата сервера.

Позже вы сможете решить, стоит ли переходить с сертификата, подписанного вашим собственным центром сертификации, на 30 долларов США, на тот же сертификат, подписанный GoDaddy или кем-либо еще.

В любом случае, не используйте страницу HTTP с формой, размещенной на HTTPS. Пользователь не может видеть, что это то, куда он идет; они должны были бы просмотреть источник, чтобы проверить, что форма не была взломана, чтобы указывать в другом месте, и никто не собирается это делать. Вам понадобится первая страница HTTP со ссылкой CA и отдельная ссылка на форму входа в HTTPS.

Просить пользователей установить CA с сертификатом, загруженным по обычному HTTP, немного непослушно: если бы был посредник, они могли бы на лету заменить ваш CA и взломать последующие HTTPS-соединения. Вероятность того, что это действительно произойдет, весьма мала, поскольку это должна быть целевая атака, а не обычный старый автоматический анализ, но на самом деле вы должны размещать ссылку для загрузки CA в какой-либо другой службе, защищенной HTTPS.

Принятие клиента - это вопрос, на который только вы можете ответить, зная, кто ваши пользователи. Конечно, интерфейс Firefox слишком страшен. Если бы CA, такие как GoDaddy, стоили до 30 долларов в эти дни, я бы, наверное, пошел на это; Раньше все было намного хуже.

Предполагая, что поддержка старых и нишевых браузеров не является большой проблемой, просто выберите самый дешевый CA из доступных. Вы должны платить за то, чтобы ЦС правильно проверил, кто вы, но на практике это не так, как раньше, и никогда не было, поэтому доплата за более тщательные проверки практически ничего не дает. Вымогательные цены Verisign выживают только за счет корпоративной инерции.

Центры сертификации должны получать деньги только за то, что они владеют несколькими сотнями битов закрытого ключа. Материал для проверки личности, который должен был быть частью мандата ЦС, был перенесен в сертификаты EV. Которые еще больше плагиат. Джой.

Answer 5

Самозаверяющие сертификаты небезопасны . Да, действительно. " По крайней мере, он зашифрован " не помогает вообще. Из статьи:

  

Шифрование мирового класса * нулевая аутентификация = нулевая безопасность

Если ваш веб-сайт предназначен для вас и нескольких ваших друзей, вы можете создать свой собственный центр сертификации и разослать свой сертификат друзьям.

В противном случае либо получите сертификат от известного центра сертификации ( бесплатно ), либо не беспокойтесь о самозаверяющих сертификатах вообще, потому что все, что вы получите - это ложное чувство безопасности.

<Ч>

Почему просто зашифрованный трафик небезопасен? Вы всегда позволяете другому концу расшифровывать ваш трафик (вы должны это сделать, в противном случае вы бы отправляли бред).

Если вы не проверяете, кто находится на другом конце, вы позволяете кому-либо расшифровать ваш трафик. Не имеет значения, если вы отправляете данные злоумышленнику безопасно или не безопасно - злоумышленник все равно получает данные.

Я не говорю о проверке, например, paypal.com принадлежит заслуживающему доверия финансовому институту (это большая проблема). Я говорю о проверке того, отправляете ли вы данные на paypal.com или просто в фургон за углом, который отправляет сертификат с надписью " да, я как paypal.com, и ты мне веришь, что это правда! "

Answer 6

Я только что сломался и вчера вечером переключил свой сервер с самозаверяющего на сертификат GoDaddy, и это было не так уж и сложно, за исключением того, что их процесс был не настолько ясным, как мог бы быть. $ 30 / год - это разумная цена, и использование сертификата на сервере, не принадлежащем GoDaddy, не является проблемой.

Если вы собираетесь говорить по SSL с широкой публикой, получите настоящий сертификат, подписанный настоящим CA. Даже если вы работаете за минимальную заработную плату, вы сэкономите более 30 долларов в год потраченного впустую времени на то, чтобы справиться с опасениями или недоверием пользователей, и это даже до того, как вы рассмотрите возможную потерю дохода из-за того, что они отпугивают вас от вашего сайта.

Answer 7

Чтобы ответить на ваш вопрос об Internet Explorer, он будет предупреждать пользователей о любом сайте, сертификат которого не подписан известным IE (к сожалению, называется «доверенный»). Это включает в себя ваш собственный CA и самозаверяющие сертификаты. Он также выдаст предупреждение, если к домену в сертификате не обращаются.

Если это частный сайт, вам может быть все равно, если вы получаете шифрование на канальном уровне (и боитесь ли вы, что кто-то перехватит ваш трафик?). Если есть публичный доступ и вы хотите использовать SSL, то получите подписанный сертификат от признанного ЦС, как уже посоветовали другие.

Answer 8

Если этот фургон за углом уже способен захватить ваше интернет-соединение, у вас проблемы хуже, чем самозаверяющие сертификаты.

Банки должны использовать клиентские сертификаты для аутентификации. Это сделало бы невозможным для этого фургона что-либо делать ... так как у него нет закрытого ключа банка.

Самозаверяющие сертификаты в порядке ... при условии, что ваше интернет-соединение не было взломано. Если ваше соединение было взломано ... вы, вероятно, все равно преследуете.

Answer 9

GoDaddy предоставляет SSL-сертификаты на 15 долларов в год по этой ссылке на покупку на этом сайте. Не применяйте коды купонов, потому что тогда цена возвращается к 30 долларам в год и скидкам оттуда.

http: // www .sslshopper.com / SSL-сертификата comparison.html? идентификаторы = 17,25,34,37,62