Назад | Перейти на главную страницу

Каковы преимущества самоподписанного сертификата на действующем сайте?

Есть ли преимущества самоподписанного сертификата на действующем сайте?

Я знаю, что в IIS 7 у вас есть возможность самостоятельно подписывать сертификат, и мне было интересно, было бы хорошей идеей использовать это в качестве предшественника для покупки сертификата в ЦС.

Получаете ли вы те же преимущества шифрования, которые дает сертификат, подписанный ЦС, или я не понимаю термины? (работает по протоколу https)

Шифрование не является свойством сертификата или местом, откуда он подписан. Преимущество сертификата, подписанного ЦС, заключается в том, что ему автоматически доверяют веб-браузеры (и другие приложения, поддерживающие SSL). Для самозаверяющего сертификата появится предупреждение о том, что сертификат не является доверенным. В более поздних браузерах, таких как FireFox 3, действие по умолчанию - отказаться от отображения страницы, и пользователь должен предпринять преднамеренные действия, чтобы разрешить использование самозаверяющего (или с истекшим сроком действия) сертификата.

Если вы можете поговорить со всеми, кто будет использовать веб-страницу (например, только для вашей семьи), это не проблема. Скажите им, чтобы они ожидали этого предупреждения и как с ним справиться в своем браузере, и это разовая проблема.

Однако, если это для любого использования, которое требует чего-либо, приближающегося к реальной безопасности, вам, вероятно, понадобится настоящий подписанный, а не самозаверяющий сертификат.

Вы получаете те же преимущества шифрования, но каждый, кто просматривает ваш сайт, получит предупреждение о том, что ваш сертификат ненадежный (или из ненадежного источника). Преимущество получения одного из сертификатов основного потока состоит в том, что они уже находятся в браузере как доверенные.

В IE 7 перейдите в Инструменты, Свойства обозревателя, Контент, Сертификаты, Доверенные корневые центры сертификации. Это все органы, которым IE доверяет по умолчанию.

Доверять. Самозаверяющий сертификат дает такое же шифрование.

Но я доверяю ЦС. Я не доверяю тебе.

Так почему бы мне не доверять тебе? Потому что нет гарантии, что имя в сертификате («Дельтаплан Боба со скидкой и BBQ Emporium») было человеком, который действительно создал сертификат. Я мог бы создать сертификат с надписью «Discount Bob's Hanggliding and BBQ Emporium», а когда вы заходите на ritter.vg, он бы сказал «Discount Bob's Hanggliding and BBQ Emporium».

Но когда я прошу центр сертификации подписать мой сертификат с надписью «Discount Bob's Hanggliding and BBQ Emporium», они спросят: «Конечно, покажите мне некоторые учетные данные», а у меня их нет, поэтому они скажут, чтобы я разозлился . Но фактический Боб со скидкой будет иметь эти учетные данные, их подпишет центр сертификации. Поэтому, когда вы видите сертификат, подписанный ЦС, вы знаете, что на самом деле он является Скидка Бобу, потому что, если бы не СА, не подписал бы его.

Подписанный сертификат предназначен для проверки того, что человек действительно тот, кем он себя называет. Потому что CA сказал, что он есть, и я доверяю CA.

Шифрование не имеет прямого отношения к сертификату - оно просто добавляется, потому что хорошо иметь и идет рука об руку.

Плюсы самоподписанного сертификата:

  • Свободно
  • Та же технология шифрования, что и с подписью CA

Минусы:

  • Браузер будет отображать некоторую форму предупреждения системы безопасности, требующего вмешательства пользователя для просмотра сайта. Это может быть подавлено, если пользователь решит доверять сертификату.
  • Доверие, которое вы подразумеваете, направлено против лица, подписавшего сертификат. Любой сертификат может разрешить зашифрованные соединения SSL. Политика доверия защищает пользователя от атак типа «злоумышленник в середине». Никто не может выдать подписанный сертификат, кроме центра сертификации, из которого он был получен, и должен использоваться только на сервере, для которого он был создан. Следовательно, его содержимое не может быть получено из другого источника или изменено при передаче.

Быстрый сценарий: если кто-то установит мошенническую точку доступа Wi-Fi в интернет-кафе, тогда можно будет прозрачно проксировать действия пользователей-жертв и отслеживать их с помощью сетевого сниффера. Обычно SSL зашифрован, и данные нельзя использовать. Однако существуют инструменты для проксирования HTTPS-запросов пользователя и проверки содержимого жертвы в пути. Это имеет побочный эффект, заключающийся в предоставлении затронутому пользователю неаутентичного сертификата, которому обычно не доверяют.

Если вы зашли на сайт своего банка и получили предупреждение о безопасности SSL, НЕ продолжайте. Вы можете быть целью.

Некоторые могут признать это как Hak5 Ананас.

Поскольку вы специально спрашивали о преимуществах самозаверяющего сертификата, я полагаю, что «преимущества» будут заключаться в том, что он дешевый (то есть бесплатный) и его можно быстрее настроить на начальном этапе. Это, очевидно, намного перевешивает недостатки всех посетителей вашего сайта, которые должны добавлять исключение в политики безопасности своих браузеров, чтобы позволить им просматривать ваш сайт.

Если вы еще не слушали их, вы можете найти кое-что из прошлого Подкасты Security Now Интересно - SSL подробно обсуждается в ряде эпизодов.

Вы путаете шифрование с аутентификацией.

Любой сертификат обеспечит шифрование.

Сертификат CA также доказывает, что CA подтверждает, что вы являетесь тем, кем себя называете.

Самозаверяющий сертификат обеспечивает шифрование, но не аутентификацию.

Основное преимущество заключается в том, что вам не нужно посещать третье лицо для обеспечения безопасности вашего сайта. Вы можете сделать это сами. Проблема в том, что это сложно сделать правильно.

Их браузер должен «доверять» самозаверяющему сертификату. Если вы измените сертификат в будущем, должно появиться такое же диалоговое окно. Некоторые ответы объясняют, как это сделать. Это все еще плохой, поскольку пользователи будут более восприимчивы к атакам, таким как «человек посередине», когда они обучены принимать самоподписанные сертификаты. Я видел компании, где это стандартная процедура! Жаль для этих пользователей!

В идеале у вас должен быть процесс установки настраиваемого корневого сертификата в их ящик до того, как вы попытаетесь попасть на ваш сайт. Этот корневой сертификат затем выдаст сертификат вашего сайта. Таким образом, их браузер будет доверять вашему самозаверяющему сертификату до первого подключения к вашему сайту без отображения ошибки доверия.