У меня есть домен, на котором мне нужна веб-почта, и я хочу, чтобы он был безопасным. Я единственный, кто пользуется этим сайтом, но все же хочу, чтобы он был безопасным.
Я не могу себе этого позволить и не думаю, что имеет смысл платить центру сертификации за подписание моего сертификата.
В настоящий момент у меня работает SSL с моим самоподписанным сертификатом ... но я хочу знать, достаточно ли этого.
Если кто-то сгенерирует самоподписанный сертификат с той же информацией, что и мой сертификат, могу ли я как-то сказать, кроме запоминания серийного номера или чего-то еще?
Если вы создаете свой собственный сертификат, сгенерированный вашим собственным центром сертификации, вы можете настроить любой браузер, чтобы доверять этому CA. Таким образом, он будет доверять сертификату, созданному вами в этом ЦС. Случайный человек, создающий сертификат с информацией, идентичной вашей, должен заставить ваш браузер выдавать ошибки сбоя проверки SSL, поскольку этот сертификат не будет быть подписанным центром сертификации, которому вы доверяете.
Вы можете сохранить файл открытого ключа CA на карту памяти и импортировать его в любой браузер, который вы используете.
Файл также может находиться в Интернете по легко запоминающемуся адресу.
Возможно, стоит потратить время и взглянуть на присоединение к CACert (http://www.cacert.org/), поэтому у вас есть только один CA, о котором нужно беспокоиться для многократного использования.
Если вы единственный, кто использует домен, то достаточно самозаверяющего сертификата. Создание собственного сертификата означает создание собственного закрытого ключа ЦС. Пока вы можете хранить этот закрытый ключ в безопасности, вам не нужно беспокоиться о том, что кто-то подделает сертификаты. Без этого закрытого ключа никто не может создать сертификат с тем же открытым ключом, и вы сможете это определить, сравнив открытые ключи.
Став вашим собственным центром сертификации, вы обеспечиваете подлинность сертификата, создавая его подпись. Это делается с помощью подписи, которая подписывается с помощью закрытого ключа. Затем открытый ключ используется для проверки того, что подпись действительно была подписана закрытым ключом.
Поскольку только CA (вы) знает частное, вы доверяете тому, что CA проверил сертификат и он аутентифицирован. Чтобы доверять ЦС, вы устанавливаете сертификат ЦС (который содержит открытый ключ) в свое доверительное кольцо. Обычно в Windows это делается двойным щелчком по файлу сертификата и подтверждением того, что вы хотите ему доверять. В Firefox это делается путем добавления его в область «Сертификаты» в параметрах.
Ключ к вышесказанному - убедиться, что никакой другой центр сертификации в вашем круге доверия не может подписать подпись. Вот почему центры сертификации проверяют владельца домена перед подписанием сертификата для этого домена.
Если вы хотите узнать больше о криптографии, включая публичную / частную:
http://www.pgpi.org/doc/pgpintro/
Замечательная книга на эту тему - «Прикладная криптография». Гораздо более простая книга - «Расшифрованная криптография».