На работе у меня есть несколько веб-интерфейсов, которые используют простой http или самозаверяющие сертификаты (интерфейс управления балансировщиком нагрузки, внутренняя вики, кактусы, ...).
Никто не доступен из-за пределов определенных vlan / сетей.
Для домашнего использования я использую cacert SSL-сертификаты.
Мне было интересно, могу ли я предложить своему работодателю использовать сертификаты cacert SSL вместо самоподписанных сертификатов и простого http. Кто-нибудь использует cacert ssl в производстве? Какие плюсы / минусы? Повышает ли это безопасность? Управлять легче? Что-нибудь неожиданное? Может ли это повлиять на качественное сканирование? Как мне их убедить?
Конечно, платные сертификаты для публичных сайтов останутся без изменений.
Редактировать :
(просто любопытно) Бесплатные сертификаты ssl от компаний, похоже, не относятся к классу 3. Я должен был показать свой паспорт и присутствовать физически, чтобы получить класс 3 от cacerts. Разве в браузерах нет предупреждений для каждого класса 1?
В любом случае, у меня был бы тот же вопрос о любом бесплатном CA: это лучше, чем использовать самоподписанный и простой http, и Зачем ?
Я бы сделал это для удобства управления серверной частью. Что-то я пропустил?
Отказ от ответственности : Я не член ассоциации cacert даже не Assurer, а обычный счастливый пользователь.
Я бы посоветовал бесплатные SSL-сертификаты от StartSSL, которые также распознаются современными браузерами. У меня нет ничего против CACert, за исключением того, что для выдачи сертификатов не требуется ничего, кроме учетной записи, и эти сертификаты никем не распознаются, если вы вручную не установите корневой сертификат.
Обязательный отказ от ответственности, так как это рекомендация продукта: я никоим образом не связан с StartSSL. Просто довольный покупатель.
Я бы посоветовал, хотя нет ничего плохого в использовании бесплатных сертификатов, например от CACert, вы, вероятно, тоже ничего не получите от этого.
Поскольку по умолчанию им ничего не доверяет, вам все равно придется установить / развернуть корневой сертификат для всех ваших клиентов, что является той же ситуацией, в которой вы бы оказались с самозаверяющими сертификатами или сертификатами, выпущенными внутренним центром сертификации.
Решение, которое я предпочитаю (и использую), - это внутренний центр сертификации и массовое развертывание его корневого сертификата на всех машинах домена. Наличие контроля над центром сертификации, который вы используете, делает управление сертификатами намного проще, чем даже через сайт портала. С вашим собственным ЦС вы обычно можете создать сценарий запроса сертификата и соответствующей проблемы с сертификатом, чтобы все ваши серверы, сайты и все, что требует сертификата, могли получить его автоматически и доверять вашим клиентам почти сразу после помещения в вашу среду, с никаких усилий или ручных задач со стороны ИТ-специалистов.
Конечно, если вы не справляетесь с задачей настройки и автоматизации собственного центра сертификации, то использование внешнего бесплатного центра сертификации, такого как тот, который вы упомянули, может немного облегчить вашу жизнь, нужно лишь развернуть один внешний корневой сертификат ... но вам, вероятно, следует попытаться сделать это правильно с первого раза и настроить внутренний центр сертификации для своего домена.
Это лучше, чем использовать самоподписанный и простой http, и почему?
Самозаверяющие сертификаты научат ваших пользователей (и ВАС) регулярно переходить по предупреждениям, что является плохой привычкой. Что, если этот самозаверяющий сертификат был заменен поддельным сертификатом? Заметили бы ваши пользователи или они слепо щелкнули бы через еще один диалог безопасности?