it-swarm-eu.dev

Je špatné používat certifikáty SSL s vlastním podpisem?

SSL certifikáty jsou pro jednotlivce dost drahé, zvláště pokud potřebujete zabezpečit různé subdomény. Uvažuji o použití self-signed certifikátů, protože mým primárním zaměřením je zabezpečit připojení a neověřovat se.

Několik prohlížečů však při výskytu takového certifikátu zobrazuje nepříjemná varování. Odradili byste od používání self-signed certifikátů (například pro malé webové aplikace nebo administrační stránky malého webu)? Nebo je to v některých případech v pořádku?

29
Wookai

Obecně je špatné používat certifikát s vlastním podpisem. Pokud tak učiníte, riskujete, že lidé opustí váš web, když dostanou varování, že váš certifikát je špatný. Ještě důležitější je, že vystavujete většímu riziku, že někdo provede injekční útok, kde použije místo vašeho vlastního certifikátu s vlastním podpisem a návštěvník nebude vědět nic lepšího.

Podívejte se na článek zde, http://www.sslshopper.com/article-when-are-self-signed-certificates-acceptable.html , kde se dozvíte trochu více informací.

14
Ben Hoffman

Jak řekl RandomBen, certifikáty s vlastním podpisem se obvykle mrzí z důvodů, které vysvětlil. Existuje však jedna situace, v níž jsou v pořádku: pokud je soubor lidí, kteří potřebují k zasílání citlivých údajů na váš web, malý a omezený, všichni jsou poněkud technicky způsobilí a jste schopni se všemi komunikovat. V takovém případě můžete každé osobě poskytnout podrobnosti o certifikátu, poté může ručně zkontrolovat certifikát, když navštíví váš web, a případně přidat bezpečnostní výjimku.

Jako extrémní příklad mám na svém osobním VPS administrativní subdoménu, ke které bych měl mít přístup pouze já. Zabezpečení této domény pomocí certifikátu s vlastním podpisem by nemělo žádný problém, protože mohu ručně zkontrolovat, zda je certifikát serveru používaný k zabezpečení připojení stejný jako ten, který jsem nainstaloval na serveru.

V případech, kdy certifikát s vlastním podpisem nebude fungovat, nebo byste raději měli „skutečný“, doporučuji Pojďme se zašifrovat , projekt zahájený skupinou pro výzkum zabezpečení Internetu a podporovaný velkým internetem společnosti, které nabízejí certifikáty SSL zdarma. Mohou to udělat, protože proces ověřování, který používají, je zcela automatizovaný a webový server, který podporuje jejich protokol ACME (jako Caddy , který v současné době používám), může získat certifikáty zcela samostatně. Pojďme zašifrovat neověřuje, že jste jako osoba, kdo říkáte, že jste; ověří pouze to, že váš webový server je schopen zobrazovat obsah v doméně, na kterou se vztahuje. Pojďme šifrovat podporují všechny hlavní prohlížeče, ale je dobře známo, že ověření je minimální, takže pokud používáte něco jako web elektronického obchodu nebo cokoli, kam lidé budou odesílat citlivé informace, měli byste pravděpodobně utratit peníze za získání certifikát s vyšší úrovní validace.

Doporučil jsem zdarma certifikáty StartSSL od StartCom pro lidi, kteří nechtěli platit za ověření, ale už ne. StartCom byl v roce 2016 tajně pořízen společností WoSign a následně vydal nelegitimní certifikáty pro několik domén. V důsledku toho hlavní prohlížeče odstranily podporu pro certifikáty StartCom. (Pokud vím, IE je nikdy nepodporoval.) V každém případě je Pojďme šifrování mnohem pohodlnější.

14
David Z

Používání certifikátů s vlastním podpisem je ne špatnou praxí. Certifikáty s vlastním podpisem mají mnoho praktických účelů, pro které prostě nemá smysl používat certifikát podepsaný CA.

Například na mnoha mých serverech mám nastaveno přihlášení bez hesla. Jedná se o servery, ke kterým se připojuji tak často, a někdy nechávám otevřená více připojení SSH, takže je obtížné zadávat moje uživatelské jméno a heslo pokaždé.

Místo toho používám self-signed SSL certifikát, který generuji na každém z mých klientských počítačů (pracovní stanice v kanceláři, laptop a moje domácí pracovní stanice). Toto nastavení mi umožňuje používat poměrně dlouhé, bezpečné a zcela jedinečné přístupové fráze pro každý z mých serverů bez ovlivnění produktivity. A protože mám přímý přístup k serverům, kde mohu nainstalovat veřejný klíč pro každý certifikát, nemám smysl používat certifikát podepsaný CA.

jsem mohl nastavit vlastní kořenový CA, se kterým mohu podepsat všechny certifikáty pro interní použití pro naši společnost, a tak bych jen potřeboval nainstalovat jeden veřejný klíč na každý server. Naše organizace se však nerozrostla na takovou velikost, která by to skutečně vyžadovala, a pro účely zabezpečeného protokolu HTTP by to stále bylo stejné, jako kdybychom měli certifikát s vlastním podpisem.

Podobně se samopodepsané certifikáty často používají pro e-mailové připojení, podpis PGP a připojení server-server, kde je triviální předběžná výměna veřejných klíčů. V mnoha z těchto případů je to ve skutečnosti bezpečnější než spoléhat se na řetěz certifikátů, který by mohl být ohrožen v kterémkoli bodě řetězce.

3
Lèse majesté

Pokud zabezpečujete více subdomén, možná budete chtít použít zástupné certifikáty , které (v závislosti na počtu subdomén, které zajišťujete) by mohlo fungovat výrazně levněji než nákup jedné domény na doménu; například RapidSSL má zástupnou kartu levnější než jednotlivé certs, jakmile máte čtyři domény v použití.

2
Cebjyre