Самоподписанный сертификат SSL или CA?

Я хотел бы, чтобы аутентификационные и регистрационные части моего сайта были зашифрованы (по понятной причине). Этот сайт в настоящее время и более старый сайт, который некоторые друзья и я начали в средней школе и до сих пор используем сегодня. Я могу или не могу зарегистрировать его как некоммерческую организацию в ближайшем будущем, но в любом случае ЦА стоит денег, а организация не имеет и мы в настоящее время являемся детьми колледжа.

Verisign необоснован, и GoDaddy составляет 30 долларов США в год. GoDaddy не слишком необоснованно, и я думаю, что их сертификаты принимаются большинством веб-браузеров. Дело с GoDaddy заключается в том, что я не знаю, почему у них разные продукты SSL (т. Е. Почему дешево не проверять меня? Имеет ли это какие-либо последствия для сертификата и как браузер относится к нему, если он просто содержит имя домена ?)

Кроме того, есть ли проблема с использованием моего собственного сертификата? Может ли страница входа в систему быть http, и есть строка, в которой указано, что я использую самозаверяющий сертификат, и вот его отпечаток пальца, а затем отправить форму на страницу https? Метод Safari не слишком плох или звучит слишком страшно. Я боюсь, однако, что метод firefox 3 отпугнет людей и даст мне тонну писем, в которых говорится, что мой сайт взломан или что-то в этом роде. Я не знаю, как IE отвечает на самозаверяющие сертификаты. (Существует также вопрос о том, зачем платить за то, что я могу создать самостоятельно без каких-либо усилий, но я не стану представлять его философскую часть, это более практичный вопрос.)

В общем, я даю GoDaddy $ 30 в год или просто говорю людям в небольшом абзаце, что я делаю, и даю немногим людям, которые действительно захотят получить отпечаток пальца?

Изменить: некоторые на форуме, который я читал для получения дополнительной информации, упомянули, что сертификаты GoDaddy предоставляются только в том случае, если они находятся на сервере GoDaddy, чего нет. Две вещи: (1) это правда? и есть другие ЦС примерно по той же цене, поэтому аргумент должен быть тем же.

Сертификат SSL решает две цели: шифрование трафика (для обмена ключами RSA, по крайней мере) и проверка доверия. Как вы знаете, вы можете шифровать трафик (или без, если мы говорим SSL 3.0 или TLS) любой самозаверяющий сертификат. Но доверие осуществляется через цепочку сертификатов. Я не знаю вас, но я доверяю verisign (или, по крайней мере, Microsoft, потому что им было заплачено много денег, чтобы установить его в своих операционных системах по умолчанию), и поскольку Verisign доверяет вам, то я доверяю вам слишком. В результате, нет никакого страшного предупреждения, когда я перехожу на такую ​​страницу SSL в своем веб-браузере, потому что кто-то, кому я доверяю, сказал, что вы есть кто вы.

Как правило, чем дороже сертификат, тем больше расследование того, что выдаёт сертификат. Таким образом, для сертификатов расширенной проверки, запрашивающие должны представить больше документов, чтобы доказать, что они такие, кем они говорят, и взамен они получают яркую, счастливую зеленую панель в современных веб-браузерах (я думаю, что Safari ничего не делает с это совсем еще).

Наконец, некоторые компании идут с большими мальчиками, такими как Verisign, исключительно для названия бренда; они знают, что их клиенты, по крайней мере, слышали о Verisign, и поэтому для людей, совершающих покупки в своем интернет-магазине, их печать выглядит немного меньше эскиза, чем, скажем, GoDaddy’s.

Если брендинг не важен для вас или ваш сайт не подвержен фишинговым атакам, то по умолчанию самый дешевый SSL-сертификат, который вы можете приобрести, который установлен корнем в большинстве веб-браузеров по умолчанию, будет прекрасным. Как правило, единственная проверка заключается в том, что вы должны иметь возможность отвечать на электронную почту, отправленную административному контакту DNS, таким образом, «доказывая», что вы «владеете» этим доменным именем.

Конечно, вы можете использовать эти дешевые сертификаты o на серверах, отличных от GoDaddy, но вам, вероятно, придется сначала установить промежуточный сертификат на сервере. Это сертификат, который находится между вашим сертификатом cheap-o $ 30 и корневым сертификатом GoDaddy «real deal». Веб-браузеры, посещающие ваш сайт, будут похожи на «хм, похоже, что это было подписано с промежуточным звеном, у тебя это есть?» для этого требуется дополнительная поездка. Но тогда он запросит у промежуточного сервера ваш сервер, посмотрите, что он привязан к доверенному корневому сертификату, о котором он знает, и проблем нет.

Но если вам не разрешено устанавливать промежуточное звено на вашем сервере (например, в режиме совместного хостинга), вам не повезло. Вот почему большинство людей говорят, что сертификаты GoDaddy не могут использоваться на серверах без GoDaddy. Неправда, но достаточно для многих сценариев.

(На работе мы используем сертификат Comodo для нашего интернет-магазина и cheapo $ 30 GoDaddy cert для обеспечения внутреннего подключения к базе данных.)

Отредактировано курсивом, чтобы отразить проницательные разъяснения Эриксона ниже. Узнавайте что-то новое каждый день!

Существует распространенное заблуждение, что самозаверяющие сертификаты по своей сути менее безопасны, чем те, что продаются коммерческими ЦА, такими как GoDaddy и Verisign, и что вы должны жить с предупреждениями / исключениями браузера, если вы их используете; это неверно .

Если вы надежно распространяете самозаверяющий сертификат (или сертификат CA, как предлагалось bobince) и устанавливаете его в браузерах, которые будут использовать ваш сайт , он будет настолько же безопасен, как тот, который был приобретен и не уязвим для человека в середине атаки и подделка сертификатов. Очевидно, это означает, что это возможно только в том случае, если только нескольким людям необходим безопасный доступ к вашему сайту (например, внутренние приложения, личные блоги и т. Д.).

В интересах повышения информированности и поощрения таких малоподобных блоггеров, как я сам, чтобы защитить себя, я написал учебник начального уровня, в котором объясняются концепции сертификатов и как безопасно создавать и использовать собственный самозаверяющий сертификат (полный с образцами кода и скриншотами).

Получите сертификат от Let’s Encrypt, бесплатное CA в новое десятилетие, которое широко поддерживается браузерами.

Я еще не пробовал их, но StartCom упоминался в ответе на аналогичный вопрос . Видимо, вы можете получить годовой сертификат бесплатно, и он принят Firefox 3.

Даже если вам придется платить, я бы предложил использовать CA, а не самозаверяющие сертификаты. Некоторые люди не увидят ваши объяснения, и поддельный сайт может опубликовать собственный отпечаток своего поддельного сертификата так же, как вы предлагаете. Я сомневаюсь, что средний пользователь знает, что такое отпечаток сертификата или как его проверить.

Вместо создания самозаверяющего сертификата создайте самозаверяющий ЦС и подпишите свой сертификат HTTPS. Легче попросить пользователей установить CA, а не один серверный сертификат, и вы можете создавать новые сертификаты (например, для поддоменов или обновлять устаревшие сертификаты), без необходимости повторного установки сертификата сервера.

Затем вы можете решить, стоит ли $ 30 перейти от сертификата, подписанного вашим собственным ЦС, к тому же сертификату, подписанному GoDaddy или кем бы то ни было.

В любом случае, у вас нет страницы HTTP с формой, размещенной на HTTPS. Пользователь не может видеть, что это происходит; они должны были бы просмотреть источник, чтобы проверить, что форма не была захвачена, чтобы указать в другом месте, и никто не собирается это делать. Вам нужно будет иметь переднюю страницу HTTP с ссылкой CA и отдельную ссылку на форму входа HTTPS.

Просить пользователей установить CA с сертификатом, загруженным через простой HTTP, немного озорным: если бы человек был в середине, они могли бы заменить ваш ЦС на лету и захватить последующие соединения HTTPS. Шансы на это на самом деле довольно низки, так как это должно было быть целенаправленной атакой, а не просто старым автоматическим обнюхиванием, но на самом деле вам стоит разместить ссылку CA download на какой-либо другой службе, защищенной HTTPS.

Принятие клиента – это вопрос, на который вы можете ответить, зная, кто ваши пользователи. Конечно, интерфейс Firefox слишком страшен. Если бы CAs, подобные GoDaddy, снизились до 30 долларов в эти дни, я бы, вероятно, пошел на это; Раньше это было много, намного хуже.

Предполагая поддержку старых и нишевых браузеров, это не большая проблема, просто отправляйтесь на самый дешевый CA. Вы должны платить за то, чтобы CA правильно проверила, кто вы, но на практике это не так, как это работает, и это никогда не было, поэтому дополнительная оплата за более тщательные проверки почти ничего не дает. Вымогательские цены Verisign выживают только благодаря корпоративной инерции.

ЦС должны получать деньги за то, что они ничего не делали, а владели несколькими сотнями частных ключей. Проверяющий личность материал, который должен был быть частью мандата ЦС, был перенесен на сертификаты EV. Что еще более риппинг. Радость.

Самоподписанные сертификаты небезопасны . Да, действительно. «По крайней мере, он зашифрован» вовсе не помогает. Из статьи:

Шифрование мирового classа * Нулевая аутентификация = нулевая безопасность

Если ваш сайт для вас и нескольких ваших друзей, вы можете создать свой собственный центр сертификации и распространить свой сертификат на друзей.

В противном случае либо получите сертификат из известного ЦС ( бесплатно ), либо вообще не докупите самоподписанные сертификаты, потому что все, что вы получите, – ложное чувство безопасности.


Почему просто зашифрованный трафик не защищен? Вы всегда разрешаете другому концу расшифровывать ваш трафик (вы должны, иначе вы отправляете тарабарщину).

Если вы не проверяете, кто находится на другом конце, вы разрешаете кому-либо расшифровывать ваш трафик. Это не имеет значения, если вы отправляете данные злоумышленнику надежно или ненадежно – злоумышленник получает данные в любом случае.

Я не говорю о проверке того, принадлежит ли paypal.com надежному финансовому учреждению (это большая проблема). Я говорю о проверке того, отправляете ли вы данные на paypal.com или просто на фургон за углом, который отправляет сертификат: «Да, я как полностью paypal.com, и у вас есть мое слово, что это правда !»

Я, наконец, сломался и переключил свой сервер с самостоятельной подписки на сертификат GoDaddy прошлой ночью, и это была не такая большая сделка, кроме их процесса, не столь ясного, как это могло бы быть. $ 30 / год – разумная стоимость, и использование сертификата на сервере, отличном от GoDaddy, не является проблемой.

Если вы собираетесь публиковать SSL, получите реальный сертификат, подписанный реальным центром сертификации. Даже если вы работаете за минимальную заработную плату, вы сэкономите более 30 долларов США в год на то, чтобы справляться с опасениями или недоверием пользователей, и это даже до того, как вы планируете потерять какой-либо доход из-за того, что вас отпугивают с вашего сайта.

Чтобы ответить на ваш вопрос об Internet Explorer, он будет предупреждать пользователей о любом сайте, чей сертификат не подписан IE-известным (к сожалению, «доверенным») CA. Это относится к вашему собственному ЦС и к самозаверяющим сертификатам. Он также выдает предупреждение, если домен в сертификате не тот, к которому обращаются.

Если это частный сайт, вам может быть безразлично, пока вы получаете шифрование на уровне ссылки (и разве вы боитесь, что кто-то нюхает ваш трафик?). Если есть общеansible доступ, и вы хотите использовать SSL, то получите подписанный сертификат из признанного ЦС, как уже сообщали другие.

Если этот фургон за углом способен уже захватить ваше интернет-соединение, у вас проблемы с худшим, чем самозаверяющие сертификаты.

Банки должны использовать клиентские сертификаты для аутентификации. Это сделало бы невозможным, чтобы этот фургон ничего не сделал … так как у него нет личного ключа банков.

Самоподписанные сертификаты прекрасно подходят … если ваше интернет-соединение не было скомпрометировано. Если ваше соединение было скомпрометировано … в любом случае вы, вероятно, преследуете.

GoDaddy предоставляет SSL-сертификаты за 15 долларов США в год через эту ссылку «купить сейчас» на этом сайте. Не применяйте коды купонов, потому что тогда цена возвращается до 30 долларов в год и скидки оттуда.

http://www.sslshopper.com/ssl-certificate-comparison.html?ids=17,25,34,37,62

  • Какие Cipher Suites включить для SSL Socket?
  • Непосредственно считывать / записывать данные подтверждения с помощью памяти BIO
  • Ошибка «Нет равных сертификатов» в Android 2.3, но НЕ в 4
  • Как восстановить отсутствующий сертификат IIS Express SSL?
  • Amazon S3 - HTTPS / SSL - Возможно ли это?
  • Заставить браузер загружать «https» версию веб-сайта, а не «http»?
  • Java7 Отказ от доверия сертификату в хранилище доверия
  • Регистрация нескольких хранилищ ключей в JVM
  • Как я могу различать эти две ситуации сертификата?
  • Как установить разрешение на чтение файла закрытого ключа сертификата X.509 из .NET.
  • Как извлечь CN из X509Certificate в Java?
  • Interesting Posts
    Давайте будем гением компьютера.