Вопрос: Зачем мне покупать сертификат SSL, когда я могу создать его локально?


У меня возникли проблемы с пониманием того, почему нам нужно приобретать SSL-сертификаты, когда мы можем их локально генерировать с помощью openSSL. В чем разница между приобретенным сертификатом и тестовым сертификатом, который я генерирую локально? Это просто большая афера?


53
2018-04-29 11:48


Источник


Что касается Триада ЦРУ для обеспечения информационной безопасности самозаверяющие сертификаты предоставляют конфиденциальность а также целостность (то есть они разрешают зашифрованные сообщения между двумя сторонами), но только сертификаты, подписанные доверенным источником, предоставляют подлинность (т. е. другая сторона в зашифрованном разговоре на самом деле является тем, кем вы ее считаете). - apsillers
Надеемся, что когда DNSSEC вступит в игру, люди смогут создать свой собственный сертификат и сохранить его в записи DNS. После этого цепочка доверия DNSSEC будет достаточной, чтобы доказать, что сертификат принадлежит владельцу домена. (Я не думаю, что это формализованная спецификация (пока), но было бы неплохо) - jackweirdy
Для внутреннего использования вы можете развернуть сертификат как надежный с помощью групповой политики (в окнах). - Ben
Я часто задаюсь вопросом, почему люди тоже не принимают мои собственные печатные деньги;) - tgkprog
Примечание. свободно поставщик базовых сертификатов. Эти 90% потребностей людей могут быть выполнены. И у некоторых ЦС есть очень низкие сертификаты стоимости, нет оснований, чтобы разбить банк, неважно, что вам нужно. (за исключением делегации, конечно) - Chris S


Ответы:


Одно слово - доверие. Сертификат SSL от поставщика, которому доверяет ваш браузер, означает, что они, по крайней мере, выполнили базовую проверку, чтобы сказать, что вы являетесь тем, кем вы говорите.

В противном случае я мог бы сделать свои собственные сертификаты для google.com или yourbank.com и притворяться ими.

Платные сертификаты не обеспечивают какого-либо дополнительного уровня шифрования через самоподписанные (обычно). Но самоподписанный сертификат заставит браузер выкинуть ошибку.

Да, части SSL - это мошенничество (сертификат verisign против geotrust, где verisign до 100 раз дороже), но не все.

Если это все внутреннее вещество, тогда нет необходимости в оплачиваемом сертификате, так как вы можете использовать свои собственные методы доверия (например, ничего не делать или, возможно, просто проверять отпечатки пальцев).


67
2018-04-29 12:05



Если это все внутреннее содержимое, вы можете развернуть свой сертификат как доверенный, используя групповую политику. - Ben
С другой стороны, подписание драйверов - это мошенничество. Для чего это, да, это огромный рип, но у нас нет выбора. successfulsoftware.net/2008/02/27/... - Matt
@Matt - я читал эту статью раньше; когда мы смотрели на ввод кода на работу. Мы решили просто самоподписать и посоветовать людям проверить подписи. К счастью, у нас очень высокотехнологичные пользователи (в основном). - Mark Henderson♦
И самоподписанные сертификаты генерируют предупреждения во всех браузерах. Хотя сертификаты от поставщиков могут быть проверены всеми основными браузерами, потому что у них есть открытые ключи для этих провайдеров, и они могут подтвердить ваши сертификаты и подтвердить, что они действительно были подписаны провайдером. - Matt


Весь смысл SSL-сертификата заключается в том, что браузер имеет разумную степень доверия к открытому ключу сервера для транзакций HTTPS.

Во-первых, давайте рассмотрим, что произойдет, если мы не будем использовать сертификаты. Вместо этого сервер отправил бы открытый ключ в открытый текст, и браузер инициировал бы зашифрованную связь, используя его (первое, что он сделал бы, - это зашифровать свой собственный открытый ключ и безопасно отправить его). Что, если я и нападающий вклинились в середину? Я мог бы заменить ваш открытый ключ «на лету» моим, иметь зашифрованное соединение с браузером, расшифровать все материалы, которые я получаю, зашифровать его с помощью открытого ключа и отправить его (и наоборот для трафика типа ответа). Ни одна из сторон не заметила бы разницы, так как никто не знал открытых ключей заранее.

Итак, мы установили, что нам нужен способ, чтобы браузер доверял моему открытому ключу. Один из способов сделать это - сохранить все зарегистрированные открытые ключи в браузере. Конечно, это потребует обновления каждый раз, когда кто-то регистрирует открытый ключ, и это приведет к раздуванию. Также можно хранить открытые ключи в руках DNS-серверов1, но DNS-серверы также могут быть подделаны, а DNS не является безопасным протоколом.

Таким образом, единственный вариант - это «цепочка» доверия через механизм подписи. В браузере хранится информация о нескольких ЦС, и ваш сертификат будет отправлен вместе с цепочкой других сертификатов, каждый из которых подписывает следующий код и подходит к корневому / доверенному / встроенному ЦС. Задача CA - убедиться, что домен принадлежит вам, прежде чем подписывать сертификат для вас.

Поскольку CA является бизнесом, они берут на себя ответственность за это. Несколько больше, чем другие.


Если вы сделали свой собственный сертификат, вы получите ошибку, аналогичную:

enter link description here

Для беззнакового сертификата нет значения. Это как взять карандаш и буклет, рисунок паспорта, который утверждает, что вы Барак Обама. Никто не будет этому доверять.

1. В конце концов, ваша запись DNS создается при регистрации домена. Использование более надежного протокола, позволяющего одновременно регистрировать открытые ключи, будет интересной концепцией.


23
2018-04-29 22:12



Вы также можете использовать сшивание DNSSEC для вашего SSL-сертификата, поэтому сертификат получает (в конечном счете) от ICANN как CA, а не от другого центра сертификации. Ни один из текущих браузеров не поддерживает это, хотя Chrome использовал. - Richard Gadsden


Ответ на ваш вопрос зависит от вашей аудитории: Поскольку вся система сертификатов основана на «доверии», ваши пользователи должны иметь доступность для подтверждения своих сертификатов или доверять третьей стороне, выполнившей эти проверки, и показывает успех, подписав сертификат. Термин «для проверки ваших сертификатов», который я использовал, является немного неточным: длинная версия должна быть: «для подтверждения того, что вы являетесь владельцем сертификата и ему разрешено использовать его».

Если все ваши пользователи знают вас по-личному и имеют техническую возможность подтвердить, что ваш сертификат был выпущен самостоятельно, нет необходимости в технической поддержке сертификата от «сертифицированного» поставщика. В этом случае самозаверяющий сертификат может быть даже лучше, чем у одного из поставщиков.

Но в большинстве случаев пользователи не могут самостоятельно выполнять этот процесс. Здесь эти поставщики SSL выходят на рынок. Они предлагают услугу выполнять эти проверки и выражать результат проверок, подписывая сертификат. Но один важный факт, который нужно иметь в виду, заключается в следующем: подписывая сертификат, SSL-провайдер выражает, что он проверил идентификацию эмитентов сертификатов в соответствии со своей собственной политикой подписи. Таким образом, пользователь должен решить, достаточно ли эта политика, и может ли он доверять провайдеру.


5
2018-04-29 17:55





Главное, если сертификат самогенерируется, обычные пользователи не имеют возможности проверить его правдивость. Для купленного сертификата они предполагают, по крайней мере, проверять правильность печати внутри сертификата. Идея: если вы поместите свой телефон и адрес в сертификат, CA предположим, чтобы проверить его, но они редко делают.

В дополнение, сертификат покупки прослеживается, это означает, что пользователь всегда может отслеживать, откуда пришел сертификат, в то время как самозаверяющий сертификат является только случайным идентификатором.

Для многих систем в прошлом требовалось «подписание кода» из уполномоченного центра сертификации, но с учетом того, что самозаверяющий сертификат настолько многочисленен, он уже не действует на 100%.


4
2018-04-29 12:05





Нет технической разницы (ваши собственные не менее безопасны) просто организационной: сертификат вашего ЦС не является частью стандартной установки браузеров. Это делает неудобным для большинства людей подключение к вашему сертификату. Но было бы бессмысленно покупать сертификат для внутренней сети.


3
2018-04-29 12:05





Это сводится к доверию. «Сертифицированный» поставщик SSL предположительно заслуживает доверия (хотя это можно манипулировать) по сравнению с самозаверяющим сертификатом с самого сервера.

Если у вашей организации есть своя собственная подпись сертификата, это совершенно приемлемо и не должно вызывать предупреждения для пользователей (при условии, что они используют ваш ключ ключей ключей в качестве надежного источника), но все равно будет создавать предупреждение, если вы попытаетесь использовать его извне.

Bottom Line: для внутреннего использования это нормально, если вы предоставляете его внешне платящему клиенту, не имея никаких предупреждений, это спокойствие. Чувствуете ли вы себя безопаснее, если ваши финансовые операции будут проходить через аккредитованный источник или какого-нибудь парня, стоящего на улице, которого вы действительно не знаете?


3
2018-04-29 12:12





В последнее время, LetsEncrypt объявила о доступности своих инструментов командной строки для создания действительных сертификатов.

Никаких подтверждений электронной почты, не сложное редактирование конфигурации, никаких истекших сертификатов, нарушающих ваш сайт. И, конечно, потому что Let's Encrypt предоставляет сертификаты бесплатно, не нужно организовывать оплату.

Для тех, кто задается вопросом, являются ли эти сертификаты действительными в основных браузерах, ответ «Да»:

19 октября 2015 года промежуточные сертификаты были перекрестно подписаны IdenTrust, в результате чего всем сертификатам, выданным Let's Encrypt, доверяли все основные браузеры. [20]

..... 8 марта 2016 года Let's Encrypt выпустил свой миллионный сертификат после семи месяцев существования. [39]

12 апреля 2016 года Let's Encrypt left Beta.

Ссылка для системного администратора и разработчиков: https://letsencrypt.org/getting-started/

В эпоху технологии блокчейнов и ликвидации сторонних систем доверия было время, когда вопрос о выдаче дорогостоящих сертификатов несколькими избранными органами начинает подвергаться сомнению.

Хотя Letsencrypt не имеет ничего общего с технологией blockchain, это начало в правильном направлении. Надеюсь, что платить ежегодную плату за дорогостоящий центр сертификации, надеюсь, придет к логическому завершению.


3
2018-04-21 13:36





Проще говоря, самоподписанный сертификат SSL ничего не значит. Он не имеет ценности для внешнего мира. Это как сказать «Я владею Испанией». Вы могли бы честно думать, что это так, но никто не узнает ваше требование.

Аналогичная аналогия могла бы придумать что-то, а затем потребовать, чтобы вы обладали правами на изобретение, но если вы не зарегистрировали патент в офисе, будет сложно принять ваше слово за это, не так ли?


Весь смысл сертификата заключается в том, что он подписывается доверенным лицом, которому доверяют. Если на каком-либо веб-сайте действует действующий SSL-сертификат, это означает, что владелец ушел с проблемой регистрации своего веб-сайта, заплатив за сертификат SSL и получив официальную сертификацию от какого-либо авторитетного центра сертификации, так что это, скорее всего, не дешевый фишинг-сайт. С другой стороны, если вы доверяете самозаверяющим сертификатам, то фишинг-сайт может просто сгенерировать свой собственный поддельный сертификат (который вы с радостью согласитесь) и вуаля.

Конечно, если это внутренняя сеть в частной интрасети, то вы, вероятно, доверяете друг другу, так что в этом случае авторитетный сертификат на самом деле ничего не добавляет, поэтому вы можете спокойно игнорировать яркие красные огни, которые ваш браузер бросит на вас , То же самое для небольших веб-сайтов, где вы по-прежнему хотите, чтобы трафик клиент-сервер был зашифрован, но ваша модель угроз не гарантирует сильную аутентификацию, и в этом случае вы можете получить с помощью самозаверяющего сертификата и принять (пренебрежимо малую из вашей модели угроз) риск MITM.

Вероятно, это удовлетворительно, учитывая, насколько дорогостоящими доверенными сертификатами SSL могут быть.


Другими словами, самозаверяющий сертификат означает: «Я подтверждаю, что я тот, кто я есть, Доверьтесь мне!».


2
2018-04-29 14:56



Это правильно, но все же стоит отметить, что оплаченные сертификаты являются лишь доказательством того, что кто-то пережил проблемы с выплатой денег органу сертификации. Продавцы с другой стороны Verisign / Namecheap / Whatever-CA не собираются делать ничего больше, чем отправлять сертификат только на hostmaster@example.org (например, они отправят его на сайт phix-сайта exqmple.org) , - 89c3b1b8-b1ae-11e6-b842-48d705
@tristan Совершенно верно, они могли бы использовать более совершенные формальные процедуры для такого рода вещей, но я полагаю, что логистические требования были бы необоснованными. - Thomas
@tristan - это несовершенная система, но у органов власти есть стимул быть заслуживающим доверия. Например, если они дали случайному лицу сертификат Google, они будут удалены из всех браузеров в короткие сроки. Они также предлагают сертификаты «расширенной проверки», которые теоретически означают, что они проводят большую проверку. Любой из них может решить, что для этого требуются персональные тесты ДНК, если они думают, что это укрепит их репутацию и заработает их бизнес. - Nathan Long
@NathanLong Это не о том, чтобы дать «сержант Google» некоторым недобросовестным людям, но даже EV cert по-прежнему просто проверяет «кто-то может отвечать на сообщения электронной почты из этого домена». Во всяком случае, мы обходим одни и те же точки: а) пользователям по-прежнему нужно знать, чтобы не давать деньги на payqal.com, б) барьер стоимости для SSL не стоит для некоторых мошенников; в) платные сертификаты означают, что это более вероятно что сайт, скорее всего, будет искать DNS-запрос, который вам нужен, и d) разумный подход к обеспечению начального значения в сценарии «этот сервер принадлежит тем же / другим людям, что и в прошлый раз, когда вы проверяли», - 89c3b1b8-b1ae-11e6-b842-48d705
Тристан, это часть стоимости. Очень недорогие сертификаты делают очень недорогую проверку. Очень дорогие сертификаты (уровень предприятия) могут сделать очень дорогостоящую проверку. (хотя цена ни в коем случае не является прямым показателем того, насколько хороша работа по проверке). Некоторые сертификаты дают абсолютную гарантию того, кто вы, но в большинстве случаев гарантируете, что у вас есть какой-то контроль над доменом, который они выдают. ,