Самоподписанный сертификат SSL или CA? [закрытый]


Я хотел бы, чтобы аутентификация и регистрация на моем веб-сайте были зашифрованы (по очевидной причине). Этот сайт в настоящее время и более старый сайт, который некоторые друзья и я начали в средней школе и до сих пор используют сегодня. Я могу зарегистрировать его как некоммерческую организацию в ближайшем будущем, но в любом случае, CA стоит денег, а у организации их нет, и мы в настоящее время студенты колледжа.

Verisign неразумно, а GoDaddy - $30/год. Компания GoDaddy тоже не неразумно, и я думаю, что их сертификаты принимаются большинством веб-браузеров. Дело с GoDaddy в том, что я не знаю, почему у них есть разные продукты SSL (т. е.: почему это дешево, чтобы не проверить меня? имеет ли это какое-либо значение для сертификата и как браузер обрабатывает его, если он просто содержит доменное имя?)

Кроме того, есть ли проблема с использованием моего собственного сертификата? Может ли страница входа быть http, и иметь строку, в которой говорится, что я использую самоподписанный сертификат, и вот это отпечаток пальца, а затем разместить форма на страницу https? Метод сафари не так уж плох или звучит слишком страшно. Я боюсь, однако, что метод firefox 3 отпугнет людей и даст мне тонну писем, в которых говорится, что мой сайт взломан или что-то в этом роде. Я не знаю, как IE реагирует на самоподписанные сертификаты. (Есть также вопрос о том, зачем платить за то, что я могу создать сам без усилий, но я не собираюсь ставить философскую часть этого, это более практический вопрос.)

В сумме, даю ли я GoDaddy $30 a год или я просто расскажу людям в небольшом абзаце, что я делаю, и дам несколько человек, которые действительно захотят мой отпечаток пальца?

Edit: некоторые на форуме, который я читал для получения дополнительной информации, упоминали, что сертификаты GoDaddy выдаются только в том случае, если они находятся на сервере GoDaddy, а это не так. и есть другие CA примерно по той же цене, так что аргумент должен быть все тот же.

9   45   2008-11-15 19:31:46

9 ответов:

Сертификат SSL решает две задачи: шифрование трафика (по крайней мере, для обмена ключами RSA) и проверка доверия. Как вы знаете, вы можете шифровать трафик с помощью (или без, если речь идет о SSL 3.0 или TLS) любого самозаверяющего сертификата. Но доверие достигается через цепочку сертификатов. Я вас не знаю, но я доверяю verisign (или, по крайней мере, Microsoft, потому что им заплатили много денег, чтобы они установили его в своих операционных системах по умолчанию), и поскольку доверяет VeriSign вы, то, я надеюсь, вы тоже. В результате, нет никакого страшного предупреждения, когда я захожу на такую страницу SSL в моем веб-браузере, потому что кто-то, кому я доверяю, сказал, что вы тот, кто вы есть.

Как правило, чем дороже сертификат, тем больше исследований проводит выдающий его центр сертификации. Так что для получения расширенных сертификатов валидации, заявители должны представить больше документов, чтобы доказать, что они те, за кого они себя выдают, и взамен они получают яркую, счастливый зеленый бар в современных веб-браузерах (я думаю, что Safari еще ничего с ним не делает).

Наконец, некоторые компании идут с большими мальчиками, такими как Verisign, исключительно ради названия бренда; они знают, что их клиенты, по крайней мере, слышали о Verisign, и поэтому для людей, делающих покупки в их интернет-магазине, их печать выглядит немного меньше, чем, скажем, Godaddy'S.

Если брендинг не важен для вас или если ваш сайт не подвержен фишинговым атакам, то самый дешевый сертификат SSL, который вы можете купить, который имеет свой корень, установленный в большинстве веб-браузеров по умолчанию, будет прекрасным. Обычно единственная проверка заключается в том, что вы должны иметь возможность ответить на электронное письмо, отправленное администратору DNS, и таким образом "доказать", что вы "являетесь владельцем" этого доменного имени.

Вы можете использовать эти дешевые сертификаты на серверах, не являющихся GoDaddy, конечно, но вам, вероятно, придется сначала установить промежуточный сертификат на сервере. Это сертификат, который находится между вашими дешевый сертификат o $30 и корневой сертификат GoDaddy "real deal". Веб-браузеры, посещающие ваш сайт, будут выглядеть так: "Хм, похоже, что это было подписано с промежуточным звеном, вы поняли?"что требует может потребоваться дополнительная поездка. Но тогда он запросит промежуточное звено с вашего сервера, увидит, что он цепляется к доверенному корневому сертификату, о котором он знает, и нет никаких проблем.

Но если вы не можете установить промежуточное звено на вашем сервере (например, в сценарий совместного хостинга), то вам не повезло. Вот почему большинство людей говорят, что GoDaddy certs нельзя использовать на серверах, не являющихся GoDaddy. Не правда, но достаточно для многих сценариев.

(на работе мы используем сертификат Comodo для нашего интернет-магазина и сертификат cheapo $30 GoDaddy для обеспечения внутреннего соединения с базой данных.)

Отредактированокурсивом , чтобы отразить приведенные ниже проницательные разъяснения Эриксона. Учитесь чему-то новому каждый день!

Существует распространенное заблуждение, что самозаверяющие сертификаты по своей сути менее безопасны, чем те, которые продаются коммерческими CA, такими как GoDaddy и Verisign, и что вы должны жить с предупреждениями браузера/исключениями, если вы их используете; это неверно.

Если вы безопасно распространяете самозаверяющий сертификат (или CA cert, как предложил бобинс) и устанавливаете его в браузерах, которые будут использовать ваш сайт, он так же безопасен, как и приобретенный, и не уязвим для человек-в-середине атакует и подделывает сертификаты. Очевидно, это означает, что это возможно только в том случае, если только несколько человек нуждаются в безопасном доступе к вашему сайту (например, внутренние приложения, личные блоги и т. д.).

В интересах повышения осведомленности и поощрения коллег-мелких блоггеров, таких как я, чтобы защитить себя, я написал учебник начального уровня, который объясняет концепции сертификатов и как безопасно создавать и использовать свой собственный самозаверяющий сертификат (в комплекте с образцами кода и скриншоты) здесь .

Получите сертификат от Давайте зашифруем, бесплатный CA этого нового десятилетия, который широко поддерживается браузерами.

я еще не пробовал их, ноStartCom был упомянут в ответена аналогичный вопрос . По-видимому, вы можете получить сертификат на один год бесплатно, и он принят Firefox 3.

Даже если вам придется заплатить, я бы предложил использовать CA, а не самозаверяющие сертификаты. Некоторые люди не увидят вашего объяснения, и поддельный сайт могли бы разместить отпечаток пальца своего собственного поддельного сертификата, как вы предлагаете. Я сомневаюсь, что средний пользователь знает, что такое отпечаток пальца сертификата или как его проверить.

Вместо того, чтобы создавать самозаверяющий сертификат, создайте САМОЗАВЕРЯЮЩИЙ CA и подпишите им свой сертификат HTTPS. Проще попросить пользователей установить CA, чем сертификат одного сервера, и вы можете создать новые сертификаты (например. для субдоменов или для обновления истекших сертификатов) без необходимости повторной установки сертификата сервера.

Затем вы можете решить позже, стоит ли переходить от сертификата, подписанного вашим собственным CA, к тому же сертификату, подписанному GoDaddy или кем-то еще.

В любом случае, не надо есть страница HTTP с формой, размещенной на HTTPS. Пользователь не может видеть, что это то, куда он идет; они должны были бы просмотреть источник, чтобы проверить, что форма не была захвачена, чтобы указать в другом месте, и никто не собирается этого делать. У вас должна быть передняя страница HTTP со ссылкой CA и отдельной ссылкой на форму входа HTTPS.

Просить пользователей установить CA с сертификатом, загруженным через обычный HTTP, немного непослушно: если бы был человек в середине, они могли бы заменить ваш CA на лету и захватить последующие HTTPS-соединения. Шансы на то, что это действительно произойдет, довольно низки, поскольку это должна быть целенаправленная атака, а не простое автоматическое обнюхивание, но на самом деле вы должны размещать ссылку для загрузки CA на каком-то другом защищенном HTTPS сервисе.

Принятие клиентов-это вопрос, на который можете ответить только вы, зная, кто ваши пользователи. Конечно, интерфейс Firefox чрезмерно страшен. Если бы CAs, как GoDaddy, снизился до 30 долларов в эти дни, я бы, вероятно, пошел на это; раньше это было намного, намного хуже.

Предполагая, что поддержка старых и нишевых браузеров не является большой проблемой,просто перейдите на самый дешевый доступный CA. Предполагается, что вы платите за то, чтобы ЦС должным образом проверил, кто вы, но на практике это не так, и никогда не было, поэтому доплата за более тщательные проверки почти ничего не дает. Грабительские цены Verisign выживают только благодаря корпоративной инерции.

CAs существуют, чтобы получать деньги за то, что они ничего не делают, кроме владения несколько сотен бит секретного ключа. Материал для проверки личности, который должен был быть частью мандата CA, был перемещен в сертификаты EV. А это еще больше похоже на грабеж. Радость.

Самозаверяющие сертификатынебезопасны . Да, действительно. "По крайней мере, это зашифровано" совсем не помогает. Из статьи:

Шифрование мирового класса * нулевая аутентификация = нулевая безопасность

Если ваш сайт предназначен для вас и нескольких ваших друзей, то вы можете создать свой собственный центр сертификации и распространить свой сертификат среди друзей.

В противном случае либо получите сертификат от известного CA (бесплатно ), либо не беспокойтесь о самозаверяющих сертификатах на все, потому что все, что вы получите-это ложное чувство безопасности.


Почему просто зашифрованный трафик не является безопасным? Вы всегда позволяете другому концу расшифровывать ваш трафик (вы должны, иначе вы посылали бы тарабарщину).

Если вы не проверяете, кто находится на другом конце, вы позволяете кому-либо расшифровывать ваш трафик. не имеет значения, безопасно вы отправляете данные злоумышленнику или нет-злоумышленник получает данные в любом случае.

Я ... не говоря уже о проверке, напр. paypal.com принадлежит надежному финансовому учреждению (это большая проблема). Я говорю о проверке того, отправляете ли Вы данные в тот самый paypal.com или просто к фургону за углом, который посылает сертификат, говорящий " Да, я как полностью paypal.com и даю вам слово, что это правда!"

Я просто, наконец, сломался и переключил свой сервер с самоподписанного на GoDaddy cert прошлой ночью, и это было не так уж и важно, кроме того, что их процесс не был так ясен, как это могло бы быть. $30/год-это разумная стоимость, и использование сертификата на сервере, не являющемся GoDaddy, не является проблемой.

Если вы собираетесь говорить о SSL для общественности, получите реальный сертификат, подписанный реальным CA. Даже если вы работаете за минимальную зарплату, вы сэкономите более $ 30/год, потраченного впустую времени в общении с пользователем. страхи или недоверие, и это еще до того, как рассматривать любые возможные потери дохода из-за того, что их отпугивают от вашего сайта.

Чтобы ответить на ваш вопрос о Internet Explorer, он предупредит пользователей о любом сайте, сертификат которого не подписан известным IE (к сожалению, называемым "доверенным") CA. Это относится как к вашему собственному ЦС, так и к самозаверяющим сертификатам. Он также выдаст предупреждение, если домен в сертификате не является тем, к которому осуществляется доступ.

Если это частный сайт, вам может быть все равно, пока вы получаете шифрование на уровне ссылок (и вы так боитесь, что кто-то обнюхивает ваш трафик?). Если есть открытый доступ и вы хотите SSL, то получите подписанный сертификат от признанного CA, как уже советовали другие.

Если этот фургон за углом уже способен перехватить ваше интернет-соединение, у вас есть проблемы похуже, чем самоподписанные сертификаты.

Банки должны использовать сертификаты клиентов для аутентификации. Это сделало бы невозможным для этого фургона что-либо сделать.... поскольку у него нет секретного ключа банка.

Самоподписанные сертификаты-это прекрасно... при условии, что ваше интернет-соединение не было скомпрометировано. Если ваше соединениебыло скомпрометировано... ты, наверное, все равно упертый.

GoDaddy предоставляет SSL сертификаты за $ 15 в год по ссылке Купить сейчас на этом сайте. Не применяйте коды купонов, потому что тогда цена возвращается к $ 30 в год и скидки оттуда.

Http://www.sslshopper.com/ssl-certificate-comparison.html?ids=17,25,34,37,62