Самоподписанный сертификат SSL или CA?

Я хотел бы, чтобы аутентификационные и регистрационные части моего сайта были зашифрованы (по понятной причине). Этот сайт в настоящее время и более старый сайт, который некоторые друзья и я начали в средней школе и до сих пор используем сегодня. Я могу или не могу зарегистрировать его как некоммерческую организацию в ближайшем будущем, но в любом случае ЦС стоит денег, а организация не имеет и мы в настоящее время являемся студентами колледжа.

Verisign неразумный, а GoDaddy - 30 долларов США в год. GoDaddy не слишком необоснованно, и я думаю, что их сертификаты принимаются большинством веб-браузеров. Дело с GoDaddy заключается в том, что я не знаю, почему у них разные продукты SSL (т.е. Почему дешево не проверять меня? Имеет ли это какие-либо последствия для сертификата и как браузер относится к нему, если он просто содержит имя домена?)

Кроме того, есть ли проблема с использованием моего собственного сертификата? Может ли страница входа в систему быть http, и есть строка, в которой указано, что я использую самозаверяющий сертификат, и вот он отпечаток пальца, а затем отправить форму на страницу https? Метод Safari не слишком плох или звучит слишком страшно. Я боюсь, однако, что метод firefox 3 отпугнет людей и даст мне тонну писем, говорящих, что мой сайт взломан или что-то в этом роде. Я не знаю, как IE отвечает на самозаверяющие сертификаты. (Существует также вопрос о том, зачем платить за то, что я могу создать самостоятельно, без усилий, но я не стану представлять его философскую часть, это более практичный вопрос.)

В общем, я даю GoDaddy $30 в год или просто говорю людям в небольшом абзаце, что я делаю, и даю немногим людям, которые действительно захотят получить отпечаток пальца?

Изменить: некоторые на форуме, который я читал для получения дополнительной информации, упомянули, что сертификаты GoDaddy предоставляются только на сервере GoDaddy, чего нет. Две вещи: (1) это правда? и есть другой ЦС примерно по той же цене, поэтому аргумент должен быть тем же самым.

Ответ 1

SSL-сертификат решает две цели: шифрование трафика (для обмена ключами RSA, по крайней мере) и проверка доверия. Как вы знаете, вы можете шифровать трафик (или без, если мы говорим SSL 3.0 или TLS) любой самозаверяющий сертификат. Но доверие осуществляется через цепочку сертификатов. Я не знаю вас, но я доверяю verisign (или, по крайней мере, Microsoft, потому что им было заплачено много денег, чтобы установить его в своих операционных системах по умолчанию), и поскольку Verisign доверяет вам, то я доверяю вам слишком. В результате, нет страшного предупреждения, когда я перехожу на такую страницу SSL в своем веб-браузере, потому что кто-то, кому я доверяю, сказал, что вы такие, кем являетесь.

Как правило, чем дороже сертификат, тем больше расследование того, что выдаёт сертификат. Таким образом, для сертификатов расширенной проверки, запрашивающие должны представить больше документов, чтобы доказать, что они такие, кем они говорят, и взамен они получают яркую, счастливую зеленую панель в современных веб-браузерах (я думаю, что Safari ничего не делает с это совсем еще).

Наконец, некоторые компании идут с большими мальчиками, такими как Verisign, исключительно для названия бренда; они знают, что их клиенты, по крайней мере, слышали о Verisign, и поэтому для людей, совершающих покупки в своем интернет-магазине, их печать выглядит немного меньше эскиза, чем, скажем, GoDaddy's.

Если брендинг не важен для вас или ваш сайт не подвержен фишинговым атакам, то самый дешевый SSL-сертификат, который вы можете купить, который установлен корнем в большинстве веб-браузеров по умолчанию, будет прекрасным. Как правило, единственная проверка заключается в том, что вы должны иметь возможность отвечать на электронную почту, отправленную административному контакту DNS, тем самым "доказывая", что вы "владеете" этим доменным именем.

Вы можете использовать эти дешевые сертификаты o на серверах, отличных от GoDaddy, конечно, но вам, вероятно, придется сначала установить промежуточный сертификат на сервере. Это сертификат, который находится между вашим сертификатом cheap-o $30 и корневым сертификатом GoDaddy "real deal". Веб-браузеры, посещающие ваш сайт, будут похожи на "хм, похоже, что это было подписано с промежуточным звеном, у тебя это есть?" для которого ~~требуется~~, может потребоваться дополнительная поездка. Но тогда он запросит промежуточного со своего сервера, убедитесь, что он привязан к доверенному корневому сертификату, о котором он знает, и нет проблем.

Но если вам не разрешено устанавливать промежуточное звено на вашем сервере (например, в режиме совместного хостинга), вам не повезло. Вот почему большинство людей говорят, что сертификаты GoDaddy не могут использоваться на серверах без GoDaddy. Не верно, но достаточно для многих сценариев.

(На работе мы используем сертификат Comodo для нашего интернет-магазина и cheapo $30 GoDaddy cert для обеспечения внутреннего подключения к базе данных.)

Отредактировано курсивом, чтобы отразить прояснительные разъяснения erickson ниже. Узнайте что-то новое каждый день!

Ответ 2

Существует распространенное заблуждение, что самозаверяющие сертификаты по своей сути менее безопасны, чем те, которые продаются коммерческим ЦА, такие как GoDaddy и Verisign, и что вы должны жить с предупреждениями/исключениями браузера, если вы их используете; неверно.

Если вы надежно распространяете самозаверяющий сертификат (или сертификат CA, как предлагалось bobince) и устанавливаете его в браузерах, которые будут использовать ваш сайт, он будет настолько же безопасным, как тот, который был приобретен и не уязвим для людей, средние атаки и подделка сертификатов. Очевидно, это означает, что это возможно только в том случае, если только нескольким людям необходим безопасный доступ к вашему сайту (например, внутренние приложения, личные блоги и т.д.).

В интересах повышения осведомленности и поощрения таких малоподобных блоггеров, как я, чтобы защитить себя, я написал учебник начального уровня, в котором объясняются концепции сертификатов и как безопасно создавать и использовать свои собственные самозаверяющие cert (в комплекте с образцами кода и скриншотами): http://www.clintharris.net/2009/self-signed-certificates/. Обратная связь приветствуется!

Ответ 3

Я еще не пробовал их, но StartCom упоминался в ответе на аналогичный вопрос. Видимо, вы можете получить годовой сертификат бесплатно, и он был принят Firefox 3.

Даже если вам придется платить, я бы предложил использовать CA, а не самозаверяющие сертификаты. Некоторые люди не увидят ваши объяснения, и поддельный сайт может опубликовать свой собственный поддельный отпечаток сертификата так же, как вы предлагаете. Я сомневаюсь, что средний пользователь знает, что такое отпечаток сертификата или как его проверить.

Ответ 4

Вместо создания самозаверяющего сертификата создайте самозаверяющий ЦС и подпишите свой сертификат HTTPS. Легче попросить пользователей установить CA, а не один серверный сертификат, и вы можете создавать новые сертификаты (например, для поддоменов или обновлять устаревшие сертификаты) без необходимости повторного установки сертификата сервера.

Затем вы можете позже решить, стоит ли $30 перейти от сертификата, подписанного вашим собственным CA, к тому же сертификату, подписанному GoDaddy или кем бы то ни было.

В любом случае, у вас нет страницы HTTP с формой, отправленной на HTTPS. Пользователь не может видеть, что это происходит; они должны были бы просмотреть источник, чтобы проверить, что форма не была захвачена, чтобы указать в другом месте, и никто не собирается это делать. Вам нужно будет иметь переднюю страницу HTTP со ссылкой CA и отдельную ссылку на форму входа HTTPS.

Попросить пользователей установить CA с сертификатом, загруженным через простой HTTP, немного озорным: если бы человек был в середине, они могли бы заменить ваш ЦС на лету и захватить последующие соединения HTTPS. Шансы на это на самом деле довольно низки, так как это должно было быть целенаправленной атакой, а не просто старым автоматическим обнюхиванием, но на самом деле вы должны размещать ссылку CA download на какой-либо другой службе, защищенной HTTPS.

Принятие клиента - это вопрос, на который вы можете ответить, зная, кто ваши пользователи. Конечно, интерфейс Firefox слишком страшен. Если бы CAs, подобные GoDaddy, снизились до 30 долларов в эти дни, я бы, вероятно, пошел на это; это было много, намного хуже.

Предполагая, что поддержка старых и нишевых браузеров не является проблемой, просто выберите самый дешевый CA. Вы должны платить за то, чтобы CA правильно проверила, кто вы, но на практике это не так, как это работает, и это никогда не было, поэтому дополнительная оплата за более тщательные проверки почти ничего не дает. Цены на вымогательство Verisign выживают только благодаря корпоративной инерции.

ЦС должны получать деньги за то, что они ничего не делали, а владели несколькими сотнями частных ключей. Проверяющий личность материал, который должен был быть частью мандата ЦС, был перенесен на сертификаты EV. Что еще более риппинг. Джой.

Ответ 5

Самоподписанные сертификаты небезопасны. Да, действительно. "По крайней мере, он зашифрован" вовсе не помогает. Из статьи:

шифрование мирового класса * нулевая аутентификация = нулевая безопасность

Если ваш сайт для вас и нескольких ваших друзей, вы можете создать свой собственный центр сертификации и распространить сертификат для друзей.

В противном случае либо получить сертификат из известного ЦС, либо вообще не беспокоиться о самоподписанных сертификатах, потому что все, что вы получили, - ложное чувство безопасности.

Почему просто зашифрованный трафик не защищен? Вы всегда позволяете другому концу расшифровывать свой трафик (вы должны, иначе вы будете посылать тарабарщину).

Если вы не проверяете, кто на другом конце, вы разрешаете кому-либо расшифровывать ваш трафик.. Неправильно ли вы отправляете данные злоумышленнику или не надежно - злоумышленник все равно получает данные.

Я не говорю о проверке, например, paypal.com принадлежит заслуживающему доверия финансовому учреждению (это большая проблема).

Я говорю о проверке отправки данных на paypal.com или просто в фургон за углом, который отправляет сертификат, говорящий "Да, я как полностью paypal.com, и у вас есть слово, что это правда!"

Ответ 6

Я только что сломался и переключил свой сервер с самозаверяющего сертификата GoDaddy прошлой ночью, и это была не такая большая сделка, кроме их процесса, не столь ясного, как это могло бы быть. $30/year - разумная стоимость, и использование сертификата на сервере, отличном от GoDaddy, не является проблемой.

Если вы собираетесь публиковать SSL, получите реальный сертификат, подписанный реальным центром сертификации. Даже если вы работаете за минимальную заработную плату, вы сэкономите более 30 долларов в год в расходовании времени на борьбу с опасениями или недоверием пользователей и даже перед рассмотрением любого возможного потерянного дохода из-за того, что вас отпугивают с вашего сайта.

Ответ 7

Чтобы ответить на ваш вопрос об Internet Explorer, он будет предупреждать пользователей о любом сайте, чей сертификат не подписан IE-известным (к сожалению, "доверенным" ) CA. Это относится к вашему собственному ЦС и к самозаверяющим сертификатам. Он также выдает предупреждение, если домен в сертификате не тот, к которому обращаются.

Если это частный сайт, вам может быть безразлично, пока вы получаете шифрование на уровне ссылки (и вы опасаетесь, что кто-то обнюхивает ваш трафик?). Если есть общедоступный доступ, и вы хотите использовать SSL, то получите подписанный сертификат из признанного ЦС, как уже сообщали другие.

Ответ 8

Если этот фургон за углом может уже захватить ваше интернет-соединение, у вас проблемы с худшим, чем самозаверяющие сертификаты.

Банки должны использовать клиентские сертификаты для аутентификации. Это сделало бы невозможным, чтобы этот фургон ничего не сделал... так как у него нет личного ключа банков.

Самоподписанные сертификаты отлично подходят... если ваше интернет-соединение не было скомпрометировано. Если ваше соединение было скомпрометировано... вы, вероятно, в любом случае преследуете.

Ответ 9

GoDaddy предоставляет SSL-сертификаты за 15 долларов США в год через эту ссылку на покупку на этом сайте. Не применяйте коды купонов, потому что тогда цена возвращается до $30 в год и скидки оттуда.

http://www.sslshopper.com/ssl-certificate-comparison.html?ids=17,25,34,37,62