Certyfikat SSL z własnym podpisem czy certyfikat CA? [zamknięte]
Chciałbym, aby Części uwierzytelniania i rejestracji mojej strony internetowej były zaszyfrowane (z oczywistych powodów). Ta strona jest obecnie i starsza strona, którą niektórzy przyjaciele i ja Zacząłem w gimnazjum i nadal korzystać dzisiaj. Mogę lub nie mogę zarejestrować go jako organizację Non-Profit w najbliższej przyszłości, ale tak czy inaczej, CA kosztuje pieniądze, a organizacja nie ma żadnych i jesteśmy obecnie studentami.
Verisign jest nieuzasadnione i GoDaddy jest $30 / rok. GoDaddy nie jest zbyt uważam, że ich certy są akceptowane przez większość przeglądarek internetowych. Rzecz w GoDaddy jest taka, że Nie wiem, dlaczego mają różne produkty SSL(tj. czy ma to jakiś wpływ na cert i sposób, w jaki przeglądarka go traktuje, jeśli zawiera tylko nazwę domeny?)
Czy jest problem z używaniem własnego cert? Czy strona logowania może być http, i mieć linię stwierdzającą, że używam podpisanego cert i tutaj jest to odcisk palca, a następnie opublikować formularz na stronę https? Metoda Safari nie jest zła lub brzmi zbyt przerażająco. Obawiam się jednak, że metoda Firefoksa 3 odstraszy ludzi i da mi tonę e-maili z informacją, że moja strona jest hackowana czy coś. Nie wiem jak IE reaguje na podpisane przez siebie certy. (Jest też kwestia, po co płacić za coś, co mogę stworzyć sam bez wysiłku, ale nie zamierzam stawiać w tym części filozoficznej, to jest bardziej praktyczne pytanie.)
Podsumowując, czy dam GoDaddy $30 a rok czy po prostu powiedzieć ludziom w małym akapicie, co robię i dać kilka osób, które rzeczywiście chcą mój odcisk palca to?
Edit: niektórzy na forum czytałem po więcej informacji wspomniano, że Certy GoDaddy są podane tylko, jeśli jest na serwerze GoDaddy, a to nie jest. dwie rzeczy: (1) Czy to prawda? i są inne CA w tej samej cenie, więc argument powinien być nadal ten sam.
9 answers
Certyfikat SSL rozwiązuje dwa cele: szyfrowanie ruchu (przynajmniej dla wymiany kluczy RSA) i weryfikację zaufania. Jak wiesz, możesz zaszyfrować ruch za pomocą (lub bez, Jeśli mówimy o SSL 3.0 lub TLS) dowolnego certyfikatu z własnym podpisem. Ale zaufanie osiąga się poprzez łańcuch certyfikatów. Nie znam cię, ale ufam verisign (a przynajmniej Microsoftowi, ponieważ zapłacono im dużo pieniędzy, aby zainstalować go w swoich systemach operacyjnych domyślnie), a skoro Verisign ci ufa, to ja też ci ufam. W rezultacie nie ma strasznego ostrzeżenia, gdy wchodzę na taką stronę SSL w mojej przeglądarce internetowej, ponieważ ktoś, komu ufam, powiedział, że jesteś tym, kim jesteś.
Ogólnie rzecz biorąc, im droższy certyfikat, tym bardziej bada to organ wydający certyfikat. Tak więc w przypadku certyfikatów rozszerzonej walidacji wnioskujący muszą przedłożyć więcej dokumentów, aby udowodnić, że są tym, za kogo się podają, a w zamian otrzymują jasny, happy green bar w nowoczesnych przeglądarkach internetowych(myślę, że Safari jeszcze nic z tym nie robi).
Wreszcie, niektóre firmy idą z dużymi chłopcami, takimi jak Verisign, wyłącznie dla samej nazwy marki; wiedzą, że ich klienci przynajmniej słyszeli o Verisign i dlatego dla osób robiących zakupy w ich sklepie internetowym ich pieczęć wygląda trochę mniej szkicowo niż, powiedzmy, GoDaddy. {]}
Jeśli branding nie jest dla ciebie ważny lub jeśli Twoja strona nie jest podatna na ataki phishingowe, to Najtańszy certyfikat SSL, który możesz kupić, który ma domyślnie zainstalowany root w większości przeglądarek internetowych, będzie w porządku. Zazwyczaj jedyną weryfikacją jest to, że musisz być w stanie odpowiedzieć na e-mail wysłany do kontaktu administracyjnego DNS, co "dowodzi", że jesteś "właścicielem" tej nazwy domeny.
Możesz używać tych certyfikatów cheap-o na serwerach innych niż GoDaddy, ale prawdopodobnie będziesz musiał najpierw zainstalować certyfikat pośredni na serwerze. Jest to certyfikat, który znajduje się pomiędzy certyfikat cheap - o $ 30 i certyfikat główny GoDaddy "real deal". Przeglądarki internetowe odwiedzające Twoją witrynę będą brzmiały: "hmm, wygląda na to, że zostało to podpisane pośrednikiem, rozumiesz?"które wymaga może wymagać dodatkowej podróży. Ale wtedy poprosi pośrednika z twojego serwera, sprawdź, czy łączy się z zaufanym certyfikatem głównym, o którym wie, i nie ma problemu.
Ale jeśli nie masz uprawnień do zainstalowania pośrednika na swoim serwerze (np. w scenariusz współdzielonego hostingu), wtedy masz pecha. Dlatego większość ludzi twierdzi, że CERT GoDaddy nie mogą być używane na serwerach innych niż GoDaddy. Nie prawda, ale wystarczająco prawdziwa dla wielu scenariuszy.
(w pracy używamy certyfikatu Comodo dla naszego sklepu internetowego i cheapo $ 30 GoDaddy cert, aby zabezpieczyć wewnętrzne połączenie z bazą danych.)
Edytowane kursywą , aby odzwierciedlić wnikliwe wyjaśnienia Ericksona poniżej. Ucz się czegoś nowego każdego dnia!
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2008-11-16 06:21:07
Istnieje powszechne błędne przekonanie, że certyfikaty podpisane samodzielnie są z natury mniej bezpieczne niż te sprzedawane przez komercyjne urzędy certyfikacji, takie jak GoDaddy i Verisign, i że musisz żyć z ostrzeżeniami/wyjątkami przeglądarki, jeśli ich używasz; jest to nieprawidłowe .
Jeśli bezpiecznie rozpowszechnisz certyfikat z podpisem własnym (lub certyfikat CA, jak sugerował bobince) i zainstalujesz go w przeglądarkach, które będą korzystać z twojej witryny, jest on tak samo bezpieczny jak zakupiony i nie jest podatny na ataki man-in-the-middle i fałszerstwo cert. Oczywiście oznacza to, że jest to możliwe tylko wtedy, gdy tylko kilka osób potrzebuje bezpiecznego dostępu do twojej witryny (np.).
W celu zwiększenia świadomości i zachęcenia innych małych blogerów, takich jak ja, do ochrony siebie, napisałem samouczek na poziomie podstawowym, który wyjaśnia pojęcia stojące za certyfikatami i jak bezpiecznie tworzyć i używać własnego podpisanego certyfikatu (wraz z próbkami kodu i kodami). zrzuty ekranu) tutaj .
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2018-06-08 17:15:40
Uzyskaj certyfikat z Let ' s Encrypt, darmowego CA tej nowej dekady, który jest szeroko obsługiwany przez przeglądarki.
nie próbowałem ich jeszcze, ale StartCom{[2] } został wymieniony w odpowiedzi na podobne pytanie . Najwyraźniej możesz dostać roczny certyfikat za darmo, a jest on akceptowany przez Firefoksa 3.
Nawet jeśli musisz zapłacić, sugerowałbym użycie CA zamiast certyfikatów podpisanych samodzielnie. Niektórzy nie zobaczą twojego wyjaśnienia i fałszywej strony mogą opublikować odcisk palca własnego fałszywego certyfikatu, tak jak proponujesz. Wątpię, aby przeciętny użytkownik wiedział, co to jest odcisk palca certyfikatu lub jak go sprawdzić.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2018-01-06 00:37:14
Zamiast tworzyć certyfikat z podpisem własnym, Utwórz certyfikat z podpisem własnym i podpisz tym certyfikat HTTPS. Łatwiej jest poprosić użytkowników o zainstalowanie CA niż pojedynczego Cert serwera i można tworzyć nowe Cert (np. dla subdomen, lub do aktualizacji wygasłych Cert) bez konieczności ponownego instalowania cert serwera.
Możesz później zdecydować, czy warto przełączyć się z certyfikatu podpisanego przez twój własny urząd certyfikacji na ten sam certyfikat podpisany przez GoDaddy lub kogokolwiek innego.
Tak czy siak, nie mieć stronę HTTP z formularzem wysłanym do HTTPS. Użytkownik nie widzi, że do tego zmierza; musiałby przejrzeć źródło, aby sprawdzić, czy Formularz nie został porwany, aby wskazać gdzie indziej i nikt tego nie zrobi. Musisz mieć stronę główną HTTP z linkiem CA i osobny link do formularza logowania HTTPS.
Proszenie użytkowników o zainstalowanie CA z certyfikatem pobranym przez zwykły HTTP jest trochę niegrzeczne: gdyby był człowiek w środku, mógłby zastąpić Twój CA w locie i porwać wynikające z tego połączenia HTTPS. Szanse na to, że tak się stanie są dość niskie, ponieważ musiałby to być atak ukierunkowany w przeciwieństwie do zwykłego automatycznego sniffingu, ale naprawdę powinieneś hostować link do pobrania CA w innej usłudze chronionej HTTPS.
Akceptacja Klienta to kwestia, na którą możesz odpowiedzieć, wiedząc, kim są Twoi użytkownicy. Z pewnością interfejs Firefoksa jest zbyt straszny. Jeśli CAs jak GoDaddy są w dół do $30 te dni, prawdopodobnie pójdę na to; to było kiedyś dużo, dużo gorzej.
Zakładając, że wsparcie dla starych i niszowych przeglądarek nie jest dużym problemem, po prostu wybierz najtańszy dostępny CA. Jesteś przypuszczać płacić, aby mieć CA prawidłowo sprawdzić, kim jesteś, ale w praktyce nie tak to działa i nigdy nie było, więc płacenie dodatkowe za dokładniejsze kontrole dostaje prawie nic. Zuchwałe ceny Verisign przetrwają tylko dzięki korporacyjnej inercji.
CAs są po to, aby otrzymywać pieniądze za nic nie Robienie, ale posiadanie kilkaset bitów klucza prywatnego. Dokumenty potwierdzające tożsamość, które miały być częścią mandatu CA, zostały przeniesione do certyfikatów EV. Które są jeszcze bardziej zdzierstwem. Joy.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2008-11-15 17:00:07
Certyfikaty z własnym podpisem są niebezpieczne . Tak, naprawdę. "Przynajmniej jest zaszyfrowane" wcale nie pomaga. Z Artykułu:
Światowej klasy szyfrowanie * zero uwierzytelniania = zero bezpieczeństwa
Jeśli Twoja strona jest dla Ciebie i kilku twoich znajomych, możesz utworzyć własny urząd certyfikacji i rozdać certyfikat znajomym.
W Przeciwnym Razie albo uzyskaj certyfikat ze znanego CA (za darmo) albo nie zawracaj sobie głowy certyfikatami podpisanymi samodzielnie w wszystko, bo wszystko, co dostaniesz to fałszywe poczucie bezpieczeństwa.
Dlaczego tylko szyfrowany ruch nie jest bezpieczny? Zawsze pozwalasz, aby drugi koniec odszyfrował Twój ruch (musisz, inaczej będziesz wysyłał bełkot).
Jeśli nie sprawdzisz, kto jest po drugiej stronie, pozwolisz każdemu odszyfrować Twój ruch. nie ma znaczenia, czy dane są wysyłane do atakującego bezpiecznie, czy nie - atakujący i tak otrzymuje dane.
I ' m nie mówię o sprawdzaniu, czy np. paypal.com należy do wiarygodnej instytucji finansowej (to większy problem). Chodzi mi o sprawdzenie czy wysyłasz dane do na paypal.com lub po prostu do Vana za rogiem, który wysyła certyfikat z napisem "yeah, I' m like totally paypal.com i masz moje słowo, że to prawda!"
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2018-01-05 23:59:35
Właśnie w końcu się zepsułem i przełączyłem mój serwer z własnoręcznie podpisanego na Cert GoDaddy ostatniej nocy i nie było to takie wielkie halo, poza tym, że ich proces nie jest tak jasny, jak to tylko możliwe. 30 usd / rok to rozsądny koszt, a korzystanie z cert na serwerze innym niż GoDaddy nie stanowi problemu.
Jeśli zamierzasz mówić publicznie o SSL, zdobądź prawdziwy cert podpisany przez prawdziwego CA. Nawet jeśli pracujesz za minimalną płacę, zaoszczędzisz ponad 30 usd/rok na zmarnowanym czasie w kontaktach z użytkownikiem obawy lub nieufność, a to nawet przed rozważeniem ewentualnych utraconych przychodów z powodu strachu przed Twoją witryną.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2008-11-15 17:19:51
Aby odpowiedzieć na twoje pytanie dotyczące Internet Explorera, ostrzeże użytkowników o każdej stronie, której certyfikat nie jest podpisany przez znanego IE (niestety zwanego "zaufanym") CA. Dotyczy to również własnego urzędu certyfikacji i certyfikatów podpisanych samodzielnie. Wyświetli również ostrzeżenie, jeśli domena w certyfikacie nie jest domeną dostępną.
Jeśli jest to strona prywatna, może cię to nie obchodzić tak długo, jak otrzymujesz szyfrowanie na poziomie łącza(i czy boisz się, że ktoś wącha Twój ruch?). Jeśli jest dostęp publiczny i chcesz SSL, uzyskaj podpisany certyfikat od uznanego urzędu certyfikacji, jak inni już doradzali.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2008-11-15 20:13:33
Jeśli ten van za rogiem jest w stanie przejąć twoje połączenie internetowe, masz gorsze problemy niż samo podpisane certyfikaty.
Banki powinny używać certyfikatów klientów do uwierzytelniania. To uniemożliwiłoby temu Vanowi cokolwiek.... ponieważ nie ma klucza prywatnego banków.
Własnoręcznie podpisane certy są w porządku... zakładając, że Twoje połączenie internetowe nie zostało naruszone. Jeśli Twoje połączenie zostało naruszone... pewnie i tak jesteś wkurzony.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2009-11-19 14:52:35
GoDaddy daje Certyfikaty SSL za $15 rocznie za pośrednictwem tego linku Kup teraz na tej stronie. Nie stosuj kodów kuponów, ponieważ wtedy cena wraca do $30 rocznie i zniżki stamtąd.
Http://www.sslshopper.com/ssl-certificate-comparison.html?ids=17,25,34,37,62
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2008-11-18 10:49:11