it-swarm-vi.com

Có phải là một thực tế xấu khi sử dụng chứng chỉ SSL tự ký?

Chứng chỉ SSL khá đắt đối với cá nhân, đặc biệt nếu bạn cần bảo mật các tên miền phụ khác nhau. Tôi đang xem xét sử dụng các chứng chỉ tự ký, vì trọng tâm chính của tôi là bảo mật kết nối và không xác thực bản thân.

Tuy nhiên, một số trình duyệt hiển thị các cảnh báo khó chịu khi gặp phải chứng chỉ như vậy. Bạn có khuyến khích việc sử dụng chứng chỉ tự ký (ví dụ: cho ứng dụng web nhỏ hoặc trang quản trị của một trang web nhỏ) không? Hoặc nó ổn trong một số trường hợp?

29
Wookai

Nói chung là xấu khi sử dụng một chứng chỉ tự ký. Nếu bạn làm điều đó thì bạn đang gặp rủi ro, mọi người sẽ rời khỏi trang web của bạn khi họ nhận được cảnh báo về chứng chỉ của bạn là xấu. Quan trọng hơn, bạn đang có nguy cơ lớn hơn khi có ai đó thực hiện một cuộc tấn công tiêm chích, nơi họ sử dụng chứng chỉ tự ký của chính họ ở vị trí của bạn và khách truy cập sẽ không biết gì hơn.

Kiểm tra bài viết ở đây, http://www.sslshopper.com/article-when-are-'m-sign-certert-acceptable.html để biết thêm một chút thông tin về nó.

14
Ben Hoffman

Như RandomBen đã nói, các chứng chỉ tự ký thường không được chấp nhận vì những lý do mà ông giải thích. Nhưng có một tình huống họ vẫn ổn: nếu tập hợp những người cần gửi dữ liệu nhạy cảm đến trang web của bạn nhỏ và hạn chế, tất cả họ đều có năng lực kỹ thuật và bạn có thể giao tiếp với tất cả họ. Trong trường hợp đó, bạn có thể cung cấp cho mỗi người chi tiết chứng chỉ, sau đó họ có thể kiểm tra thủ công chứng chỉ khi họ truy cập trang web của bạn và thêm ngoại lệ bảo mật nếu thích hợp.

Một ví dụ cực đoan, trên VPS cá nhân của tôi, tôi có một tên miền phụ quản trị, chỉ nên được tôi truy cập. Sẽ không có vấn đề gì khi bảo mật tên miền đó bằng chứng chỉ tự ký bởi vì tôi có thể kiểm tra thủ công chứng chỉ máy chủ đang được sử dụng để bảo mật kết nối có giống với tên tôi đã cài đặt trên máy chủ không.

Trong trường hợp chứng chỉ tự ký không hoạt động hoặc bạn muốn có chứng chỉ "thật", tôi khuyên bạn nên Hãy mã hóa , một dự án được bắt đầu bởi Nhóm nghiên cứu bảo mật Internet và được hỗ trợ bởi internet lớn các công ty cung cấp chứng chỉ SSL miễn phí. Họ có thể làm điều này vì quy trình xác minh họ sử dụng hoàn toàn tự động và trên thực tế, một máy chủ web hỗ trợ giao thức ACME (như Caddy , mà tôi hiện đang sử dụng) có thể có được giấy chứng nhận hoàn toàn trên chính nó. Let Encrypt không xác minh rằng bạn , với tư cách là một người, bạn nói bạn là ai; nó chỉ xác minh rằng máy chủ web của bạn có khả năng phục vụ nội dung trên miền mà nó tuyên bố. Encrypt được hỗ trợ bởi tất cả các trình duyệt chính, nhưng mọi người đều biết rằng xác minh là tối thiểu, vì vậy nếu bạn đang chạy một cái gì đó như trang web thương mại điện tử hoặc bất cứ thứ gì mà mọi người sẽ gửi thông tin nhạy cảm, có lẽ bạn nên chi tiền để có được Giấy chứng nhận với mức độ xác nhận cao hơn.

Tôi đã từng đề xuất các chứng chỉ StartSSL miễn phí từ StartCom cho những người không muốn trả tiền để xác thực, nhưng không còn nữa. StartCom đã được WoSign bí mật mua lại vào năm 2016 và sau đó đã cấp giấy chứng nhận bất hợp pháp cho một số tên miền. Do đó, các trình duyệt chính đã loại bỏ hỗ trợ của họ cho chứng chỉ StartCom. (Theo như tôi biết, IE không bao giờ hỗ trợ họ.) Trong mọi trường hợp, Let Encrypt tiện lợi hơn nhiều.

14
David Z

Đó là không thực hành xấu để sử dụng chứng chỉ tự ký. Chứng chỉ tự ký có rất nhiều mục đích thực tế mà đơn giản là không có ý nghĩa khi sử dụng chứng chỉ có chữ ký CA.

Ví dụ: trên nhiều máy chủ của tôi, tôi đã thiết lập đăng nhập không mật khẩu. Đây là những máy chủ mà tôi kết nối thường xuyên và đôi khi vẫn mở nhiều kết nối SSH, điều đó thật rắc rối khi nhập tên người dùng và mật khẩu của tôi mỗi lần.

Thay vào đó, tôi sử dụng chứng chỉ SSL tự ký mà tôi tạo trên mỗi máy khách của mình (máy trạm tại văn phòng, máy tính xách tay và máy trạm tại nhà của tôi). Kiểu thiết lập này cho phép tôi sử dụng các cụm mật khẩu khá dài, an toàn và hoàn toàn duy nhất cho mỗi máy chủ của mình mà không ảnh hưởng đến năng suất. Và bởi vì tôi có quyền truy cập trực tiếp vào các máy chủ nơi tôi có thể cài đặt khóa chung cho mỗi chứng chỉ, nên không có điểm nào trong tôi khi sử dụng chứng chỉ có chữ ký CA.

Tôi có thể thiết lập CA gốc của riêng mình mà tôi có thể ký tất cả các chứng chỉ sử dụng nội bộ cho công ty của chúng tôi và theo cách này tôi chỉ cần cài đặt một khóa công khai duy nhất trên mỗi máy chủ. Tuy nhiên, tổ chức của chúng tôi đã không phát triển đến quy mô thực sự cần điều này và vì mục đích bảo mật HTTP, điều này vẫn giống như có chứng chỉ tự ký.

Tương tự, các chứng chỉ tự ký thường được sử dụng cho các kết nối email, chữ ký PGP và các kết nối từ máy chủ đến máy chủ, nơi nó không quan trọng đối với các khóa công khai trước khi trao đổi. Trong nhiều trường hợp, điều này thực sự an toàn hơn là dựa vào chuỗi chứng chỉ có thể bị xâm phạm tại bất kỳ thời điểm nào trong chuỗi.

3
Lèse majesté

Nếu bạn đang bảo mật nhiều tên miền phụ, bạn có thể muốn sử dụng chứng chỉ ký tự đại diện , điều này (tùy thuộc vào số lượng tên miền bạn đang bảo mật) có thể rẻ hơn đáng kể so với việc mua một tên miền cho mỗi tên miền; ví dụ RapidSSL có ký tự đại diện rẻ hơn so với các certs riêng lẻ khi bạn có bốn tên miền được sử dụng.

2
Cebjyre