it-swarm-tr.com

Kendinden imzalı SSL sertifikaları kullanmak kötü bir uygulama mıdır?

SSL sertifikaları, özellikle farklı alt alan adlarını güvence altına almanız gerektiğinde, bireyler için oldukça pahalıdır. Asıl odak noktam bağlantıyı güvence altına almak ve kendimi doğrulamak değil, kendinden imzalı sertifikaları kullanmayı düşünüyorum.

Ancak, bazı tarayıcılar böyle bir sertifika ile karşılaştığında kötü uyarılar görüntüler. Kendinden imzalı sertifikaların kullanımını engeller misiniz (örneğin, küçük web uygulamaları veya küçük bir web sitesinin yönetici sayfaları için)? Yoksa bazı durumlarda sorun değil mi?

29
Wookai

Genel olarak kendinden imzalı bir sertifika kullanmak kötüdür. Bunu yaparsanız, o zaman risk altındasınız demektir, insanlar kötü durum konusunda bir uyarı aldıklarında sitenizi terk ederler. Daha da önemlisi, birisinin sizin yerinizde kendinden imzalı bir cetvel kullandığı yerde enjeksiyon saldırısı yapma riski daha yüksektir ve ziyaretçi daha iyisini bilmeyecektir.

Buradaki makaleye göz atın, http://www.sslshopper.com/article-when-are-self-signed-certificates-acceptable.html bu konuda biraz daha fazla bilgi için.

14
Ben Hoffman

RandomBen’in dediği gibi, kendinden imzalı sertifikalar genellikle açıkladığı nedenlerden dolayı kaşlarını çattı. Ancak, iyi olmaları gereken bir durum var: web sitenize hassas veriler göndermesi gereken insanlar kümesi küçük ve sınırlı ise, hepsi teknik olarak yeterlidir ve hepsiyle iletişim kurabilirsiniz. Bu durumda her kişiye sertifika ayrıntılarını verebilir, ardından sitenize girdiklerinde sertifikayı manuel olarak kontrol edebilir ve uygunsa bir güvenlik istisnası ekleyebilirler.

Aşırı bir örnek olarak, kişisel VPS'mde yalnızca benim erişebileceğim bir yönetici alt etki alanım var. Bu etki alanını kendinden imzalı bir sertifika ile güvence altına almak sorun olmaz, çünkü bağlantıyı güvence altına almak için kullanılan sunucu sertifikasının sunucuda yüklü olduğumu manuel olarak kontrol edebilirim.

Kendinden imzalı bir sertifikanın işe yaramayacağı veya "gerçek" bir tanesine sahip olmayı tercih ettiğiniz durumlarda, Internet Security Research Group tarafından başlatılan ve desteklenen bir proje Let's Encrypt 'i öneririm. SSL sertifikaları sunan belli başlı internet şirketleri tarafından ücretsiz olarak sunulmaktadır. Bunu yapabilirler çünkü kullandıkları doğrulama işlemi tamamen otomatiktir ve aslında ACME protokolünü (like Caddy , Ben şu anda kullanıyorum) tamamen kendi başlarına sertifika alabilir. Haydi Şifrele, sizin bir kişi olarak, sizin söylediğiniz kişi olduğunuzu doğrulamaz; yalnızca web sunucunuzun iddia ettiği etki alanında içerik sunabildiğini doğrular. Diyelim Şifreleme tüm büyük tarayıcılar tarafından desteklenmektedir, ancak doğrulamanın çok az olduğu iyi bilinmektedir, bu nedenle bir e-ticaret sitesi veya insanların hassas bilgileri göndereceği herhangi bir şey gibi bir şey kullanıyorsanız, muhtemelen bir para almak için para harcamalısınız. Doğrulama düzeyi daha yüksek olan sertifika.

Doğrulama için ödeme yapmak istemeyenlere StartCom'dan ücretsiz StartSSL sertifikaları öneririm, ancak artık değil. StartCom, 2016 yılında WoSign tarafından gizlice alındı ​​ve ardından birkaç alan için yasal olmayan sertifikalar verdi. Sonuç olarak, büyük tarayıcılar StartCom sertifikaları için desteklerini kaldırdılar. (Bildiğim kadarıyla, IE zaten onları hiçbir zaman desteklemedi.) Her halükarda Let's Encrypt çok daha uygun.

14
David Z

Kendinden imzalı sertifikaları kullanmak değil kötü bir uygulamadır. Kendinden imzalı sertifikaların, CA imzalı bir sertifika kullanmanın bir anlamı yoktur.

Örneğin, sunucularımın çoğunda, şifresiz giriş ayarlarım var. Bunlar, çok sık bağlandığım ve bazen birden fazla SSH bağlantısını açık tutan, her seferinde kullanıcı adımı ve şifremi yazmamın zorlaştığı sunucular.

Bunun yerine, müşteri makinelerimin her birinde (ofiste bir iş istasyonu, bir dizüstü bilgisayar ve ev iş istasyonum) oluşturduğum kendinden imzalı bir SSL sertifikası kullanıyorum. Bu tür bir kurulum, verimliliğimi etkilemeden sunucularımın her biri için oldukça uzun, güvenli ve tamamen benzersiz şifreler kullanmamı sağlıyor. Ayrıca, her sertifika için ortak anahtarı yükleyebileceğim sunuculara doğrudan erişebildiğim için, CA imzalı bir sertifika kullanmamın bir anlamı yok.

şirketimiz için tüm iç kullanım sertifikalarını imzalayabileceğim kendi kök CA'mı kurabilirim ve bu yolla yalnızca Her sunucuya tek bir ortak anahtar yükleyin. Ancak, kuruluşumuz bunu gerçekten zorunlu kılan boyutlara ulaşmadı ve güvenli HTTP amaçları için, yine de kendinden imzalı bir sertifikaya sahip olacaktı.

Aynı şekilde, kendinden imzalı sertifikalar, ortak anahtarların değiştirilmesinin önemsiz olduğu e-posta bağlantıları, PGP imzası ve sunucudan sunucuya bağlantılar için sıklıkla kullanılır. Bu vakaların çoğunda, bu aslında zincirdeki herhangi bir noktada tehlikeye girebilecek bir sertifika zincirine güvenmekten daha güvenlidir.

3
Lèse majesté

Birden fazla alt alan güvence altına alıyorsanız, joker karakter sertifikaları kullanmak isteyebilirsiniz; bu, (güvende ettiğiniz alt alan adının sayısına bağlı olarak) etki alanı başına bir tane satın almaktan daha ucuza çalışabilir; Örneğin, RapidSSL, kullanımda dört alanınız olduğunda, bireysel hesaplardan daha ucuza gelen bir joker karaktere sahiptir.

2
Cebjyre