SSL генерирует самозаверяющие сертификаты "змеиного масла" по умолчанию, например, в /etc/ssl/certs/ssl-cert-snakeoil.pem . Согласно Википедии, змеиное масло - это криптографический метод или продукт, который считается мошенническим или поддельным. Есть ли что-нибудь фальшивое в этих сертификатах? Конечно, они не подписаны ни одним известным центром сертификации, но сами сертификаты могут быть подлинными сертификатами так же хорошо, как и любые другие. Например, я мог бы лично безопасно распространять открытый ключ моего сервера среди всех моих клиентов. Предполагая это, есть ли что-нибудь, достойное змеиной нефти из сгенерированных сертификатов, или название вводит в заблуждение?
12
3 ответа
10
Remeber SSL выполняет две очень важные функции
- Безопасное общение
- Доверять
Любой самостоятельно сгенерированный SSL-сертификат дает вам 1., которые разрешают зашифрованный трафик или, как вы говорите, действительный SSL-сертификат.
Однако самостоятельно созданный сертификат SSL может дать доверие только тем, кто доверяет вам. Причина, по которой сертификаты SSL генерируются доверенными третьими сторонами, заключается в предоставлении номера 2. Ваш браузер доверяет им, и они доверяют вам. Если вы создадите его сами, вы можете заявить, что вы www.microsoft.com, и если бы кто-то вам доверял, это было бы.
Также, как указано в комментариях, именно поэтому вы не должны доверять кому-то самозаверяющему сертификату для своего сервера, так как тогда ваш браузер, очевидно, будет доверять любым будущим сертификатам, подписанным тем же сервером.
Вот почему самогенерируются змеиные жиры.
Обновление: служба LetsEncrypt в сочетании с современным веб- сервером, таким как Caddy, избавляет практически от всех сложностей, связанных с получением и использованием сертификатов TLS, поэтому больше нет необходимости в сертификатах со змеиным маслом!
4
Самозаверяющие сертификаты будут шифровать ваше общение так же, как и стандартные. Таким образом, шифрование не является проблемой.
Сертификаты также могут быть использованы для проверки личности. Предполагается, что это работает, когда вы безопасно подключаетесь к серверу, этот сервер представляет свой сертификат вам или вашему браузеру, а затем вы или ваш браузер решаете, можете ли вы доверять утверждению личности сервера.
Сертификаты могут быть подписаны другими «высокоуровневыми» сертификатами, обычно называемыми центрами сертификации. Таким образом, если сертификат сервера подписан центром сертификации, которому вы или ваш браузер доверяете, удостоверение считается действительным.
Большинство основных браузеров поставляются с рядом корневых сертификатов, которым они автоматически доверяют, от Verisign и других известных CA.
С самозаверяющим сертификатом, поскольку он не подписан сторонним центром сертификации, но тем же лицом, которое создало сертификат, вы не можете зависеть от кого-либо еще в проверке личности, кроме того, кто сгенерировал сертификат. Это равносильно тому, что кто-то распечатывает свою собственную идентификационную карту и дает ее для проверки личности. Это не обязательно проблема, несмотря на предупреждения браузера, если вы знаете / доверяете, кто сгенерировал сертификат или сделал это самостоятельно.
2
Википедия также говорит: «Змеиное масло - это выражение, которое первоначально относилось к мошенническим медицинским продуктам или недоказанным лекарствам, но стало относиться к любому продукту сомнительного или непроверяемого качества или выгоды».
Это непроверяемое качество, которое важно в этом контексте. Если вы просматриваете сайт SSL, который не имеет цепочки сертификатов, в доверенный центр сертификации, то вы не можете полагаться на SSL, чтобы проверить, что сайт принадлежит и управляется человеком или организацией, которой принадлежит домен (как показано в вашем адресная строка браузера).
Современные веб-браузеры отображают предупреждение о безопасности при просмотре сайтов с самозаверяющими ("змеиными маслами") сертификатами, потому что им не хватает этой цепочки доверенных сертификатов. Например, это может раздражать частную интрасеть, но это защищает людей от ввода их личных данных и платежной информации на фишинговые сайты.