Является ли самозаверяющий сертификат SSL менее безопасным?

Question

Я использую самозаверяющий сертификат SSL на главной странице нашего выпускного вечера. Я знаю почти всех, кто использует этот сайт лично, поэтому я могу заверить их, что сертификат заслуживает доверия, даже если браузер отображает предупреждение.

Вопрос заключается в следующем: если я использую этот самозаверяющий сертификат и мои одноклассники посещают веб-сайт в любом случае, они менее защищены от хакеров и вредоносных атак?

Веб-сайт не требует максимальной безопасности: единственная цель веб-сайта - общаться в чате и заказывать билеты; оплата не происходит на сайте !

РЕДАКТИРОВАТЬ:

При входе на незашифрованный веб-сайт предупреждение не отображается. Означает ли это, что никакое шифрование не лучше, чем самодельное шифрование? Я так не думаю!

Answer 1

Самозаверяющий сертификат обеспечивает шифрование как обычный сертификат. Но это не обеспечивает обычную идентификацию. Но правильная идентификация необходима для HTTPS, потому что в противном случае возможна олицетворение сервера и человека в середине атаки, что фактически делает шифрование бесполезным.

Вы также можете предоставить надлежащую идентификацию с помощью самозаверяющего сертификата, предоставив всем, кто любит подключаться к вашему сайту, заранее необходимую информацию о том, какой сертификат следует ожидать, т.е. предоставив сам сертификат или отпечаток пальца. Конечно, вы должны предоставить это безопасным способом (т.е. не внутри полосы во время соединения). Вы также должны как-то убедиться, что другой действительно сравнивает полученный сертификат с ожидаемым, а не просто щелкает по нему. Это работает, если только очень немногие люди будут посещать сайт, но не будет масштабироваться с большим количеством посетителей.

Другая проблема с сертификатами, не выданными общедоступным центром сертификации, - это когда выполняется перехват SSL. Это часто встречается в компаниях, но это делают и некоторые антивирусные продукты. В этом случае сайты, использующие сертификат, который невозможно проверить, часто просто блокируются перехватом SSL, и необходимо явно добавлять исключения.

Answer 2

Возможная атака

Существует небольшая вероятность того, что кто-то может взломать соединение (особенно если он использует общедоступный Wi-Fi) с помощью программного обеспечения, такого как sslstrip , чтобы заменить страницы, которые вы отправляете в браузер, тем, что хочет злоумышленник. Они могут, например, отправлять страницы жертвы, которые выглядят так же, как ваши, и фактический веб-сайт, принимающий кредитные карты, захватывая все, что похоже на данные кредитной карты.

Кроме того, как вы заметили, впечатляющие браузеры предупреждений, такие как Chrome для самоподписанных сертификатов, могут пугать пользователей.

Бесплатная подпись сертификата

Там нет необходимости для самозаверяющих сертификатов. Существуют центры сертификации, которые бесплатно подпишут ваш сертификат в течение короткого периода времени (что должно быть хорошо для выпускного вечера), если вы можете доказать, что вы являетесь владельцем домена. Используйте один из них.

Вот несколько примеров:

• StartCom бесплатный годовой сертификат
• Зашифруем бесплатный 90-дневный сертификат
• Comodo бесплатный 90-дневный сертификат

Answer 3

Самозаверяющий сертификат по-прежнему будет шифровать связь между клиентом (браузером) и вашим сервером.

Вас должно беспокоить, является ли сервер, к которому подключаются ваши друзья, вашим сервером, что нормально; или другой сервер, вставленный злоумышленником, что определенно не подходит.

У ваших пользователей нет реального способа узнать это, за исключением того, что вы сообщаете им каким-либо внеполосным способом свойство вашего сертификата, которое показывает, что этот сертификат принадлежит вам. Вы можете сообщить всем о отпечатке пальца сертификата, но крайне маловероятно, что ваши пользователи захотят или будут знать, как это проверить. Они, без сомнения, примут любой сертификат, который появляется, независимо от того, является ли он подлинной подписью, созданной вами, или подписью, созданной злоумышленником.

Answer 4

Конечно. Просто сделай это.

С технологической точки зрения, тот, кто подписывает сертификат, не так уж важен, если подписчику доверяют. Большая проблема с большинством самозаверяющих сертификатов заключается в том, что веб-браузер не доверяет сертификатам. Однако, если вы можете заставить людей доверять подписи сертификата, то он также функционирует.

Заставить людей доверять сертификату - ключевая задача. Самый простой способ - заплатить центру сертификации, которому сегодня доверяют популярные веб-браузеры. Однако, если вы находитесь в более замкнутой среде (что звучит так, как это имеет место), вы можете распределить ключи, используя частные ресурсы. Возможно, вы даже сможете использовать какие-то автоматизированные средства, поэтому конечным пользователям не нужно выполнять какую-либо работу. Но, если это не удастся, вы могли бы предоставить ряд указаний для конечных пользователей. Это может быть осуществимо, в значительной степени в зависимости от способностей конечных пользователей.

Неправильный способ справиться с этим - попросить их просто игнорировать предупреждение при каждом посещении веб-сайта. Правильный способ - заставить ваш сертификат доверять их браузерам, и тогда их соединения будут работать без каких-либо страшных предупреждений безопасности. (Вместо того чтобы работать против функциональности, связанной с безопасностью веб-браузера, вы используете эффективную функциональность, связанную с безопасностью веб-браузера, и именно так она и была разработана для работы.)

Answer 5

Абсолютно менее безопасно. Сертификаты не для «доверяете ли вы этому веб-сайту или нет», они предназначены для «как любой компьютер в цепочке между мной и пользователем, просматривающим веб-сайт, изменил или просмотрел то, что было опубликовано».

Если вы используете самозаверяющий сертификат, а я был плохим парнем, который контролировал компьютер между вашим сервером и лицом, осуществляющим доступ к сайту, я мог бы сделать свой собственный самозаверяющий сертификат с той же самой информацией, что и ваш сертификат. Это позволило бы мне перехватить данные, расшифровать их, сделать с ними все, что я захочу, повторно зашифровать их с помощью моего поддельного самозаверяющего сертификата, а затем отправить их пользователю.

Самозаверяющие сертификаты безопасны только тогда, когда у вас есть безопасный способ их распространения до того, как пользователь заходит на сайт, который не полагается на сам сертификат.

Честно говоря, если сайт предназначен только для чата и заказа билетов (но не для их оплаты), нет необходимости в SSL.