У меня есть свой собственный сервер на выделенном IP. Могу ли я просто сгенерировать SSL-сертификат или мне все еще нужно купить его у такой компании, как Network Solutions?
В чем главное различие между ними?
У меня есть свой собственный сервер на выделенном IP. Могу ли я просто сгенерировать SSL-сертификат или мне все еще нужно купить его у такой компании, как Network Solutions?
В чем главное различие между ними?
Единственное различие заключается в том, какой центр сертификации подписал ваш сертификат, и, следовательно, ответ «это то, что CA доверен браузерам по умолчанию».
Браузеры имеют набор сертификатов CA, которым доверяют подписывать сертификаты. Если ваш CA не в этом наборе, пользователь получает большое жирное предупреждение.
Ничто другое в SSL, включая шифрование, не изменяется, но это предупреждение достаточно угрожает, так что вы не можете запустить коммерческую службу без сертификата, подписанного одним из доверенных наборов CA.
Разница в том, что тот, который вы покупаете, исходит из надежного источника.
Если вы создаете его самостоятельно, каждый посетитель должен зарегистрировать сертификат как доверенный в браузере.
Чтобы разъяснить другие ответы, полезно знать, для чего служат сертификаты и как они работают.
При выполнении определенных действий (чаще всего просматривают защищенные веб - страницы, то есть HTTP S или проверке законности файлов), компьютер должен проверить , если она надежна. Это делается путем проверки сертификата безопасности веб-сайта (или электронной подписи файла). Он выполняет некоторые криптографические вычисления, но чтобы быть уверенным, что он не был подделан или подделан, в конечном итоге он должен проверить кого-то еще.
Это делается путем проверки известного, заслуживающего доверия сервера (поэтому вы не можете выполнять такие проверки в автономном режиме, даже если он кэшируется). Система подключается к внешнему серверу центра сертификации (ЦС) и проверяет, является ли сертификат действительным (он должен знать, является ли он действительным вообще, и истек ли он). Когда сертификат скомпрометирован, они должны сделать его недействительным, поэтому вы должны иметь возможность проверить, не истек ли срок действия сертификата.
Теперь, когда вы используете самозаверяющий сертификат, вы единственный, кто знает, действителен ли он. Это означает, что когда другие пользователи просматривают ваш защищенный сайт или загружают ваши файлы, они не могут использовать стандартные центры сертификации для проверки вашего сертификата. Им нужно связаться с вашим сервером (что не отвечает цели - что помешает хакерам подписывать вирусы и запускать свои собственные серверы сертификации?). Чтобы избежать этого, вам нужно, чтобы все, кто будет использовать ваш сертификат, устанавливали его в хранилище сертификатов своей системы и в хранилище Trusted Root CA !
Это имеет две проблемы. Во-первых, это требует, чтобы люди вручную выполняли установку сертификата в (никто не беспокоится о том, что от них требуется что-либо делать). Во-вторых, он требует от них выполнения страшных и сложных действий по обеспечению безопасности, которые потенциально могут привести к проблемам (даже если они это сделают, в процессе будет достаточно предупреждений и флагов, чтобы они, вероятно, просто убежали).
Таким образом, в некоторых случаях использование самозаверяющего сертификата можно, например, домашней сети или другой локальной сети, например, в лаборатории или офисе. Однако для Интернета в целом этого будет недостаточно, и вам потребуется подписать его одним из крупных центров сертификации (предпочтительно одним из тех, сертификат которого включен в Windows). К счастью, есть из чего выбирать, и они варьируются в цене от « я-я-могу-позволить-то-то» до того, что я-Билл-Гейтс.
Рисунок 1: Импорт сертификата
Рисунок 2: Большое страшное предупреждение об импорте сертификата в Trusted Root CA
Сертификат SSL делает одну вещь. Там написано "этот ключ принадлежит этому серверу". Если вы сами создаете сертификат, это означает, что вы говорите, что ваш ключ принадлежит вашему серверу. Но любой, кто доверял тебе, говорил, что сертификат не понадобится. Целью сертификата от CA является то, что CA должен сказать, что ключ принадлежит вашему серверу. Таким образом, люди, которые доверяют этой CA, будут знать, что они достигли сервера, который они намеревались достичь.
Вы можете думать об этом как что-то вроде водительских прав, используемых для открытия банковского счета. В лицензии говорится, что ваша фотография соответствует вашему имени, и банк доверяет эмитенту лицензии не выдавать лицензии, которые не имеют правильного изображения для сопоставления имен. Если бы вы сделали свои собственные водительские права, никто бы не поверил в то, что они сопоставят вашу фотографию с вашим именем, если только они вам уже не доверяют, что в некотором роде лишает смысла иметь ее.
Вам не нужно покупать один. Существуют центры сертификации, которые выдают их бесплатно, подтверждая ваше право собственности на домен по электронной почте или размещая определенный код на его веб-сервере.