Üretimde kendinden imzalı sertifika yerine cacert SSL sertifikalarını kullanmak iyi bir fikir mi?

İş yerinde, düz http veya kendinden imzalı sertifikalar (yük dengeleyici yönetimi arabirimi, dahili wiki, kaktüsler, ...) kullanan bir sürü web arabirimim var.

Belirli vlans / ağlardan hiçbirine ulaşılamaz.

Evde kullanım için cacert SSL sertifikaları kullanıyorum.

İşverenime, kendinden imzalı sertifikalar ve düz http yerine cacert SSL sertifikaları kullanmasını önermem gerekip gerekmediğini merak ediyordum. Üretimde cacert ssl kullanan var mı? Pro / eksileri nelerdir? Güvenliği artırır mı? Yönetmek daha mı kolay? Beklenmedik bir şey var mı? Kalite taramalarını etkileyebilir mi? Onları nasıl ikna edebilirim?

Elbette, halka açık web siteleri için ödenen sertifikalar değişmeden kalacaktır.

Düzenle :

(sadece meraklı) Şirketlerden gelen ücretsiz ssl sertifikası sınıf 3 gibi görünmüyor. Pasaportumu göstermek ve fiziksel olarak 3 sınıfını cacerts'ten almak için orada bulunmak zorundaydım. Her sınıf 1 için tarayıcılarda uyarı yok mu?

Her neyse, ben herhangi bir ücretsiz CA hakkında aynı soru olurdu: Kendinden imzalı ve düz http kullanmaktan daha iyi ve neden ?

Yönetim kolaylığı, sunucu tarafı için bunu yapardı. Kaçırdığım bir şey var mı?

Feragatname : Ben bir cacert dernek üyesi değilim , Assurer bile değil, sadece düzenli mutlu bir kullanıcıyım.

CACert gibi ücretsiz certs kullanmakta yanlış bir şey olmasa da, muhtemelen bunu yapmaktan hiçbir şey kazanamayacağınızı tavsiye ederim.

Varsayılan olarak herhangi bir şey tarafından güvenilmedikleri için, kök sertifikayı tüm istemcilerinize yüklemeniz / dağıtmanız gerekir; bu, kendinden imzalı sertifikalar veya dahili bir CA tarafından verilen sertifikalarla aynı durumdur.

Tercih ettiğim (ve kullandığım) çözüm, dahili bir Sertifika Yetkilisi ve kök sertifikasının tüm etki alanı makinelerine toplu olarak dağıtılmasıdır. Kullandığınız sertifika yetkilisi üzerinde denetime sahip olmak, sertifika yönetimini portal sitesi üzerinden bile çok daha kolay hale getirir. Kendi CA'nızla, genellikle bir sertifika isteği ve ilgili sertifika sorununu komut dosyası oluşturabilirsiniz, böylece tüm sunucularınızın, sitelerinizin ve bir sertifikaya ihtiyaç duyan her şeyin otomatik olarak alması ve ortamınıza yerleştirildikten hemen sonra müşterileriniz tarafından güvenilmesi BT tarafından hiçbir çaba veya manuel görev yok.

Tabii ki, kendi CA'nızı kurma ve otomatikleştirme görevine bağlı değilseniz, bahsettiğiniz gibi harici bir ücretsiz kullanmak hayatınızı biraz daha kolaylaştırabilir, sadece bir harici kök sertifika dağıtmak zorunda kalabilirsiniz ... muhtemelen ilk seferinde doğru yapmaya çalışmalı ve alanınız için dahili bir CA ayarlamalısınız.

Modern tarayıcılar tarafından da tanınan StartSSL'den ücretsiz SSL Sertifikaları öneririm. Sertifika vermek için bir hesaptan başka bir şey almaması dışında CACert'e karşı hiçbir şeyim yok ve kök sertifikayı elle yüklemediğiniz sürece bu sertifikalar kimse tarafından tanınmıyor.

_{Bu bir ürün önerisi olduğu için zorunlu feragatname: Hiçbir şekilde StartSSL ile ilişkili değilim. Sadece mutlu bir müşteri.}

Kendinden imzalı ve sade http kullanmaktan daha iyi ve neden?

Kendinden imzalı sertifikalar, kullanıcılarınızı (ve YOU) alışkanlıkla uyarıları tıklamaları için eğitecektir; bu kötü bir alışkanlıktır. Kendinden imzalı bu sertifika sahte bir sertifika ile değiştirilirse ne olur? Kullanıcılarınız fark eder mi, yoksa başka bir güvenlik iletişim kutusunu körü körüne tıklarlar mı?