SSL'nin varsayılan yılan yağı sertifikaları, gerçek dürüst-iyi sertifikalar yerine gerçek yılan yağı mıdır? [kapalı]

SSL varsayılan olarak kendinden imzalı "yılan yağı" sertifikaları oluşturur, örneğin /etc/ssl/certs/ssl-cert-snakeoil.pem. Gereğince Wikipedia , yılan yağı hileli veya sahte olarak kabul edilir bir şifreleme yöntemi veya üründür. Bu sertifikalarla ilgili sahte bir şey var mı? Elbette, bilinen herhangi bir sertifika yetkilisi tarafından imzalanmamıştır, ancak sertifikaların kendileri de diğer sertifikalar kadar iyi olabilir. Örneğin, sunucumun ortak anahtarını tüm müşterilerime güvenli bir şekilde dağıtıyor olabilirim. Bunu varsayarak, üretilen sertifikalara yılan yağı layık bir şey var mı, yoksa isim yanıltıcı mı?

Remeber SSL çok önemli iki işleve sahiptir

1. Güvenli iletişim
2. Güven

Kendi oluşturduğunuz herhangi bir SSL sertifikası size 1. şifreli trafiğe izin verir veya geçerli bir SSL sertifikası verir.

Ancak, kendi kendine oluşturulan bir SSL sertifikası yalnızca size güvenen kişilere Güven verebilir. Güvenilir üçüncü taraflar tarafından oluşturulan SSL sertifikalarının nedeni 2 sayısını sağlamaktır. Tarayıcınız bunlara güveniyor ve size güveniyor. Kendiniz oluşturursanız, www.microsoft.com olduğunu iddia edebilirsiniz ve birisi size güvenseydi.

Ayrıca yorumlarda da belirtildiği gibi, bu yüzden tarayıcınızın aynı sunucu tarafından imzalanmış gelecekteki sertifikalara güveneceği için, birinin kendi sunucusu için kendinden imzalı sertifikaya güvenmemelisiniz.

Bu nedenle kendi ürettiği yılan yağı certsidir.

Güncelleme: Caddy gibi modern bir web sunucusu ile birleştirilmiş LetsEncrypt hizmeti , TLS sertifikalarını almak ve kullanmaktan hemen hemen tüm zorlukları alıyor, bu yüzden artık yılan yağı sertifikalarına gerek yok!

Kendinden imzalı sertifikalar, iletişiminizi standart olanlarla aynı şekilde şifreleyecektir. Yani şifreleme sorun değil.

Sertifikalar, kimliği doğrulamak için de kullanılabilir. Bir sunucuya güvenli bir şekilde bağlandığınızda, bu sunucunun sertifikasını size veya tarayıcınıza sunması ve sonra siz veya tarayıcınızın sunucunun kimlik iddiasına güvenip güvenemeyeceğinize karar vermesidir.

Sertifikalar, genellikle sertifika yetkilileri olarak adlandırılan diğer "üst düzey" sertifikalarla imzalanabilir. Bu nedenle, sunucunun sertifikası sizin veya tarayıcınızın güvendiği bir CA tarafından imzalanırsa, kimlik geçerli kabul edilir.

Çoğu büyük tarayıcı, Verisign ve diğer tanınmış CA'lardan otomatik olarak güvendikleri bir dizi kök sertifika ile birlikte gelir.

Kendinden imzalı bir sertifikada, üçüncü taraf bir CA tarafından değil, sertifikayı oluşturan aynı kuruluş tarafından imzalandığı için, sertifikayı oluşturan kimlik dışında kimliği doğrulamak için başka kimseye güvenemezsiniz. Bu, kendi kimlik kartlarını basan ve kimliğinizi doğrulamanız için size veren birine eşdeğerdir. Tarayıcı uyarılarına rağmen, sertifikayı kimin ürettiğini veya kendiniz yaptığını biliyorsanız / güveniyorsanız, bu bir sorun değildir.

Wikipedia ayrıca şunları söylüyor: "Yılan yağı, asıl sahtekarlık sağlık ürünleri veya kanıtlanmamış ilaçlara atıfta bulunan ancak şüpheli veya doğrulanamayan nitelik veya faydaya sahip herhangi bir ürüne atıfta bulunan bir ifade".

Bu bağlamda önemli olan doğrulanamayan kalite. Sertifika zinciri olmayan bir SSL sitesine güvenilir bir Sertifika Yetkilisi'ne göz atarsanız, sitenin, alan adının sahibi olan kişi veya kuruluşa ait olduğunu ve işlettiğinizi doğrulamak için SSL'ye güvenemezsiniz ( tarayıcının URL çubuğu).

Modern web tarayıcıları, kendinden imzalı ("yılan yağı") sertifikalara sahip sitelere göz atarken bir güvenlik uyarısı görüntüler çünkü bu güvenilir sertifika zincirinden yoksundurlar. Bu, örneğin, özel bir Intranet üzerinde sinir bozucu olabilir, ancak kimlik avı sitelerine kişilerin özel verilerini ve ödeme bilgilerini girmesini önlemenin bir yolu vardır.