Kendinden imzalı SSL sertifikaları kullanmak kötü bir uygulama mıdır?

SSL sertifikaları, özellikle farklı alt alanları güvence altına almanız gerektiğinde, bireyler için oldukça pahalıdır. Asıl odak noktam bağlantıyı güvence altına almak ve kendimi doğrulamak değil, kendinden imzalı sertifikaları kullanmayı düşünüyorum.

Ancak, bazı tarayıcılar böyle bir sertifika ile karşılaştığında kötü uyarılar görüntüler. Kendinden imzalı sertifikaların kullanılmasını önermez misiniz (örneğin, küçük web uygulamaları veya küçük bir web sitesinin yönetici sayfaları için)? Yoksa bazı durumlarda sorun değil mi?

Genel olarak kendinden imzalı bir sertifika kullanmak kötüdür. Bunu yaparsanız, o zaman risk altındasınız demektir, insanlar kötü durum konusunda bir uyarı aldıklarında sitenizi terk ederler. Daha da önemlisi, birisinin sizin yerinizde kendinden imzalı bir cetvel kullandığı yerde enjeksiyon saldırısı yapma riski daha yüksektir ve ziyaretçi daha iyisini bilmeyecektir.

Buradaki makaleye göz atın, http://www.sslshopper.com/article-when-are-self-signed-certificates-acceptable.html hakkında biraz daha fazla bilgi için.

RandomBen’in dediği gibi, kendinden imzalı sertifikalar genellikle açıkladığından dolayı kaşlarını çattı. Ancak, iyi durumda oldukları bir durum var: eğer web sitenize hassas veri göndermesi gereken insanlar kümesi küçük ve sınırlı ise, hepsi teknik olarak yeterlidir ve hepsiyle iletişim kurabilirsiniz. Bu durumda her kişiye sertifika ayrıntılarını verebilir, ardından sitenize girdiklerinde sertifikayı manuel olarak kontrol edebilir ve uygunsa bir güvenlik istisnası ekleyebilirler.

Ekstrem bir örnek olarak, kişisel VPS'mde sadece benim tarafımdan erişilmesi gereken idari bir alt etki alanım var. Bu etki alanını kendinden imzalı bir sertifika ile güvenceye almak sorun olmaz, çünkü bağlantıyı güvence altına almak için kullanılan sunucu sertifikasının sunucuda yüklü olduğumu manuel olarak kontrol edebilirim.

Kendinden imzalı bir sertifikanın işe yaramayacağı ya da "gerçek" bir tanesine sahip olmayı tercih ettiğiniz durumlarda , İnternet Güvenliği Araştırma Grubu tarafından başlatılan ve İnternet’te SSL sertifikası veren başlıca İnternet şirketleri tarafından desteklenen bir proje olan Let's Encrypt’ı öneririm . masrafsız. Bunu yapabilirler çünkü kullandıkları doğrulama işlemi tamamen otomatiktir ve aslında ACME protokolünü destekleyen bir web sunucusu ( şu anda kullandığım Caddy gibi ) tamamen kendi sertifikalarını alabilir. Hadi şifrelemek sizi doğrulamaz, kişi olarak, söylediğin kişi; yalnızca web sunucunuzun iddia ettiği etki alanında içerik sunabildiğini doğrular. Diyelim Şifreleme tüm büyük tarayıcılar tarafından desteklenmektedir, ancak doğrulamanın çok az olduğu iyi bilinmektedir, bu nedenle bir e-ticaret sitesi veya insanların hassas bilgileri göndereceği herhangi bir şey gibi bir şey kullanıyorsanız, muhtemelen bir para almak için para harcamalısınız. Doğrulama düzeyi daha yüksek olan sertifika.

Ben arınmış startssl sertifikalarını tavsiye için kullanılan StartCom ama artık doğrulama için ödemek istemiyordu insanlar için. StartCom, 2016 yılında WoSign tarafından gizlice alındı ​​ve daha sonra birkaç alan için yasal olmayan sertifikalar verdi. Sonuç olarak, büyük tarayıcılar StartCom sertifikaları için desteklerini kaldırdılar. (Bildiğim kadarıyla, zaten IE onları asla desteklemedi.) Her halükarda Let's Encrypt çok daha uygun.

Öyle değil kullanım kendinden imzalı sertifikalar için kötü uygulama. Kendinden imzalı sertifikaların, CA imzalı bir sertifika kullanmanın bir anlamı yoktur.

Örneğin, sunucularımın çoğunda, şifresiz giriş ayarlarım var. Bunlar, çok sık bağlandığım ve bazen birden fazla SSH bağlantısını açık tutan, her seferinde kullanıcı adımı ve şifremi yazmamın zorlaştığı sunucular.

Bunun yerine, müşteri makinelerimin her birinde (ofiste bir iş istasyonu, bir dizüstü bilgisayar ve ev iş istasyonum) oluşturduğum kendinden imzalı bir SSL sertifikası kullanıyorum. Bu tür bir kurulum, verimliliğimi etkilemeden sunucularımın her biri için oldukça uzun, güvenli ve tamamen benzersiz şifreler kullanmamı sağlıyor. Ayrıca, her sertifika için ortak anahtarı yükleyebileceğim sunuculara doğrudan erişebildiğim için, CA imzalı bir sertifika kullanmamın bir anlamı yok.

Ben olabilir ben şirketimiz için dahili kullanım sertifikalarının tüm imzalamak hangi ile kendi kök CA kurmak ve bu şekilde ben sadece her sunucuda tek bir ortak anahtarı yüklemeniz gerekir. Ancak, kuruluşumuz bunu gerçekten zorunlu kılan boyutlara ulaşmadı ve güvenli HTTP amaçları için, yine de kendinden imzalı bir sertifikaya sahip olacaktı.

Aynı şekilde, kendinden imzalı sertifikalar, ortak anahtarların değiştirilmesinin önemsiz olduğu e-posta bağlantıları, PGP imzası ve sunucudan sunucuya bağlantılar için sıklıkla kullanılır. Bu vakaların çoğunda, bu aslında zincirdeki herhangi bir noktada tehlikeye girebilecek bir sertifika zincirine güvenmekten daha güvenlidir.

Birden fazla alt etki alanı güvence altına alıyorsanız, (güvende ettiğiniz alt etki alanlarının sayısına bağlı olarak) etki alanı başına bir tane satın almaktan daha ucuza çalışabilecek joker sertifikaları kullanmak isteyebilirsiniz ; Örneğin, RapidSSL, kullanımda dört alanınız olduğunda, tek tek hesaplardan daha ucuza sahip olan joker karaktere sahiptir.