Каковы преимущества сам подписанный сертификат на живом сайте?
Большая часть более нового сетевого оборудования содержит поддержку IPv6, также, как и большинство современных операционных систем и много других приложений (браузеры, клиенты ftp, и т.д.) также. Но много используемых маршрутизаторов (включая, я верю, большинство беспроводных маршрутизаторов) не делают. Должна была бы быть очень большая замена оборудования, прежде чем IPv6 действительно утвердится.
Если они сделали его правильно, использование IPv6 в наших повседневных жизнях должно быть очевидно (для пользователей, так или иначе, не так для разработчиков сетевых устройств или программного обеспечения).
Шифрование не является свойством сертификата или откуда это подписывается. Польза, которую Вы извлекаете из CA, подписалась, сертификат - то, что ей автоматически доверяют веб-браузеры (и другие осведомленные о SSL приложения). Самоподписанный сертификат откроется предупреждение, что сертификату не доверяют. В более свежих браузерах, таких как FireFox 3, действие по умолчанию должно отказаться показывать страницу, и пользователь должен принять намеренные меры для включения использования самоподписанного (или истек, в этом отношении), сертификат.
Если можно говорить со всеми, кто будет использовать веб-страницу (если это будет для семейства только, например), это не проблема. Скажите им ожидать, что предупреждение и как обработать его в их браузере и это - одноразовая проблема.
Однако, если это для какого-либо использования, которое требует чего-либо приближающегося к реальной безопасности, Вы, вероятно, хотите истинное, подписанный, не самоподписанный сертификат.
-
1Спасибо Eddie. Я знал, что доверительной проблемой была большая, я задавался вопросом, было ли что-либо еще, о чем я должен думать. – Joseph 30 April 2009 в 19:11
Вы извлекаете ту же пользу шифрования, но все просматривающие Ваш сайт получат предупреждение, что Ваш сертификат недоверяем (или из недоверяемого источника). Преимущество получения одного из основных потоковых сертификатов состоит в том, что они уже находятся в браузере, как доверяется.
В IE 7 перейдите к Инструментам, интернет-Опциям, Содержанию, Сертификатам, Доверенным корневым центрам сертификации. Это - все полномочия тресты IE по умолчанию.
Доверие. Самоподписанный сертификат дает то же шифрование.
Но я доверяю Приблизительно. Я не доверяю Вам.
Итак, почему я не должен доверять Вам? Поскольку нет никакой гарантии, что имя на сертификате ("Дельтапланеризм Discount Bob и Торговый центр барбекю") было человеком, который на самом деле создал сертификат. Я мог создать сертификат, в котором были сказаны "Дельтапланеризм Discount Bob и Торговый центр барбекю" и когда Вы переходите к ritter.vg, он сказал бы "Дельтапланеризм Discount Bob и Торговый центр барбекю".
Но когда я прошу, чтобы CA подписал мой сертификат, в котором говорятся "Дельтапланеризм Discount Bob и Торговый центр барбекю", спросят они "Несомненно, Покажите меня некоторые учетные данные", и у меня нет никого, таким образом, они скажут мне проваливать. Но у фактического Discount Bob будут те учетные данные, CA подпишет его. Таким образом, когда Вы видите сертификат, подписанный CA, Вы будете знать, что это на самом деле - Discount Bob, потому что, если бы это не был CA, не подписал бы его.
Цель сертификата со знаком состоит в том, чтобы проверить, что человек на самом деле, кто он говорит его. Поскольку CA сказал, что он, и я доверяю Приблизительно.
Шифрование не непосредственно относится к сертификату - оно просто включено, потому что хорошо иметь, и оно идет рука об руку.
Профессионалы самоподписанного сертификата:
- Свободный
- Та же технология шифрования как CA подписалась
Недостатки:
- Браузер отобразит некоторую форму предупреждения системы безопасности, требующего, чтобы взаимодействие с пользователем просмотрело сайт. Это может быть подавлено пользователем, принимающим решение доверять сертификату.
- Доверие, которое Вы подразумеваете, против подписывающего лица сертификата. Чей-либо сертификат может включить зашифрованные соединения SSL. Доверительная политика защищает пользовательские атаки "человек посередине" формы. Никто не может выпустить сертификат со знаком, но CA, он прибыл из и только использоваться на сервере, для которого он был создан. Поэтому это - содержание, не может прибыть из другого источника или быть изменен в пути.
Быстрый сценарий: Если кто-то устанавливает точку доступа Wi-Fi жулика в интернет-кафе, затем возможно прозрачно проксировать действие пользователей жертвы и наблюдать его в сетевом анализаторе. Обычно, SSL шифруется, и данные неприменимы. Однако инструменты существуют, чтобы проксировать Запросы HTTPS пользователя и осмотреть содержание жертвы в пути. Это имеет побочный эффект предоставления нужному пользователю недостоверного сертификата, которому обычно не доверяют.
Если Вы идете, чтобы войти в сайт Вашего банка и получить предупреждение безопасности SSL, НЕ продолжать двигаться. Можно быть целью.
Некоторые могли бы распознать это как Ананас Hak5.
-
1Спасибо за сценарий. I' m планирование использования сам подписанный сертификат для тестирования моего приложения в живой системе, в то время как я готовлю его к deployement, таким образом, I' m не действительно взволнованный по поводу любого " clients" потому что it' s просто я. Когда I' m готовый развернуть I' ll уже купили сертификат со знаком. It' s все еще очень полезный для знания этой информации, все же. – Joseph 30 April 2009 в 19:33
Так как Вы спросили специально для преимуществ самоподписанного сертификата, я предполагаю, что "преимущества" были бы то, что это дешево (т.е. свободно) и более быстро для установки первоначально. Они, очевидно, явно перевешены отрицательными сторонами всех Ваших посетителей сайта, имеющих необходимость добавить исключение к политике безопасности их браузеров, чтобы позволить им просматривать Ваш сайт.
Если Вы уже не слушали их, можно найти часть прошлой безопасности Теперь Подкастами интереса - SSL обсужден подробно во многих эпизодах.
Вы путаете шифрование с аутентификацией.
Любой сертификат обеспечит шифрование.
Сертификат CA также доказывает, что CA ручается, который Вы - то, кто Вы говорите, что Вы.
Самоподписанный сертификат обеспечивает шифрование, но не аутентификацию.
-
1Я находился под предположением, что CA обеспечивает аутентификацию, но что использование https протокола шифрует Вашу полезную нагрузку. Однако для использования https протокола, don' t Вы должны иметь сертификат? – Joseph 30 April 2009 в 19:04
-
2Да, способ, которым реализован TLS (иначе SSL), Вам нужен сертификат. Но that' s требование протокола, НЕ требование в теории. Я мог общаться с любым и вначале we' d согласовывают как we' ре, собирающееся зашифровать, и что ключи. Но я wouldn' t знают это I' m говорящий с Bob и не кем-то симулирующим быть Bob. – Tom Ritter 30 April 2009 в 19:10
-
3Я понимаю, Вы wouldn' t быть уверенным в знании это был действительно Bob, но по крайней мере Вы могли быть уверенным знанием, что никто не осуществляет сниффинг Вашего разговора со сказанным " Bob". следовательно потребность в обоих, шифровании И аутентификации. Я просто didn' t понимают, почему у меня должен был быть сертификат, если бы все, что я хотел сделать, было, шифруют мою полезную нагрузку. – Joseph 30 April 2009 в 19:14
-
4Вам нужно сертификат, чтобы сделать шифрование, но это doesn' t должны быть , подписался сертификат. – pjz 30 April 2009 в 19:25
Основное преимущество - Вы, не должны посещать третью сторону для обработки безопасности сайта. Можно сделать это сами. Проблема, она является сложной для разбираний.
Их браузер должен был бы "доверять" самоподписанному сертификату. При изменении сертификата в будущем то же диалоговое окно должно появиться. Некоторые ответы объясняют, как сделать это. Это все еще плохо, так как пользователи были бы более восприимчивы к нападениям, таковы как man-in-the-middle, когда они обучены принять сам подписанные сертификаты. Я видел компании, где это - стандартная процедура! Слишком плохо для тех пользователей!
Идеально, у Вас был бы процесс для установки пользовательского корневого сертификата на их поле до попытки поразить сайт. Этот корневой сертификат затем выпустил бы сертификат Вашего сайта. Таким образом, их браузер доверял бы Вашему сам подписанный сертификат до соединения с Вашим сайтом в 1-й раз, не отображая доверительную ошибку.