Сам сертификат SSL со знаком ложное чувство защищенности?
К сожалению, нет.
У Вас должно быть поле со статическим IP - пробуют VPS. Linode имеют хороший план относительно $20/мес с общедоступным статическим IP.
VPS может быть настроен для передачи трафика к машине, если Вы, так пожелайте с чем-то как nc -vvLlp 1234 | nc yourbox 9876, где 1234 является портом, GPS соединится с VPS на, yourbox является именем хоста DynDNS, указывающим на Ваше поле, и 9876 порт, на котором VPS должен соединиться с Вашей машиной.
Интересный вопрос, это зависит от использования, по-моему. Вы все еще защищены с точки зрения сессии, шифруется, но у Вас нет способа сказать, является ли это корректный сертификат SSL, представленный Вам, если Вы не распределяете свой корневой сертификат CA пользователям/клиентам. Для внутренних testing/dev проектов это работало бы отлично, Вы генерируете корневой сертификат CA, который Вы используете, распределяют Вашим пользователям (может быть сделан через Групповую политику в Windows и через openssl командную строку в Linux/BSD), и затем используйте тот корневой сертификат для подписания Вашего CSR's. Пользователи не будут видеть предупреждение или что-либо, и Вы знаете, что сертификат подписывается Вашим внутренним Приблизительно.
Для внешних сайтов, где Вы не можете гарантировать это, я все еще сказал бы сам, подписанный сертификат не лучше, чем никакой SSL вообще при отправке паролей или другой уязвимой информации по соединению.
Однако зато существует много очень дешевых "коммерческих" выпускающих сертификата, при этом GoDaddy является одним из них. Можно получить сертификат приблизительно для 40 евро в год. GoDaddy даже предлагают бесплатные сертификаты веб-сайтам проекта OpenSource.
Я собираюсь не согласиться, однажды на узких технических основаниях, и однажды на общих основаниях.
Узкая техническая земля - то, что OP, которые спрашивают о самоподписанных сертификатах и нескольких других ответах, обращаются к сертификатам, подписанным частной АВАРИЕЙ, которая является немного отличающейся проблемой. Но не очень отличающийся, так, чтобы было действительно только примечание мимоходом.
Главное возражение состоит в том, что я думаю, что, пока коммерчески подписанные сертификаты имеют больше, чем тривиальный расход - и 40$ в год не тривиальный расход для большого количества людей на этой планете - самоподписанные сертификаты имеют главную роль для проигрывания в защите в сети Интернет, если их ограничения распознаны.
Самоподписанный сертификат похож на ssh ключ от моего known_hosts файл. Без независимой проверки это не может уверить меня, что я говорю с системой, что я полагаю, что я; но это может уверить меня, что система, с которой я говорю теперь, является той же системой, я говорил с прошлым разом, когда я думал, что разговаривал с ним. Мы кэшируем ssh ключи все время, и я никогда еще не встретил системного администратора, который независимо проверил больше, чем часть открытых ключей в его known_hosts файл.
Самоподписанные сертификаты (и, в этом отношении, сертификаты, подписанные not-generally-valid АВАРИЕЙ), не намного лучше, чем никакой SSL вообще, пока люди понимают, что, если они не проверяют их, они только защищают коммуникацию себе, серверу в другом конце записи DNS и любому men-in-the-middle в настоящее время на строке. Если они независимо проверяют сертификат, то аутентификация и шифрование являются, по крайней мере, столь устойчивыми как обеспеченный сертификатом, подписанным распознанным Приблизительно.
Кроме того, те, которые желают представить использование сертификатов, подписанных распознанным CA как one-only панацея защиты в сети Интернет, возможно, должны думать трудно о проблемах, таких как включение подписания китайского правительства CA в стандартном пакете Mozilla и мошеннические сертификаты SSL, подписанные Comodo.
Зависит. Если Вы думаете, что это делает Вас более безопасными затем, это увеличивает Ваш риск, поскольку Вы принимаете решение сделать более опасные вещи со своим ложным чувством защищенности. Если бы Вы рассматриваете его функционально эквивалентный HTTP, то я сказал бы, что Вы немного более безопасны.
Без SSL/HTTPS любой с wireshark в Вашей сети (или локальная сеть любого вход в систему) может тривиально послушать в и получить имя пользователя / пароли, отправленные как простой текст.
С самоподписанным SSL они не могут просто послушать в, но теперь должны фальсифицировать Ваш сайт, потенциально изменить DNS, чтобы сделать нападение человека этой середины (MITM). Это - все еще угроза, но значительно более трудный для них выполнить.
Другая проблема с использованием самоподписанного SSL состоит в том, что много обработок браузеров самоподписанные сертификаты как основная угроза нарушения безопасности и предупреждают Вас прежде, чем войти (например, хром) с гигантской красной страницей. http://www.sslshopper.com/article-ssl-certificates-in-google-chrome.html Это могло быть главным неудобством.
Таким образом, нижняя строка: при выполнении чего-то, что не должно быть особенно безопасным (например, никакие данные кредитной карты, никакое социальное обеспечение #s) и не мочь позволить себе надлежащий сертификат, самоподписанный сертификат мог иметь некоторый смысл (для высказывания, предотвращают других пользователей сети от легкого сниффинга их данных для входа).
Для внешних сайтов, где у пользователей нет Вашего сертификата CA установленным (который является наиболее распространенным случаем), да, самоподписанный сертификат дает ложное чувство защищенности, и таким образом это хуже, чем бесполезный:
Во-первых, без предварительно установленного сертификата CA, как пользователь проверяет, что сертификат действительно появляется от Вас, а не от взломщика? Путем соответствия полям сертификата (CN, цифровые отпечатки, и т.д.), конечно - но против какой? Таким образом, теперь Вам нужен канал стороны для проверки сертификата - и в нескольких экземплярах я видел, что, операторы строки поддержки (кто должен был служить каналом стороны для проверки) не имеют никакой подсказки, что это, как предполагается, означает; также, работа таким каналом стороны является порядками величины, более дорогими, чем получение сертификата trusted-CA-signed, таким образом, пользователь должен вслепую доверять Вам.
Во-вторых, страшное предупреждение, которое получает пользователь, страшно на серьезном основании: так как пользователь может/, проверяют представленный сертификат, они могли бы надежно передавать данные в Elbonian Haxx0r D00dz.
В-третьих, и худший из всех, Вы уменьшаете чувствительность у пользователей: "хорошо, они сказали мне, что я должен проигнорировать, что, предупреждая о https://mysite.example.com/, и наковальня не отбрасывал на моей голове, и моя золотая рыбка не умерла также; таким образом это означает, что это - просто другое окно предупреждений без любого фактического значения, таким образом, я могу проигнорировать это поле каждый раз, когда я встречаюсь с ним - я получаю ту хорошую штуку значка блокировки так или иначе, и это важно".
Другими словами, уровень защиты сопоставим с плоскостью HTTP (за исключением на-проводном сниффинга: хотя данные шифруются в пути, который является довольно анемичной функцией без проверки конечной точки), но чувство защиты необоснованно высоко. Плохая автомобильная аналогия: "У меня есть ABS, таким образом, я могу теперь управлять более безопасный в плохих условиях" - кроме ABS, только существует в брошюре автомобиля продаж, на самом деле не присутствуя в автомобиле.
Предложенное чтение: OWASP Лучшие практики SSL
TL; DR: При помощи самоподписанных сертификатов на общедоступных сайтах Вы делаете Сеть худшим местом, один невежественный пользователь за один раз.
Это зависит от того, что вы имеете в виду под словом «безопасность» и какова степень.
Например, ваш браузер поставляется с набором CA, принятым по умолчанию. Это означает, что любой сертификат, выданный этим ЦС, принимается вашим браузером (до тех пор, пока он не совпадет с именем DNS). А теперь представьте, что какое-то злое правительство владеет ЦС или может заставить ЦС выдать сертификат для сайта, который вы посещаете. Затем выполнить MITM очень просто: они могут проксировать ваше соединение, отправив в ваш браузер имеющийся у них сертификат, и ваш браузер примет его, поскольку он исходит от «доверенного» центра сертификации. Пока они не будут прозрачными для DNS (что является основой для MITM), это нормально.
Итак, «список принятых центров сертификации» по сути представляет собой большую дыру в безопасности, пока один из этих центров сертификации не сотрудничает с каким-то злым правительством. Гораздо лучше иметь собственный CA.
Конечно, вы можете сделать это в своей компании или на домашнем сервере, потому что вы можете установить свой собственный сертификат CA в клиент, который вы тоже контролируете. На общедоступном сервере вы не можете иметь дело с каким-либо пользователем, прося его добавить исключение или добавить ваш сертификат.
Итак, это зависит от того, что вы подразумеваете под «безопасностью», и от объема. ЕСЛИ у вас есть клиенты, конечно, самоподписанный более безопасен, пока вы не установите на самом клиенте сертификат вашего собственного CA.
Конечно, вы не можете сделать это на общедоступном веб-сайте, поскольку не все клиенты вам принадлежат. Таким образом, вы подвергнетесь опасности из-за разного поведения, что небезопасно.