Самоподписанные сертификаты SSL безопасны?
Всегда существует Sysinternal (теперь часть Microsoft) BgInfo:
Это автоматически отображает релевантную информацию о компьютере Windows на образовании рабочего стола, таком как имя компьютера, IP-адрес, версия пакета обновления, и т.д. Вы можете отредактировать любое поле, а также цвета шрифта и цвета фона, и можете поместить его в Вашу папку запуска так, чтобы оно выполнило каждую начальную загрузку, или даже настройте его для отображения как фон для экрана входа в систему.
Обновление: решить проблему значка на рабочем столе в W2k3 R2 согласно Mouffette комментирует ниже основанного на этом потоке TechNet:
Щелкните правой кнопкой по ключу реестра в regedit, выберите полномочия затем во вкладке "Дополнительно", изменяют владельца от TrustedInstaller до Администраторов, совершают нападки, применяются затем, Вы можете предоставить полный контроль администраторов над ключом. В той точке можно отредактировать LocalizedString и сохранить затем обновление хита на рабочем столе, и это работает!
Все дело в доверии. Если вы получаете подписанный сертификат от verisign, вы доказываете случайным клиентам, что вашему сертификату доверяют. Если вы подписываете сертификат самостоятельно, люди, на компьютерах которых не установлен ваш сертификат, не могут быть уверены, что они не атакованы атакой типа «человек посередине» .
Если ваш веб-сервер является только что использованный вами, то вам не нужен настоящий CA (например, верисайн) для подписи вашего сертификата. Просто установите сертификат на машины, которые вы хотите использовать, и все готово.
Изменить: Итак, чтобы ответить на ваш вопрос: Да, все зашифровано, и вы можете быть уверены, что никто не сможет прочитать ваши конфиденциальные данные, если вы знайте, что сертификат, представленный веб-браузеру, на самом деле является тем сертификатом, с которым вы установили веб-сервер.
Все дело в доверии.
Допустим, вы посещаете популярный веб-сайт, который представляет сертификат. На этом веб-сайте говорится: «Это я, вы можете мне доверять, потому что у меня есть рекомендательное письмо, подписанное кем-то , которому вы доверяете».
В данном случае это «тот, кому вы доверяете». является одним из центров сертификации, которые (надеюсь) выполнили основную работу по установлению личности предъявителя сертификата от вашего имени.
То, что вы действительно доверяете, - это доверие автора браузера к доверию центра сертификации к личности человека, представившего сертификат. Кроме того, часто между вами и докладчиком существует более одного авторитета, отсюда и термин «цепочка доверия». [1]
Когда вы подписываете свой сертификат, нет цепочки доверия. Ваш сайт возвращает вам ваш собственный сертификат. Если вы устанавливаете свой собственный сертификат в своем браузере как сертификат, которому вы доверяете, то он рассматривается как центр сертификации, такой же, как и те, которые поставляются предустановленными. После этого у вас будет цепочка доверия только с одной ссылкой.
Если вы затем посетите свой из своих сайтов, и ваш браузер предупредит вас, что он представляет ненадежный сертификат, тогда у вас должны появиться основания для беспокойства, поскольку, как и в случае с любым другим другой сайт, который представляет ненадежный сертификат, вы не можете быть уверены, что общаетесь с настоящим сайтом.
Обратите внимание, что я еще не упомянул шифрование. Сертификаты предназначены для аутентификации личности стороны, с которой вы общаетесь. Через доверенные сертификаты там ' Это способ быть разумно уверенным в том, что ваш магазин или банк настоящий. После того, как вы установили их личность, следующим шагом будет обеспечение связи между вами. Так получилось, что сертификаты также содержат в себе ключи, необходимые для обеспечения этой безопасности. Предполагая, что вы правильно настроили SSL, это общение будет таким же безопасным, как и соединение с вашим магазином или банком, и ваши пароли в равной степени защищены. [2]
[1] Это ни в коем случае не безупречная система. Свободный рынок и низкомаржинальный крупномасштабный бизнес неизбежно приводят к сокращению затрат: http://www.theregister.co.uk/2011/04/11/state_of_ssl_analysis/
[2] По крайней мере, защищенный достаточно , что гораздо дешевле для кого-то ворваться в ваш дом и выбить из вас ваши секреты, а не пытаться их раскрыть: http: //xkcd.com/538/
Дело не ВСЕМ о доверии ....
SSL-сертификаты могут служить двум целям: 1) это веб-сервер, к которому вы подключаетесь; и 2) для шифрования сообщений.
У вас может быть №2 без №1, чего вы и достигли. Остается подтвердить, что устройство, к которому вы подключаетесь, является именно тем, что вам нужно.
Если это МОЙ сервер, у меня нет проблем с использованием самоподписанного сертификата от меня, хотя есть некоторый риск, что кто-то может подделать что-то, чтобы заставить меня подключиться к их серверу вместо моего. Поскольку никто не заботится обо мне и моем сервере, и я мало что представляю, я не вижу в этом особого риска.
С другой стороны, если бы вместо моего сервера это был ваш сервер, тогда я был бы обеспокоен.
На самом деле самоподписанные сертификаты могут быть безопасными, но не в той модели, которую мы используем сейчас.
В широко распространенном ЦС (центре сертификации) Модель, которую каждый использует в настоящее время, цель сертификата, подписываемого доверенным центром сертификации, - обеспечить аутентификацию.
Когда мы получаем сертификат, все, что мы действительно видим, - это единицы и 0, поступающие из разъема в стене; мы понятия не имеем, откуда взялись эти единицы и нули. Однако, поскольку сертификат подписан центром сертификации, что не может сделать никто в мире, кроме этого центра сертификации, и поскольку мы доверяем ЦС проверять личность владельца сертификата, мы полагаем, что сертификат исходит от того, на кого он претендует.
Конечно, если CA скомпрометирован или неправильно проверяет владельца , все ставки отключены.
Однако существует другая модель, согласно которой самозаверяющие сертификаты обеспечивают аутентичность. Это называется нотариальной моделью .
По сути, вместо того, чтобы доверять одному CA, мы передаем доверие любому количеству нотариусов . Эти нотариусы рыщут по Интернету в поисках сертификатов, храня в кеше все сертификаты, которые они видели. Когда вы впервые посещаете сайт и получаете сертификат, вы спрашиваете у нескольких нотариусов, работающих по всему миру, какой последний сертификат они видели. Если они не согласны с тем, что вы видите, вы можете стать участником атаки «человек посередине».
Согласно этой модели, самоподписанные сертификаты совершенно безопасны, если мы предполагаем, что сервер не будет немедленно скомпрометирован до того, как нотариус сможет когда-либо просмотреть его сертификат.
Модель нотариуса все еще находится в зачаточном состоянии, и сомнительно, что она когда-либо возьмет верх. модель CA (на самом деле это не обязательно - их можно использовать в тандеме) . На данный момент наиболее многообещающим проектом является Convergence.io , в котором есть плагин для Firefox.