Có phải là một ý tưởng tốt để sử dụng chứng chỉ SSL cacert thay vì tự ký một trong sản xuất?

Tại nơi làm việc, tôi có một loạt các giao diện web sử dụng các chứng chỉ http hoặc tự ký đơn giản (giao diện quản lý cân bằng tải, wiki nội bộ, xương rồng, ...).

Không ai có thể truy cập từ bên ngoài vlans / mạng cụ thể.

Để sử dụng tại nhà, tôi sử dụng chứng chỉ SSL cacert .

Tôi đã tự hỏi liệu tôi có nên đề nghị nhà tuyển dụng của mình sử dụng chứng chỉ SSL cacert thay vì chứng chỉ tự ký và http đơn giản. Bất cứ ai sử dụng sert cacert trong sản xuất? Các pro / nhược điểm là gì? Liệu nó có cải thiện an ninh? Có dễ quản lý hơn không? Có gì bất ngờ không? Nó có thể ảnh hưởng đến quét Qualys? Làm thế nào tôi có thể thuyết phục họ?

Tất nhiên, chứng chỉ trả tiền cho các trang web công cộng sẽ không thay đổi.

Biên tập :

(chỉ tò mò) Chứng chỉ ssl miễn phí từ các công ty dường như không phải là lớp 3. Tôi đã phải xuất trình hộ chiếu của mình và có mặt thực tế để có được lớp 3 từ các ca khúc. Không có cảnh báo trong trình duyệt cho mỗi lớp 1?

Dù sao, tôi sẽ có cùng một câu hỏi về bất kỳ CA miễn phí nào: Có tốt hơn so với sử dụng http tự ký và đơn giản, và tại sao ?

Tôi sẽ làm điều đó để dễ quản lý, phía máy chủ. Bất cứ điều gì tôi bỏ lỡ?

Tuyên bố miễn trừ trách nhiệm : Tôi không phải là thành viên hiệp hội cacert , thậm chí không phải là Người bảo đảm, chỉ là một người dùng hạnh phúc thông thường.

Tôi sẽ khuyên rằng mặc dù không có gì sai khi sử dụng certs miễn phí, như từ CACert, bạn có thể sẽ không nhận được bất cứ điều gì từ việc đó.

Vì chúng không được mặc định tin cậy bởi bất cứ điều gì, bạn vẫn sẽ cần cài đặt / triển khai chứng chỉ gốc cho tất cả các khách hàng của mình, đó là tình huống tương tự bạn gặp phải với các certs hoặc certs tự ký do CA nội bộ cấp.

Giải pháp tôi thích (và sử dụng) là Cơ quan cấp chứng chỉ nội bộ và triển khai hàng loạt chứng chỉ gốc cho tất cả các máy miền. Việc kiểm soát quyền chứng chỉ mà bạn sử dụng giúp cho việc quản lý chứng chỉ dễ dàng hơn rất nhiều so với thông qua một trang web cổng thông tin. Với CA của riêng bạn, bạn thường có thể tạo ra một yêu cầu chứng chỉ và vấn đề chứng chỉ tương ứng để tất cả các máy chủ, trang web của bạn và bất kỳ thứ gì cần chứng chỉ đều có thể tự động nhận được và được khách hàng tin tưởng gần như ngay lập tức sau khi được đưa vào môi trường của bạn, với không có nỗ lực hoặc nhiệm vụ thủ công của CNTT.

Tất nhiên, nếu bạn không hoàn thành nhiệm vụ thiết lập và tự động hóa CA của chính mình, thì việc sử dụng một CA miễn phí bên ngoài như cái bạn đã đề cập có thể giúp cuộc sống của bạn dễ dàng hơn một chút, chỉ phải triển khai một chứng chỉ gốc bên ngoài ... nhưng có lẽ bạn nên thử làm điều đó ngay lần đầu tiên và thiết lập CA nội bộ cho tên miền của bạn.

Tôi sẽ đề xuất Chứng chỉ SSL miễn phí từ StartSSL, được các trình duyệt hiện đại công nhận. Tôi không có gì chống lại CACert ngoại trừ việc nó không mất gì ngoài tài khoản để cấp chứng chỉ và những tài khoản đó không được ai nhận ra trừ khi bạn tự cài đặt chứng chỉ gốc.

_{Từ chối trách nhiệm bắt buộc vì đây là khuyến nghị sản phẩm: Tôi không liên kết với StartSSL dưới bất kỳ hình thức nào. Chỉ là một khách hàng hạnh phúc.}

Có tốt hơn so với sử dụng http tự ký và đơn giản, và tại sao?

Chứng chỉ tự ký sẽ huấn luyện người dùng của bạn (và BẠN) nhấp qua các cảnh báo theo thói quen, đây là một thói quen xấu. Điều gì xảy ra nếu chứng chỉ Tự ký đó được thay thế bằng chứng chỉ giả mạo? Người dùng của bạn sẽ chú ý, hoặc họ sẽ nhấp một cách mù quáng qua hộp thoại bảo mật khác?