Các chứng chỉ dầu rắn mặc định của SSL có thực sự là dầu rắn trái ngược với các chứng chỉ trung thực đến tốt không? [đóng cửa]

SSL tạo chứng chỉ "dầu rắn" tự ký theo mặc định, ví dụ tại /etc/ssl/certs/ssl-cert-snakeoil.pem. Theo Wikipedia , dầu rắn là một phương pháp hoặc sản phẩm mật mã được coi là lừa đảo hoặc không có thật. Có bất cứ điều gì không có thật về các chứng chỉ này? Chắc chắn, họ không được ký bởi bất kỳ cơ quan chứng nhận đã biết nào, nhưng bản thân chứng chỉ vẫn có thể là chứng chỉ chính hãng tốt như bất kỳ cơ quan nào khác. Ví dụ: tôi có thể phân phối khóa công khai của máy chủ cho tất cả khách hàng của mình một cách an toàn. Giả sử điều này, có bất cứ thứ gì dầu rắn xứng đáng với các chứng chỉ được tạo ra, hoặc là tên sai lệch?

Remeber SSL phục vụ hai chức năng rất quan trọng

1. Giao tiếp an toàn
2. Lòng tin

Bất kỳ chứng chỉ SSL tự tạo nào cũng cung cấp cho bạn 1. cho phép lưu lượng được mã hóa hoặc như bạn nói chứng chỉ SSL hợp lệ.

Tuy nhiên, chứng chỉ SSL tự tạo chỉ có thể cung cấp Tin cậy cho những người tin tưởng bạn. Lý do cho các chứng nhận SSL được tạo bởi các bên thứ 3 đáng tin cậy là để cung cấp số 2. Trình duyệt của bạn tin tưởng họ và họ tin tưởng bạn. Nếu bạn tự tạo nó, bạn có thể tự xưng là www.microsoft.com và nếu ai đó tin tưởng bạn thì đó sẽ là.

Cũng như đã chỉ ra trong các bình luận, đây là lý do tại sao bạn không nên tin tưởng chứng chỉ tự ký của ai đó cho máy chủ của họ vì trình duyệt của bạn rõ ràng sẽ tin tưởng bất kỳ chứng chỉ nào trong tương lai được ký bởi cùng một máy chủ.

Đây là lý do tại sao tự tạo ra là certs dầu rắn.

Cập nhật: Dịch vụ LetsEncrypt kết hợp với một máy chủ web hiện đại như Caddy mang lại gần như tất cả những khó khăn trong việc lấy và sử dụng certs TLS, vì vậy không cần dùng dầu rắn nữa!

Chứng chỉ tự ký sẽ mã hóa thông tin liên lạc của bạn giống như các chứng chỉ tiêu chuẩn. Vì vậy, mã hóa không phải là vấn đề.

Giấy chứng nhận cũng có thể được sử dụng để xác minh danh tính. Cách thức hoạt động của nó là khi bạn kết nối an toàn với máy chủ, máy chủ đó sẽ cấp chứng chỉ cho bạn hoặc trình duyệt của bạn và sau đó bạn hoặc trình duyệt của bạn quyết định xem bạn có thể tin tưởng vào xác nhận danh tính của máy chủ hay không.

Chứng chỉ có thể được ký bởi các chứng chỉ "cấp cao hơn" khác, thường được gọi là cơ quan chứng nhận. Vì vậy, nếu chứng chỉ của máy chủ được ký bởi CA mà bạn hoặc trình duyệt của bạn tin tưởng, danh tính được coi là hợp lệ.

Hầu hết các trình duyệt chính đi kèm với một số chứng chỉ gốc mà họ tự động tin tưởng, từ Verisign và các CA nổi tiếng khác.

Với chứng chỉ tự ký, vì nó không được ký bởi CA bên thứ ba mà là cùng một thực thể đã tạo chứng chỉ, bạn không thể phụ thuộc vào bất kỳ ai khác để xác minh danh tính ngoại trừ người tạo chứng chỉ. Nó tương đương với việc ai đó in chứng minh thư của chính họ và đưa cho bạn để xác minh danh tính. Đây thực sự không phải là một vấn đề, bất chấp các cảnh báo của trình duyệt, nếu bạn biết / tin tưởng ai đã tạo chứng chỉ hoặc tự mình làm điều đó.

Wikipedia cũng cho biết: "Dầu rắn là một biểu hiện ban đầu được đề cập đến các sản phẩm y tế lừa đảo hoặc thuốc chưa được chứng minh nhưng đã đề cập đến bất kỳ sản phẩm nào có chất lượng hoặc lợi ích nghi vấn hoặc không thể kiểm chứng".

Đó là chất lượng không thể kiểm chứng đó là quan trọng trong bối cảnh này. Nếu bạn duyệt một trang SSL không có chuỗi chứng chỉ đến Cơ quan cấp chứng chỉ tin cậy thì bạn không thể dựa vào SSL để xác minh rằng trang đó được sở hữu và vận hành bởi người hoặc tổ chức sở hữu tên miền (như được hiển thị trong thanh url của trình duyệt).

Các trình duyệt web hiện đại hiển thị cảnh báo bảo mật khi duyệt các trang web có chứng chỉ tự ký ("dầu rắn") vì chúng thiếu chuỗi chứng chỉ tin cậy này. Điều này có thể gây phiền nhiễu trên Intranet riêng, chẳng hạn, nhưng nó có một số cách để bảo vệ mọi người khỏi nhập dữ liệu riêng tư và thông tin thanh toán của họ vào các trang web lừa đảo.