Có phải là một thực tế xấu khi sử dụng chứng chỉ SSL tự ký?


29

Chứng chỉ SSL khá đắt đối với cá nhân, đặc biệt nếu bạn cần bảo mật các tên miền phụ khác nhau. Tôi đang xem xét sử dụng các chứng chỉ tự ký, vì trọng tâm chính của tôi là bảo mật kết nối và không xác thực bản thân.

Tuy nhiên, một số trình duyệt hiển thị các cảnh báo khó chịu khi gặp phải chứng chỉ như vậy. Bạn có khuyến khích việc sử dụng chứng chỉ tự ký (ví dụ: cho ứng dụng web nhỏ hoặc trang quản trị của một trang web nhỏ) không? Hoặc nó ổn trong một số trường hợp?

Câu trả lời:


14

Nói chung là xấu khi sử dụng một chứng chỉ tự ký. Nếu bạn làm điều đó thì bạn đang gặp rủi ro, mọi người sẽ rời khỏi trang web của bạn khi họ nhận được cảnh báo về chứng chỉ của bạn là xấu. Quan trọng hơn, bạn đang có nguy cơ lớn hơn khi có ai đó thực hiện một cuộc tấn công tiêm chích, nơi họ sử dụng chứng chỉ tự ký của họ ở vị trí của bạn và khách truy cập sẽ không biết gì hơn.

Kiểm tra bài viết ở đây, http://www.sslshopper.com/article-when-are-'m-sign-certert-acceptable.html để biết thêm một chút thông tin về nó.


14

Như RandomBen đã nói, các chứng chỉ tự ký thường không được chấp nhận vì những lý do mà ông giải thích. Nhưng có một tình huống họ vẫn ổn: nếu tập hợp những người cần gửi dữ liệu nhạy cảm đến trang web của bạn nhỏ và hạn chế, tất cả họ đều có năng lực kỹ thuật và bạn có thể giao tiếp với tất cả họ. Trong trường hợp đó, bạn có thể cung cấp cho mỗi người chi tiết chứng chỉ, sau đó họ có thể kiểm tra thủ công chứng chỉ khi họ truy cập trang web của bạn và thêm ngoại lệ bảo mật nếu thích hợp.

Một ví dụ cực đoan, trên VPS cá nhân của tôi, tôi có một tên miền phụ quản trị, chỉ nên được tôi truy cập. Sẽ không có vấn đề gì trong việc bảo mật tên miền đó bằng chứng chỉ tự ký bởi vì tôi có thể kiểm tra thủ công chứng chỉ máy chủ đang được sử dụng để bảo mật kết nối có giống như tôi đã cài đặt trên máy chủ không.

Trong trường hợp chứng chỉ tự ký không hoạt động hoặc bạn muốn có chứng chỉ "thật", tôi khuyên bạn nên Let Encrypt , một dự án được bắt đầu bởi Nhóm nghiên cứu bảo mật Internet và được hỗ trợ bởi các công ty internet lớn, cung cấp chứng chỉ SSL tại không có chi phí Họ có thể làm điều này bởi vì quy trình xác minh họ sử dụng hoàn toàn tự động và trên thực tế, một máy chủ web hỗ trợ giao thức ACME của họ (như Caddy , hiện tôi đang sử dụng) có thể tự lấy chứng chỉ. Let Encrypt không xác minh rằng bạn, với tư cách là một người, bạn nói bạn là ai; nó chỉ xác minh rằng máy chủ web của bạn có khả năng phục vụ nội dung trên miền mà nó tuyên bố. Encrypt được hỗ trợ bởi tất cả các trình duyệt chính, nhưng mọi người đều biết rằng việc xác minh là tối thiểu, vì vậy nếu bạn đang chạy một cái gì đó như trang web thương mại điện tử hoặc bất cứ thứ gì mà mọi người sẽ gửi thông tin nhạy cảm, có lẽ bạn nên chi tiền để có được Giấy chứng nhận với mức độ xác nhận cao hơn.

Tôi đã từng giới thiệu các chứng chỉ StartSSL miễn phí từ StartCom cho những người không muốn trả tiền để xác nhận, nhưng không còn nữa. StartCom đã được WoSign bí mật mua lại vào năm 2016 và sau đó đã cấp giấy chứng nhận bất hợp pháp cho một số tên miền. Do đó, các trình duyệt chính đã loại bỏ hỗ trợ của họ cho chứng chỉ StartCom. (Theo như tôi biết, IE không bao giờ hỗ trợ họ.) Trong mọi trường hợp, Let Encrypt tiện lợi hơn nhiều.


+1 cho đoạn đầu tiên. Tôi sử dụng chứng chỉ tự ký cho Webmin trên máy chủ của mình vì chỉ có bản thân tôi và nhà thiết kế sử dụng nó, nhưng tôi không khuyên bạn nên sử dụng nó cho mục đích chung.
DisgruntledGoat

3

Đó là thực tế không tồi để sử dụng chứng chỉ tự ký. Chứng chỉ tự ký có rất nhiều mục đích thực tế mà đơn giản là không có ý nghĩa khi sử dụng chứng chỉ có chữ ký CA.

Ví dụ: trên nhiều máy chủ của tôi, tôi đã thiết lập đăng nhập không mật khẩu. Đây là những máy chủ mà tôi kết nối thường xuyên và đôi khi vẫn mở nhiều kết nối SSH, điều đó thật rắc rối khi nhập tên người dùng và mật khẩu của tôi mỗi lần.

Thay vào đó, tôi sử dụng chứng chỉ SSL tự ký mà tôi tạo trên mỗi máy khách của mình (máy trạm tại văn phòng, máy tính xách tay và máy trạm tại nhà của tôi). Kiểu thiết lập này cho phép tôi sử dụng các cụm mật khẩu khá dài, an toàn và hoàn toàn độc đáo cho mỗi máy chủ của mình mà không ảnh hưởng đến năng suất. Và bởi vì tôi có quyền truy cập trực tiếp vào các máy chủ nơi tôi có thể cài đặt khóa chung cho mỗi chứng chỉ, nên không có điểm nào trong tôi khi sử dụng chứng chỉ có chữ ký CA.

Tôi có thể thiết lập CA gốc của riêng mình để tôi có thể ký tất cả các chứng chỉ sử dụng nội bộ cho công ty của chúng tôi và theo cách này tôi chỉ cần cài đặt một khóa chung trên mỗi máy chủ. Tuy nhiên, tổ chức của chúng tôi đã không phát triển đến quy mô thực sự cần điều này và vì mục đích bảo mật HTTP, điều này vẫn giống như có chứng chỉ tự ký.

Tương tự, các chứng chỉ tự ký thường được sử dụng cho các kết nối email, chữ ký PGP và các kết nối từ máy chủ đến máy chủ, nơi nó không quan trọng đối với các khóa công khai trước khi trao đổi. Trong nhiều trường hợp, điều này thực sự an toàn hơn là dựa vào chuỗi chứng chỉ có thể bị xâm phạm tại bất kỳ thời điểm nào trong chuỗi.


Tôi không hiểu tại sao bạn sử dụng chứng chỉ SSL trong trường hợp của bạn? Bạn đề cập đến việc không muốn nhập mật khẩu nhiều lần: bạn chỉ cần sử dụng khóa riêng SSH với ssh-agent, để tự động xác thực bạn trên mỗi máy chủ mà không phải nhập mật khẩu nhiều lần.
Wookai

@Wookai: Đó sẽ là một cách để làm điều đó với SSH, nhưng sử dụng chứng chỉ ứng dụng khách SSL là một phương pháp xác thực ứng dụng khách có mục đích chung hơn nhiều. Tôi cũng sử dụng chứng chỉ ứng dụng khách của mình để xác thực HTTPS cũng như email và nếu tôi chọn thiết lập CA nội bộ sau này, nó sẽ trở nên linh hoạt / mạnh mẽ hơn nữa. Vào thời điểm đó, tôi sẽ không cần phải cài đặt các khóa riêng cho từng khách hàng / người dùng. Đó chỉ là một giải pháp mạnh mẽ hơn IMO.
Lèse majesté

2

Nếu bạn đang bảo mật nhiều tên miền phụ, bạn có thể muốn sử dụng chứng chỉ ký tự đại diện , điều này (tùy thuộc vào số lượng tên miền bạn đang bảo mật) có thể rẻ hơn đáng kể so với việc mua một tên miền cho mỗi tên miền; ví dụ RapidSSL có ký tự đại diện rẻ hơn so với các certs riêng lẻ khi bạn có bốn tên miền được sử dụng.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.