Bei der Arbeit habe ich eine Reihe von Webschnittstellen, die einfache http- oder selbstsignierte Zertifikate verwenden (Load Balancer-Verwaltungsoberfläche, internes Wiki, Kakteen, ...).
Keiner ist von außerhalb bestimmter vlans / Netzwerke erreichbar.
Für den Heimgebrauch verwende ich cacert SSL-Zertifikate.
Ich habe mich gefragt, ob ich meinem Arbeitgeber vorschlagen sollte, cacert SSL-Zertifikate anstelle von selbstsignierten Zertifikaten und einfachem http zu verwenden. Jemand verwendet cacert ssl in der Produktion? Was sind die Vor- und Nachteile? Verbessert es die Sicherheit? Ist es einfacher zu verwalten? Etwas Unerwartetes? Kann es sich auf Qualys-Scans auswirken? Wie kann ich sie überzeugen?
Bezahlte Zertifikate für öffentliche Websites würden natürlich unverändert bleiben.
Bearbeiten:
(nur neugierig) Das kostenlose SSL-Zertifikat von Unternehmen scheint nicht Klasse 3 zu sein. Ich musste meinen Reisepass vorzeigen und physisch anwesend sein, um Klasse 3 von Cacerts zu erhalten. Gibt es in den Browsern keine Warnung für jede Klasse 1?
Wie auch immer, ich hätte die gleiche Frage zu jeder kostenlosen Zertifizierungsstelle: Ist es besser als selbstsigniertes und einfaches http zu verwenden, und warum ?
Ich würde es tun, um die Verwaltung auf der Serverseite zu vereinfachen. Was habe ich vermisst?
Haftungsausschluss : Ich bin kein Mitglied der Cacert Association , nicht einmal Assurer, sondern nur ein regelmäßiger glücklicher Benutzer.
Antworten:
Ich würde raten, dass die Verwendung von kostenlosen Zertifikaten wie bei CACert zwar nichts auszusetzen hat, Sie aber wahrscheinlich auch nichts davon haben werden.
Da sie von nichts standardmäßig als vertrauenswürdig eingestuft werden, müssen Sie das Stammzertifikat weiterhin auf allen Ihren Clients installieren / bereitstellen. Dies ist die gleiche Situation, in der Sie sich bei selbstsignierten oder von einer internen Zertifizierungsstelle ausgestellten Zertifikaten befinden würden.
Die Lösung, die ich bevorzuge (und verwende), ist eine interne Zertifizierungsstelle und eine Massenbereitstellung ihres Stammzertifikats auf allen Domänencomputern. Die Kontrolle über die von Ihnen verwendete Zertifizierungsstelle erleichtert die Zertifikatsverwaltung erheblich als selbst über eine Portalwebsite. Mit Ihrer eigenen Zertifizierungsstelle können Sie im Allgemeinen eine Zertifikatanforderung und ein entsprechendes Zertifikatproblem per Skript erstellen, sodass alle Ihre Server, Sites und alles, was ein Zertifikat benötigt, es automatisch erhalten und Ihren Clients fast unmittelbar nach dem Einfügen in Ihre Umgebung vertrauen können Kein Aufwand oder manuelle Aufgaben durch die IT.
Wenn Sie nicht in der Lage sind, Ihre eigene Zertifizierungsstelle einzurichten und zu automatisieren, kann die Verwendung einer externen kostenlosen Zertifizierungsstelle wie der von Ihnen erwähnten Ihr Leben natürlich ein wenig erleichtern, da Sie nur ein externes Stammzertifikat bereitstellen müssen ... aber Sie sollten wahrscheinlich gleich beim ersten Mal versuchen, es richtig zu machen, und eine interne Zertifizierungsstelle für Ihre Domain einrichten.
quelle
Ich würde kostenlose SSL-Zertifikate von StartSSL vorschlagen, die auch von modernen Browsern erkannt werden. Ich habe nichts gegen CACert, außer dass für die Ausstellung von Zertifikaten nur ein Konto erforderlich ist und diese Zertifikate von niemandem erkannt werden, es sei denn, Sie installieren das Stammzertifikat manuell.
Obligatorischer Haftungsausschluss, da dies eine Produktempfehlung ist: Ich bin in keiner Weise mit StartSSL verbunden. Nur ein zufriedener Kunde.
quelle
Selbstsignierte Zertifikate schulen Ihre Benutzer (und SIE) darin, Warnungen gewohnheitsmäßig durchzuklicken, was eine schlechte Angewohnheit ist. Was ist, wenn dieses selbstsignierte Zertifikat durch ein Schurkenzertifikat ersetzt wurde? Würden Ihre Benutzer es bemerken oder würden sie blind durch einen weiteren Sicherheitsdialog klicken?
quelle