Sind die SSL-Standardzertifikate für Schlangenöl wirklich Schlangenöl und keine echten, ehrlichen Zertifikate? [geschlossen]

12

SSL generiert standardmäßig selbstsignierte "Schlangenöl" -Zertifikate, z. B. bei /etc/ssl/certs/ssl-cert-snakeoil.pem. Laut Wikipedia ist Schlangenöl eine kryptografische Methode oder ein Produkt, das als betrügerisch oder gefälscht gilt. Gibt es etwas Falsches an diesen Zertifikaten? Sicher, sie werden nicht von einer bekannten Zertifizierungsstelle signiert, aber die Zertifikate selbst können immer noch echte Zertifikate sein, so gut wie alle anderen. Zum Beispiel könnte ich den öffentlichen Schlüssel meines Servers persönlich an alle meine Kunden verteilen. Unter der Annahme, dass es etwas gibt, das Schlangenöl wert ist, oder ist der Name irreführend?

Prateek
quelle

Antworten:

10

Remeber SSL erfüllt zwei sehr wichtige Funktionen

  1. Sichere Kommunikation
  2. Vertrauen

Jedes selbst erstellte SSL-Zertifikat bietet Ihnen 1. die Möglichkeit, verschlüsselten Datenverkehr zuzulassen, oder wie Sie sagen, ein gültiges SSL-Zertifikat.

Ein selbst erstelltes SSL-Zertifikat kann jedoch nur Personen vertrauen, die Ihnen vertrauen. Der Grund dafür, dass SSL-Zertifikate von vertrauenswürdigen Drittanbietern generiert werden, ist die Angabe von Nummer 2. Ihr Browser vertraut ihnen und sie vertrauen Ihnen. Wenn Sie es selbst generieren, könnten Sie behaupten, www.microsoft.com zu sein, und wenn Ihnen jemand vertraut hätte, wäre dies der Fall.

Wie in den Kommentaren erwähnt, sollten Sie daher keinem selbstsignierten Zertifikat für seinen Server vertrauen, da Ihr Browser anscheinend allen zukünftigen Zertifikaten vertraut, die vom selben Server signiert wurden.

Aus diesem Grund sind selbst erzeugte Schlangenölzertifikate.

Update: Der LetsEncrypt- Dienst in Verbindung mit einem modernen Webserver wie Caddy macht die Beschaffung und Verwendung von TLS-Zertifikaten zum Kinderspiel, sodass keine Schlangenölzertifikate mehr erforderlich sind!

Toby Allen
quelle
2
„Wenn Sie es selbst erzeugen könnte man behaupten , www.microsoft.com zu sein“ - der auch ist , warum soll man selbstsignierten Vertrauen jemand nicht Root - Zertifikat (wie dann irgendein Zertifikat mit derselben Wurzel zu einem späteren Zeitpunkt erstellt, wäre vertraute auch).
Arjan
aber wie unterscheidet sich ein selbst erstelltes SSL-Zertifikat vom Schlangenöl-Zertifikat? Handelt es sich bei einem selbst erstellten Zertifikat nicht um ein Schlangenölzertifikat? Was ist der Unterschied zwischen einem Schlangenölzertifikat und dem Schlangenölzertifikat?
Thufir
4

Selbstsignierte Zertifikate verschlüsseln Ihre Kommunikation genauso wie Standardzertifikate. Die Verschlüsselung ist also nicht das Problem.

Zertifikate können auch zur Überprüfung der Identität verwendet werden. Wenn Sie eine sichere Verbindung zu einem Server herstellen, legt dieser Server Ihnen oder Ihrem Browser sein Zertifikat vor und Sie oder Ihr Browser entscheiden dann, ob Sie der Bestätigung der Identität des Servers vertrauen können.

Zertifikate können von anderen "übergeordneten" Zertifikaten signiert werden, die in der Regel als Zertifizierungsstellen bezeichnet werden. Wenn das Serverzertifikat von einer Zertifizierungsstelle signiert ist, der Sie oder Ihr Browser vertrauen, wird die Identität als gültig betrachtet.

Die meisten gängigen Browser verfügen über eine Reihe von Stammzertifikaten von Verisign und anderen bekannten Zertifizierungsstellen, denen sie automatisch vertrauen.

Da ein selbstsigniertes Zertifikat nicht von einer Zertifizierungsstelle eines Drittanbieters, sondern von derselben Entität signiert ist, die das Zertifikat erstellt hat, können Sie sich bei der Überprüfung der Identität nur auf diejenige Person verlassen, die das Zertifikat erstellt hat. Dies entspricht dem Ausdruck eines eigenen Personalausweises, mit dem Sie die Identität überprüfen können. Dies ist trotz Browser-Warnungen nicht unbedingt ein Problem, wenn Sie wissen / vertrauen, wer das Zertifikat erstellt hat oder es selbst gemacht hat.

LawrenceC
quelle
2

Wikipedia sagt auch: "Schlangenöl ist ein Ausdruck, der ursprünglich von betrügerischen Gesundheitsprodukten oder nicht nachgewiesenen Arzneimitteln handelt, sich aber auf Produkte bezieht, deren Qualität oder Nutzen fraglich oder nicht überprüfbar ist."

In diesem Zusammenhang ist die nicht überprüfbare Qualität wichtig. Wenn Sie eine SSL - Site durchsuchen, für die keine Zertifikatskette zu einer vertrauenswürdigen Zertifizierungsstelle besteht, können Sie sich nicht auf SSL verlassen, um zu überprüfen, ob die Site der Person oder Organisation gehört und von ihr betrieben wird, der die Domäne gehört (wie in Ihrer angezeigt) Browser-URL-Leiste).

Moderne Webbrowser zeigen eine Sicherheitswarnung an, wenn sie Websites mit selbstsignierten ("Schlangenöl") Zertifikaten durchsuchen, da ihnen diese vertrauenswürdige Zertifikatkette fehlt. Dies kann beispielsweise in einem privaten Intranet ärgerlich sein, schützt jedoch in gewisser Weise Personen vor der Eingabe ihrer privaten Daten und Zahlungsinformationen in Phishing-Websites.

John Ball
quelle