SSL generiert standardmäßig selbstsignierte "Schlangenöl" -Zertifikate, z. B. bei /etc/ssl/certs/ssl-cert-snakeoil.pem
. Laut Wikipedia ist Schlangenöl eine kryptografische Methode oder ein Produkt, das als betrügerisch oder gefälscht gilt. Gibt es etwas Falsches an diesen Zertifikaten? Sicher, sie werden nicht von einer bekannten Zertifizierungsstelle signiert, aber die Zertifikate selbst können immer noch echte Zertifikate sein, so gut wie alle anderen. Zum Beispiel könnte ich den öffentlichen Schlüssel meines Servers persönlich an alle meine Kunden verteilen. Unter der Annahme, dass es etwas gibt, das Schlangenöl wert ist, oder ist der Name irreführend?
quelle
Selbstsignierte Zertifikate verschlüsseln Ihre Kommunikation genauso wie Standardzertifikate. Die Verschlüsselung ist also nicht das Problem.
Zertifikate können auch zur Überprüfung der Identität verwendet werden. Wenn Sie eine sichere Verbindung zu einem Server herstellen, legt dieser Server Ihnen oder Ihrem Browser sein Zertifikat vor und Sie oder Ihr Browser entscheiden dann, ob Sie der Bestätigung der Identität des Servers vertrauen können.
Zertifikate können von anderen "übergeordneten" Zertifikaten signiert werden, die in der Regel als Zertifizierungsstellen bezeichnet werden. Wenn das Serverzertifikat von einer Zertifizierungsstelle signiert ist, der Sie oder Ihr Browser vertrauen, wird die Identität als gültig betrachtet.
Die meisten gängigen Browser verfügen über eine Reihe von Stammzertifikaten von Verisign und anderen bekannten Zertifizierungsstellen, denen sie automatisch vertrauen.
Da ein selbstsigniertes Zertifikat nicht von einer Zertifizierungsstelle eines Drittanbieters, sondern von derselben Entität signiert ist, die das Zertifikat erstellt hat, können Sie sich bei der Überprüfung der Identität nur auf diejenige Person verlassen, die das Zertifikat erstellt hat. Dies entspricht dem Ausdruck eines eigenen Personalausweises, mit dem Sie die Identität überprüfen können. Dies ist trotz Browser-Warnungen nicht unbedingt ein Problem, wenn Sie wissen / vertrauen, wer das Zertifikat erstellt hat oder es selbst gemacht hat.
quelle
Wikipedia sagt auch: "Schlangenöl ist ein Ausdruck, der ursprünglich von betrügerischen Gesundheitsprodukten oder nicht nachgewiesenen Arzneimitteln handelt, sich aber auf Produkte bezieht, deren Qualität oder Nutzen fraglich oder nicht überprüfbar ist."
In diesem Zusammenhang ist die nicht überprüfbare Qualität wichtig. Wenn Sie eine SSL - Site durchsuchen, für die keine Zertifikatskette zu einer vertrauenswürdigen Zertifizierungsstelle besteht, können Sie sich nicht auf SSL verlassen, um zu überprüfen, ob die Site der Person oder Organisation gehört und von ihr betrieben wird, der die Domäne gehört (wie in Ihrer angezeigt) Browser-URL-Leiste).
Moderne Webbrowser zeigen eine Sicherheitswarnung an, wenn sie Websites mit selbstsignierten ("Schlangenöl") Zertifikaten durchsuchen, da ihnen diese vertrauenswürdige Zertifikatkette fehlt. Dies kann beispielsweise in einem privaten Intranet ärgerlich sein, schützt jedoch in gewisser Weise Personen vor der Eingabe ihrer privaten Daten und Zahlungsinformationen in Phishing-Websites.
quelle