ssl - raíz - crear un certificado de seguridad
¿Certificado o CA SSL autofirmado? (9)
El certificado SSL resuelve dos propósitos: el cifrado del tráfico (para el intercambio de claves RSA, al menos) y la verificación de la confianza. Como sabe, puede encriptar el tráfico con (o sin, si hablamos de SSL 3.0 o TLS) cualquier certificado autofirmado. Pero la confianza se logra a través de una cadena de certificados. No te conozco, pero confío en verisign (o al menos Microsoft, porque se les ha pagado mucho dinero para instalarlo en sus sistemas operativos por defecto), y como Verisign confía en ti, entonces confío en ti. también. Como resultado, no hay ninguna advertencia de miedo cuando voy a una página SSL de este tipo en mi navegador web porque alguien en quien confío ha dicho que eres quien eres.
En general, cuanto más caro sea el certificado, más investigará si lo hace la autoridad emisora de certificados. Por lo tanto, para los certificados de validación extendida, los solicitantes deben enviar más documentos para demostrar que son quienes dicen ser y, a cambio, obtienen una barra verde brillante y feliz en los navegadores web modernos (creo que Safari no hace nada con todavía bastante).
Finalmente, algunas compañías van con los grandes como Verisign solo por la marca sola; saben que sus clientes al menos han oído hablar de Verisign y que, para las personas que compran en su tienda en línea, su sello se ve un poco menos boceto que, digamos, GoDaddy''s.
Si la marca no es importante para ti o si tu sitio no es propenso a los ataques de phishing, entonces el certificado SSL más barato que puedas comprar que tenga su raíz instalada en la mayoría de los navegadores web estará predeterminado. Por lo general, la única verificación realizada es que debe poder responder a un correo electrónico enviado al contacto administrativo del DNS, lo que "prueba" que usted es el "propietario" de ese nombre de dominio.
Puede usar esos certificados de bajo costo en servidores que no son de GoDaddy, claro, pero es probable que primero tenga que instalar un certificado intermedio en el servidor. Este es un certificado que se encuentra entre su certificado de $ 30 y el certificado de raíz de GoDaddy "real deal". Los navegadores web que visiten su sitio serán como "hmm, parece que esto fue firmado con un intermediario, ¿lo entendieron?" lo que requiere puede requerir un viaje adicional. Pero luego solicitará el intermedio de su servidor, verá que encadena un certificado raíz de confianza que conoce, y no hay ningún problema.
Pero si no puede instalar el intermediario en su servidor (como en un escenario de alojamiento compartido), entonces no tiene suerte. Esta es la razón por la que la mayoría de la gente dice que los certificados de GoDaddy no se pueden usar en servidores que no sean GoDaddy. No es cierto, pero es lo suficientemente cierto para muchos escenarios.
(En el trabajo, utilizamos un certificado de Comodo para nuestra tienda en línea y un certificado Godoad de $ 30 barato para asegurar la conexión interna a la base de datos).
Editado en cursiva para reflejar las aclaraciones perspicaces de erickson a continuación. ¡Aprenda algo nuevo cada día!
Me gustaría que las partes de autenticación y registro de mi sitio web estén cifradas (por razones obvias). Este sitio es actualmente y un sitio más antiguo que algunos amigos y yo comenzamos en la escuela media y todavía utilizamos hoy en día. Puedo registrarlo o no para ser una organización sin fines de lucro en un futuro cercano, pero de cualquier manera, un CA cuesta dinero y la organización no tiene ninguno y actualmente somos estudiantes universitarios.
Verisign no es razonable y GoDaddy cuesta $ 30 por año. GoDaddy no es demasiado irracional, y creo que sus certs son aceptados por la mayoría de los navegadores web. Lo que pasa con GoDaddy es que no sé por qué tienen diferentes productos SSL (es decir: ¿por qué es barato no verificarme?), ¿Esto tiene alguna implicancia en el certificado y cómo lo trata el navegador si solo contiene un nombre de dominio? ?)
Además, ¿hay algún problema con el uso de mi propio certificado? ¿Podría la página de inicio de sesión ser http, y tener una línea que indique que utilizo un certificado autofirmado y aquí está su huella digital y luego publicar el formulario en una página https? El método de Safari no es tan malo ni suena demasiado aterrador. Me temo, sin embargo, que el método de Firefox 3 asustará a la gente y me dará una tonelada de correos electrónicos diciendo que mi sitio está siendo pirateado o algo así. No sé cómo responde IE a los certificados autofirmados. (También está la cuestión de por qué pagar por algo que puedo crear yo mismo sin ningún esfuerzo, pero no voy a plantear la parte filosófica del mismo, esta es una pregunta más práctica).
En resumen, le doy a GoDaddy $ 30 por año o simplemente le digo a la gente en un pequeño párrafo lo que estoy haciendo y le doy a las pocas personas que realmente querrán mi huella dactilar?
Editar: Algunos en un foro que estaba leyendo para obtener más información mencionaron que los certificadores GoDaddy solo se dan si están en un servidor GoDaddy, que no es así. Dos cosas: (1) ¿es esto cierto? y Hay otras CA a aproximadamente el mismo precio, por lo que el argumento debería ser el mismo.
En lugar de crear un certificado autofirmado, cree una CA autofirmada y firme su certificado HTTPS con eso. Es más fácil pedirle a los usuarios que instalen una CA que un certificado de servidor único, y puede crear certs nuevos (por ejemplo, para subdominios o para actualizar certs caducados) sin que los usuarios tengan que instalar un certificado de servidor nuevamente.
Luego puede decidir más adelante si vale la pena los $ 30 para pasar de un certificado firmado por su propia CA al mismo certificado firmado por GoDaddy o quien sea.
De cualquier manera, no tiene una página HTTP con un formulario publicado en HTTPS. El usuario no puede ver que es allí donde va; tendrían que ver la fuente para verificar que el formulario no haya sido secuestrado para señalar a otro lado y nadie lo hará. Debería tener una página de inicio HTTP con el enlace CA y un enlace separado al formulario de inicio de sesión de HTTPS.
Pedirle a los usuarios que instalen una CA con un certificado descargado a través de HTTP simple es un poco travieso: si hubiera un hombre en el medio, podrían reemplazar su CA sobre la marcha y secuestrar las conexiones HTTPS subsiguientes. Las posibilidades de que esto realmente suceda son bastante bajas, ya que tendría que ser un ataque dirigido en lugar de simple olfateo automatizado, pero en realidad debería alojar el enlace de descarga de CA en algún otro servicio protegido con HTTPS.
La aceptación del cliente es un asunto que solo usted puede responder, sabiendo quiénes son sus usuarios. Ciertamente, la interfaz de Firefox es excesivamente aterradora. Si las CA como GoDaddy han bajado a $ 30 en estos días, probablemente lo haga; solía ser mucho, mucho peor.
Asumir soporte en buscadores antiguos y de nicho no es un gran problema, solo busque la CA más barata disponible. Se supone que usted debe pagar para que la CA verifique correctamente quién es usted, pero en la práctica no es así y nunca lo ha sido, por lo que pagar más por cheques más exhaustivos no le aporta casi nada. Los precios exorbitantes de Verisign sobreviven solo a través de la inercia corporativa.
Las CA están ahí para recibir dinero por no hacer nada excepto poseer unos pocos cientos de bits de clave privada. El material de verificación de identidad que se suponía que formaba parte del mandato de CA se ha trasladado a certificados EV. Que son aún más una estafa. Alegría.
Existe una idea errónea de que los certificados autofirmados son intrínsecamente menos seguros que los vendidos por CA comerciales como GoDaddy y Verisign, y que usted tiene que vivir con advertencias / excepciones del navegador si los usa; esto es incorrecto
Si distribuye de forma segura un certificado autofirmado (o certificado de CA, como se sugiere Bobince) e instalarlo en los navegadores que usarán su sitio , es tan seguro como uno que se compró y no es vulnerable a man-in-the-middle ataques y falsificación de certificados. Obviamente, esto significa que solo es factible si solo unas pocas personas necesitan un acceso seguro a su sitio (por ejemplo, aplicaciones internas, blogs personales, etc.).
Con el interés de aumentar la conciencia y alentar a los compañeros blogueros de poca monta como yo a protegerse, escribí un tutorial de nivel de entrada que explica los conceptos detrás de los certificados y cómo crear y usar de forma segura tu propio certificado autofirmado (completo con muestras de código y capturas de pantalla) here .
Finalmente me colapsé y cambié mi servidor de autofirmado a un certificado de GoDaddy anoche y no fue un gran problema, aparte de que su proceso no era tan claro como podría ser. $ 30 / año es un costo razonable y usar el certificado en un servidor que no es GoDaddy no es un problema.
Si va a hablar de SSL al público, obtenga un certificado real firmado por una CA real. Incluso si está trabajando por el salario mínimo, ahorrará más de $ 30 al año en pérdida de tiempo al lidiar con los temores o la desconfianza de los usuarios, y eso incluso antes de considerar cualquier posible pérdida de ingresos debido a que está asustado de su sitio.
GoDaddy está dando certificados SSL por $ 15 al año a través de este enlace de compra ahora en este sitio. No aplique códigos de cupón porque luego el precio vuelve a $ 30 por año y descuentos desde allí.
http://www.sslshopper.com/ssl-certificate-comparison.html?ids=17,25,34,37,62
Los certificados autofirmados son inseguros . Sí, en serio. "Al menos está encriptado" no está ayudando para nada. Del artículo:
Cifrado de clase mundial * autenticación cero = seguridad cero
Si su sitio web es para usted y algunos de sus amigos, entonces puede crear su propia CA y distribuir su certificado a sus amigos.
De lo contrario, obtenga un certificado de CA conocida ( gratis ) o no se moleste en absoluto con los certificados autofirmados, ya que todo lo que obtendría es una falsa sensación de seguridad.
¿Por qué el tráfico encriptado no es seguro? Siempre estás permitiendo que el otro lado decodifique tu tráfico (tienes que hacerlo, de lo contrario estarías enviando un galimatías).
Si no verifica quién está en el otro extremo, está permitiendo que alguien descifre su tráfico. No importa si envía datos a un atacante de forma segura o no de forma segura: el atacante obtiene los datos de todos modos.
No estoy hablando de verificar si, por ejemplo, paypal.com pertenece a una institución financiera confiable (ese es un problema mayor). Estoy hablando de verificar si estás enviando datos a paypal.com, o simplemente a una furgoneta a la vuelta de la esquina que envía un certificado que dice "sí, soy como paypal.com y tienes mi palabra de que es verdad". ! "
Obtenga un certificado de Let''s Encrypt, una CA gratuita esta nueva década, que es ampliamente compatible con navegadores.
Todavía no los he probado, pero se mencionó StartCom en una respuesta a una pregunta similar . Aparentemente puede obtener un certificado de un año gratis, y es aceptado por Firefox 3.
Incluso si tiene que pagar, le sugiero usar una CA en lugar de certificados autofirmados. Algunas personas no verán tu explicación, y un sitio falso podría publicar la huella digital de su propio certificado falso al igual que propones. Dudo que el usuario promedio sepa qué es una huella digital de certificado o cómo verificarla.
Para responder a su pregunta acerca de Internet Explorer, advertirá a los usuarios sobre cualquier sitio cuyo certificado no esté firmado por una CA conocida (desafortunadamente llamada "de confianza"). Esto incluye su propia CA y certificados autofirmados. También hará una advertencia si el dominio en el certificado no es el que se está accediendo.
Si se trata de un sitio privado, es posible que no le importe siempre que obtenga encriptación a nivel de enlace (¿y usted tiene miedo de que alguien detecte su tráfico?). Si hay acceso público y desea SSL, obtenga un certificado firmado de una CA reconocida, como ya han informado otros.
Si esa furgoneta a la vuelta de la esquina ya es capaz de secuestrar su conexión a Internet, tendrá problemas peores que los certificados autofirmados.
Los bancos deben usar certificados de clientes para la autenticación. Eso haría imposible que esa camioneta haga algo ... ya que no tiene la clave privada del banco.
Los certificados autofirmados están perfectamente bien ... suponiendo que su conexión a Internet no se haya visto comprometida. Si tu conexión se ha visto comprometida ... probablemente seas obstinado de todos modos.