it-swarm.asia

هل من الممارسات السيئة استخدام شهادات SSL الموقعة ذاتياً؟

تعتبر شهادات طبقة المقابس الآمنة مكلفة للغاية للأفراد ، خاصة إذا كنت بحاجة إلى تأمين نطاقات فرعية مختلفة. أنا أفكر في استخدام شهادات موقعة ذاتيًا ، حيث أن تركيزي الأساسي هو تأمين الاتصال وليس مصادقة نفسي.

ومع ذلك ، تعرض عدة متصفحات تحذيرات سيئة عند مواجهة هذه الشهادة. هل تثبط استخدام الشهادات الموقعة ذاتيا (على سبيل المثال لتطبيق الويب الصغير أو صفحة المسؤول الخاصة بموقع ويب صغير)؟ أم أنها على ما يرام في بعض الحالات؟

29
Wookai

بشكل عام ، من السيء استخدام شهادة موقعة ذاتيا. إذا قمت بذلك ، فأنت تخاطر بأن يغادر الأشخاص موقعك عندما يتلقون تحذيراً من كون شهادة سيرتك سيئة. والأهم من ذلك ، أنك تواجه مخاطرة أكبر في أن يقوم شخص ما بهجوم بالحقن حيث يستخدمون شهاداتهم الموقعة ذاتيا في مكانك ولن يعرف الزائر أي شيء أفضل.

تحقق من المقالة هنا ، http://www.sslshopper.com/article-when-are-self-signed-certificates-acceptable.html لمزيد من المعلومات حول هذا الموضوع.

14
Ben Hoffman

كما قال RandomBen ، شهادات موقعة ذاتيا هي عموما عبث للأسباب التي أوضح. ولكن هناك موقف واحد يكون على ما يرام: إذا كانت مجموعة الأشخاص الذين يحتاجون إلى إرسال بيانات حساسة إلى موقع الويب الخاص بك صغيرة ومحدودة ، فهم جميعًا مؤهلون تقنيًا إلى حد ما ، ويمكنك التواصل معهم جميعًا. في هذه الحالة ، يمكنك إعطاء كل شخص تفاصيل الشهادة ، ثم يمكنهم التحقق من الشهادة يدويًا عندما يذهبون إلى موقعك وإضافة استثناء أمان إذا كان ذلك مناسبًا.

كمثال صارخ ، على VPS الشخصي لدي نطاق فرعي إداري ، لا ينبغي لي الوصول إليه من قبل. لن تكون هناك مشكلة في تأمين هذا المجال بشهادة موقعة ذاتيًا لأنني أستطيع التحقق يدويًا من أن شهادة الخادم المستخدمة لتأمين الاتصال هي نفسها التي قمت بتثبيتها على الخادم.

في الحالات التي لا تعمل فيها الشهادة الموقعة ذاتيًا أو تفضل الحصول على شهادة "حقيقية" ، أوصي Let's Encrypt ، مشروع بدأته مجموعة Internet Security Research Group وبدعم من الإنترنت الرئيسي الشركات ، التي تقدم شهادات SSL دون أي تكلفة. يمكنهم القيام بذلك لأن عملية التحقق التي يستخدمونها مؤتمتة بالكامل ، وفي الواقع يمكن لخادم الويب الذي يدعم بروتوكول ACME (مثل Caddy ، الذي أستخدمه حاليًا) الحصول على شهادات تماما من تلقاء نفسها. لنقم بتشفير أن أنت ، كشخص ، أنت الذي تقول أنك ؛ إنه يتحقق فقط من أن خادم الويب الخاص بك قادر على تقديم المحتوى على النطاق الذي يزعم أنه. دعنا نتشفير مدعوم من قبل جميع المتصفحات الرئيسية ، ولكن من المعروف أن التحقق هو الحد الأدنى ، لذلك إذا كنت تقوم بتشغيل شيء مثل موقع التجارة الإلكترونية أو أي شيء حيث سيقدم الناس معلومات حساسة ، فمن المحتمل أن تنفق الأموال للحصول على شهادة مع مستوى أعلى من التحقق من الصحة.

اعتدت أن أوصي بشهادات StartSSL المجانية من StartCom للأشخاص الذين لا يريدون الدفع مقابل التحقق من الصحة ، ولكن ليس بعد الآن. تم الاستحواذ على StartCom سراً بواسطة WoSign في عام 2016 ، ثم أصدر شهادات غير مشروعة لعدة مجالات. نتيجة لذلك ، أزال المتصفحات الرئيسية دعمهم لشهادات StartCom. (على حد علمي ، IE لم تدعمها أبدًا على أي حال.) على أي حال ، دعونا نشفّر أكثر ملاءمة.

14
David Z

من لا ممارسة سيئة لاستخدام الشهادات الموقعة ذاتيا. تحتوي الشهادات الموقعة ذاتيا على الكثير من الأغراض العملية التي من غير المنطقي ببساطة استخدام شهادة موقعة عليها.

على سبيل المثال ، على العديد من الخوادم الخاصة بي ، تم إعداد تسجيل دخول بدون كلمة مرور. هذه هي الخوادم التي أقوم بالاتصال بها بشكل متكرر ، وأحيانًا تبقى اتصالات SSH متعددة مفتوحة ، بحيث يكون من المتاعب كتابة اسم المستخدم وكلمة المرور الخاصة بي في كل مرة.

بدلاً من ذلك ، أستخدم شهادة SSL موقعة ذاتيًا أقوم بإنشائها على كل جهاز من الأجهزة العميلة الخاصة بي (محطة عمل في المكتب وجهاز كمبيوتر محمول ومحطة عمل منزلية). يتيح لي هذا النوع من الإعداد استخدام عبارات مرور طويلة وآمنة وفريدة تمامًا لكل خادم من الخوادم دون التأثير على الإنتاجية. ولأنني لدي إمكانية الوصول المباشر إلى الخوادم حيث يمكنني تثبيت المفتاح العمومي لكل شهادة ، فلا فائدة من استخدام شهادة موقعة من CA.

يمكنني إعداد المرجع المصدق الخاص بي والذي يمكنني من خلاله تسجيل جميع شهادات الاستخدام الداخلي لشركتنا ، وبهذه الطريقة سأحتاج فقط إلى تثبيت مفتاح عمومي واحد على كل خادم. ومع ذلك ، لم تتطور منظمتنا إلى الحجم الذي يستلزم ذلك حقًا ، ولأغراض HTTP الآمن ، سيظل هذا هو نفسه الحصول على شهادة موقعة ذاتيًا.

وبالمثل ، يتم استخدام الشهادات الموقعة ذاتياً بشكل متكرر لاتصالات البريد الإلكتروني وتوقيع PGP واتصالات الخادم إلى الخادم حيث يكون من السهولة تبادل المفاتيح العامة مسبقًا. في كثير من هذه الحالات ، يكون هذا في الواقع أكثر أمانًا من الاعتماد على سلسلة شهادات يمكن اختراقها في أي وقت في السلسلة.

3
Lèse majesté

إذا كنت تقوم بتأمين نطاقات فرعية متعددة ، فقد تحتاج إلى استخدام شهادات wildcard ، والتي (حسب عدد المجالات الفرعية التي تقوم بتأمينها) قد تكون أرخص بكثير من شراء واحدة لكل مجال ؛ على سبيل المثال ، يصبح RapidSSL بأحرف البدل التي تحصل على تكلفة أرخص من القطع الفردية بمجرد استخدام أربعة مجالات.

2
Cebjyre