Ist es eine gute Idee, in der Produktion Cacert-SSL-Zertifikate anstelle von selbstsignierten zu verwenden?

10

Bei der Arbeit habe ich eine Reihe von Webschnittstellen, die einfache http- oder selbstsignierte Zertifikate verwenden (Load Balancer-Verwaltungsoberfläche, internes Wiki, Kakteen, ...).

Keiner ist von außerhalb bestimmter vlans / Netzwerke erreichbar.

Für den Heimgebrauch verwende ich cacert SSL-Zertifikate.

Ich habe mich gefragt, ob ich meinem Arbeitgeber vorschlagen sollte, cacert SSL-Zertifikate anstelle von selbstsignierten Zertifikaten und einfachem http zu verwenden. Jemand verwendet cacert ssl in der Produktion? Was sind die Vor- und Nachteile? Verbessert es die Sicherheit? Ist es einfacher zu verwalten? Etwas Unerwartetes? Kann es sich auf Qualys-Scans auswirken? Wie kann ich sie überzeugen?

Bezahlte Zertifikate für öffentliche Websites würden natürlich unverändert bleiben.

Bearbeiten:

(nur neugierig) Das kostenlose SSL-Zertifikat von Unternehmen scheint nicht Klasse 3 zu sein. Ich musste meinen Reisepass vorzeigen und physisch anwesend sein, um Klasse 3 von Cacerts zu erhalten. Gibt es in den Browsern keine Warnung für jede Klasse 1?

Wie auch immer, ich hätte die gleiche Frage zu jeder kostenlosen Zertifizierungsstelle: Ist es besser als selbstsigniertes und einfaches http zu verwenden, und warum ?

Ich würde es tun, um die Verwaltung auf der Serverseite zu vereinfachen. Was habe ich vermisst?

Haftungsausschluss : Ich bin kein Mitglied der Cacert Association , nicht einmal Assurer, sondern nur ein regelmäßiger glücklicher Benutzer.

security  ssl 
HopelessN00b
quelle
Zertifikate aus verschiedenen "Klassen" werden in Browsern nicht unterschiedlich behandelt. Es liegt auf der Benutzerseite, ihnen zu vertrauen oder nicht. Die einzige Art von Zertifikaten, die von Browsern speziell behandelt werden, sind erweiterte Validierungszertifikate.
Hubert Kario

Antworten:

3

Ich würde raten, dass die Verwendung von kostenlosen Zertifikaten wie bei CACert zwar nichts auszusetzen hat, Sie aber wahrscheinlich auch nichts davon haben werden.

Da sie von nichts standardmäßig als vertrauenswürdig eingestuft werden, müssen Sie das Stammzertifikat weiterhin auf allen Ihren Clients installieren / bereitstellen. Dies ist die gleiche Situation, in der Sie sich bei selbstsignierten oder von einer internen Zertifizierungsstelle ausgestellten Zertifikaten befinden würden.

Die Lösung, die ich bevorzuge (und verwende), ist eine interne Zertifizierungsstelle und eine Massenbereitstellung ihres Stammzertifikats auf allen Domänencomputern. Die Kontrolle über die von Ihnen verwendete Zertifizierungsstelle erleichtert die Zertifikatsverwaltung erheblich als selbst über eine Portalwebsite. Mit Ihrer eigenen Zertifizierungsstelle können Sie im Allgemeinen eine Zertifikatanforderung und ein entsprechendes Zertifikatproblem per Skript erstellen, sodass alle Ihre Server, Sites und alles, was ein Zertifikat benötigt, es automatisch erhalten und Ihren Clients fast unmittelbar nach dem Einfügen in Ihre Umgebung vertrauen können Kein Aufwand oder manuelle Aufgaben durch die IT.

Wenn Sie nicht in der Lage sind, Ihre eigene Zertifizierungsstelle einzurichten und zu automatisieren, kann die Verwendung einer externen kostenlosen Zertifizierungsstelle wie der von Ihnen erwähnten Ihr Leben natürlich ein wenig erleichtern, da Sie nur ein externes Stammzertifikat bereitstellen müssen ... aber Sie sollten wahrscheinlich gleich beim ersten Mal versuchen, es richtig zu machen, und eine interne Zertifizierungsstelle für Ihre Domain einrichten.

HopelessN00b
quelle
Das Einrichten der internen Zertifizierungsstelle wird wahrscheinlich nicht durchgeführt, da die Einrichtung Zeit kostet, aber ich glaube, es ist besser als kostenlose SSL-Zertifikate.
6

Ich würde kostenlose SSL-Zertifikate von StartSSL vorschlagen, die auch von modernen Browsern erkannt werden. Ich habe nichts gegen CACert, außer dass für die Ausstellung von Zertifikaten nur ein Konto erforderlich ist und diese Zertifikate von niemandem erkannt werden, es sei denn, Sie installieren das Stammzertifikat manuell.

Obligatorischer Haftungsausschluss, da dies eine Produktempfehlung ist: Ich bin in keiner Weise mit StartSSL verbunden. Nur ein zufriedener Kunde.

Chris S.
quelle
3

Ist es besser als selbstsigniertes und einfaches http zu verwenden und warum?

Selbstsignierte Zertifikate schulen Ihre Benutzer (und SIE) darin, Warnungen gewohnheitsmäßig durchzuklicken, was eine schlechte Angewohnheit ist. Was ist, wenn dieses selbstsignierte Zertifikat durch ein Schurkenzertifikat ersetzt wurde? Würden Ihre Benutzer es bemerken oder würden sie blind durch einen weiteren Sicherheitsdialog klicken?

Stefan Lasiewski
quelle
Ich denke, solange die selbst ausgestellten Zertifikate oder die Stammzertifizierungsstelle von den Client-Computern / Browsern / der relevanten Software als vertrauenswürdig eingestuft werden, gibt es überhaupt keine Warnungen. Dies bedeutet, dass die aktualisierten Zertifikate irgendwie an die Clients gesendet und erneut gesendet und erneut gesendet werden (nur bei Bedarf, haha). Ich glaube, braucht nur einmal für eine Root-CA und dann nur, wenn es sich ändert
Alex
Selbstsignierte Zertifikate lösen weiterhin eine Warnung aus, auch wenn sie vertrauenswürdig sind. Sie werden jedoch keine zweite Warnung vor Vertrauen auslösen.
Stefan Lasiewski
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.