it-swarm.cn

使用自签名SSL证书是不好的做法?

SSL证书对于个人来说非常昂贵,特别是如果您需要保护不同的子域。我正在考虑使用自签名证书,因为我主要关注的是保护连接,而不是自我验证。

但是,当遇到这样的证书时,几个浏览器会显示令人讨厌的警告。您是否会阻止使用自签名证书(例如小型Web应用程序或小型网站的管理页面)?或者在某些情况下可以吗?

29
Wookai

一般来说,使用自签名证书是不好的。如果您这样做,那么当您收到有关您的证书不良的警告时,您将面临风险,人们会离开您的网站。更重要的是,你冒着让某人进行注射攻击的风险更大,他们在你的地方使用他们自己的自签名证书,访问者也不会知道更好。

看看这里的文章, http://www.sslshopper.com/article-when-are-self-signed-certificates-acceptable.html 获取更多信息。

14
Ben Hoffman

正如RandomBen所说,由于他解释的原因,自签名证书通常不受欢迎。但有一种情况是他们没有问题:如果需要向您的网站提交敏感数据的人群规模小且有限,他们在某种程度上技术上都很有能力,并且您能够与所有人进行沟通。在这种情况下,您可以为每个人提供证书详细信息,然后他们可以在访问您的站点时手动检查证书,并在适当时添加安全例外。

作为一个极端的例子,在我的个人VPS上,我有一个管理子域,只有我才能访问它。使用自签名证书保护该域是没有问题的,因为我可以手动检查用于保护连接的服务器证书是否与我在服务器上安装的证书相同。

如果自签名证书不起作用或您宁愿使用“真实”证书,我建议 让我们加密 ,一个由互联网安全研究小组启动并由主要互联网支持的项目公司,免费提供SSL证书。他们可以这样做,因为他们使用的验证过程是完全自动化的,实际上支持他们的 ACME协议 (如 Caddy ,我目前使用的)的Web服务器可以获得证书完全靠自己。我们的加密不会验证,作为一个人,你说的是你;它仅验证您的Web服务器是否能够在其声明的域上提供内容。所有主流浏览器都支持加密,但众所周知,验证很少,所以如果您运行的是电子商务网站或人们提交敏感信息的任何内容,您应该花钱购买证书具有更高级别的验证。

我以前推荐使用来自 StartCom 的免费StartSSL证书给那些不想支付验证但不再支付费用的人。 StartCom于2016年被WoSign秘密收购,随后为多个域名颁发了非法证书。因此,主要浏览器取消了对StartCom证书的支持。 (据我所知,IE从不支持它们。)无论如何,让我们的加密更加方便。

14
David Z

使用自签名证书是不良做法。自签名证书有很多实际用途,使用CA签名证书是没有意义的。

例如,在我的许多服务器上,我都设置了无密码登录。这些是我经常连接的服务器,有时会打开多个SSH连接,每次输入我的用户名和密码都很麻烦。

相反,我使用我在每台客户端计算机(办公室的工作站,笔记本电脑和家庭工作站)上生成的自签名SSL证书。这种设置允许我为每台服务器使用相当长,安全且完全唯一的密码,而不会影响工作效率。而且因为我可以直接访问可以为每个证书安装公钥的服务器,所以我使用CA签名证书毫无意义。

可以设置我自己的根CA,我可以用它签署我们公司的所有内部使用证书,这样我只需要在每台服务器上安装一个公钥。但是,我们的组织还没有达到真正需要的大小,并且出于安全HTTP的目的,这仍然与拥有自签名证书相同。

同样,自签名证书经常用于电子邮件连接,PGP签名和服务器到服务器连接,其中预交换公钥很简单。在许多这种情况下,这实际上比依赖证书链更安全,证书链可能在链中的任何一点受到损害。

3
Lèse majesté

如果您要保护多个子域,您可能希望使用 通配符证书 ,这(取决于您保护的子域数有多少)可以比每个域购买一个更便宜;例如,一旦您使用了四个域,RapidSSL的通配符就会比单个证书便宜。

2
Cebjyre