59 votos

¿Por qué necesito para comprar un certificado SSL cuando puedo generar una localmente?

Estoy teniendo problemas para entender por qué la necesitamos para la compra de certificados SSL cuando podemos generar localmente usando openSSL. ¿Cuál es la diferencia entre el certificado de comprar y un certificado de prueba generar localmente? Es una gran estafa?

72voto

Shlomi Fish Puntos 1951

Una palabra: confianza. El certificado SSL de un proveedor que su navegador fideicomisos significa que por lo menos han hecho básico de verificación para decir que usted es quien dice ser.

De lo contrario yo podría hacer mi propio certificados para google.com o yourbank.com y pretende ser ellos.

Pago de los certificados de no proporcionar cualquier nivel extra de cifrado a través de la auto firmado (por lo general). Pero un certificado autofirmado hará que el navegador a tirar un error.

Sí partes de SSL son una estafa (un certificado de verisign vs un geotrust donde verisign son hasta 100 veces más caro), pero no todo.

Si esto es todo lo interno de las cosas, entonces no hay necesidad de pagar a un certificado como usted puede emplear su propia confianza de los métodos (por ejemplo, no Hacer nada, o tal vez sólo la comprobación de huellas dactilares).

23voto

Manishearth Puntos 314

El punto entero de un certificado SSL es para que el navegador tiene un grado razonable de confianza en la clave pública del servidor de transacciones HTTPS.

En primer lugar, vamos a explorar lo que pasaría si no hicimos uso de los certificados. En su lugar, el servidor podría enviar a través de la clave pública en texto plano y el navegador se iniciará con la comunicación cifrada utilizando (la primera cosa que haría sería cifrar su propia clave pública y enviar de forma segura). Lo que si puedo, y el atacante, encajada a mí mismo en el medio? Podría reemplazar su clave pública sobre la marcha con la mía, tienen una conexión cifrada con el navegador, descifrar todas las cosas que reciben, a cifrar con la clave pública, y enviarlo a través de (y viceversa para la respuesta de tipo de tráfico). Ninguna de las partes se daría cuenta de la diferencia, ya que nadie sabía que las claves públicas de antemano.

OK, así que hemos establecido que necesitamos alguna forma para que el navegador confiar en mi clave pública. Una forma de hacerlo sería para almacenar todos los públicos registrados claves en el navegador. Por supuesto, esto requeriría una actualización cada vez que alguien se registra una clave pública,y esto podría conducir a la hinchazón. Uno podría también mantener las llaves en las manos de los servidores DNS1, pero los servidores DNS pueden ser suplantada así y DNS no es un protocolo seguro.

Así que la única opción que queda es la "cadena" de la confianza a través de un mecanismo de firma. El navegador almacena los detalles de un par de CAs, y su certificado será enviado junto con una cadena de certificados, cada uno de firmar la siguiente y va hasta la root/confianza/construido CA. Es el trabajo de los CA para asegurarse de que el dominio le pertenece a usted antes de la firma de un certificado para usted.

Ya que por ser una entidad es un negocio, los que cobran por ello. Algunos más que otros.


Si usted hizo su propio certificado, usted obtendrá un error similar al siguiente:

enter link description here

No hay ningún valor para un certificado sin firmar. Es como tomar un lápiz y un libro, un dibujo de un pasaporte que dice que usted es Barack Obama. Nadie va a confiar en él.

1. Después de todo, su entrada en el DNS se crea cuando se registra un dominio. El uso de un protocolo más robusto que le permite registrar simultáneamente las claves públicas sería un concepto interesante.

5voto

mschenk74 Puntos 160

La respuesta a tu pregunta depende de tu audiencia: Ya que todo el sistema de certificados se basa en la "confianza", los usuarios deben tener la disponibilidad para la prueba de sus certificados de sí mismos o confiar en un 3er partido que ha hecho esto comprueba y demuestra el éxito mediante la firma de su certificado. El término "a prueba sus certificados" que se utiliza es un poco inexacto: la versión larga debería ser: "la prueba de que usted es el propietario del certificado y se le permitió utilizar".

Si todos los usuarios conocer en personal y tener la capacidad técnica para una prueba de que su certificado ha sido emitido por ti mismo, no hay ninguna necesidad técnica para utilizar un certificado de un "certificado de proveedor". En este caso, el certificado auto-firmado incluso podría ser mejor que uno de uno de los allí proveedores.

Pero en la mayoría de los casos, no existe la posibilidad de los usuarios para hacer este proceso por sí mismos. Aquí, los proveedores de SSL entrar en el mercado. Ellos ofrecen el servicio de hacer estas comprobaciones y expresar el resultado de los controles por parte de la firma del certificado. Pero un hecho importante a tener en cuenta es: Mediante la firma de un certificado SSL-proveedor manifiesta que ha comprobado los emisores de certificados de identidad de acuerdo a su propia política de firma. Por lo que el usuario tiene que decidir si esta política es lo suficientemente precisa, y si él/ella puede confiar en el proveedor.

4voto

Antony Lee Puntos 164

El punto principal es que, si el cert es auto generar, al común de los usuarios no tienen manera de comprobar su veracidad. Comprado cert, que suponga, al menos, verificado lo que se imprime dentro de el certificado es correcto. Idea: si usted pone su teléfono y dirección en el cert, el CA supongo que para comprobar, pero que rara vez lo hacen.

En adicional, la compra de certificados de trazabilidad, que significa que el usuario siempre puede rastrear donde hizo el cert viene, mientras que un certificado autofirmado es sólo un azar de la identidad.

Para muchos el sistema, "de firma de código" se requiere de un distribuidor autorizado de CA en el pasado, que es impulsada por la política, pero desde la auto-firmado cert son tan numerosos, no es 100% cumplir ahora.

4voto

Hauke Laging Puntos 3496

No hay ninguna diferencia técnica (los suyos propios no son menos seguras) a solo una organizativo: El certificado de la CA no es parte de los navegadores estándar de instalación. Esto hace que sea incómodo para la mayoría de las personas a conectar con su certificado. Pero no tendría sentido comprar un certificado para una red interna.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: