Что такое самоподписанный ssl-сертификат
В этой статье расскажем, что будет, если установить на сайт самоподписанный SSL-сертификат. Если для вас это новая тема, прочитайте также, что такое SSL и центры сертификации.
Самоподписанный или самозаверенный сертификат — это SSL-сертификат, который пользователь создал самостоятельно. Технически он ничем не отличается от платных сертификатов, но при переходе на сайт с таким сертификатом посетитель увидит предупреждение:
Safari
Mozilla Firefox
Google Chrome
Самоподписной сертификат может создать кто угодно, даже мошенник. Поэтому браузер подсказывает: на сайте стоит сертификат от неизвестного производителя, мы не уверены, что ему можно доверять. Даже если сайт надёжный, неподготовленный человек может испугаться ошибки и закрыть вкладку.
Таких ситуаций не бывает с платными SSL-сертификатами. Их выпускают специальные организации — центры сертификации. Они проверяют каждый заказ и берут на себя риск, что сертификат получит мошенник. С годами несколько центров сертификации заработали репутацию надёжных компаний, поэтому популярные браузеры распознают их сертификаты автоматически.
Хотели бы получить Wildcard SSL в Украине? Мы предлагаем доступные сертификаты от центров сертификации Comodo и GeoTrust.
Другие вопросы
Стоимость Самозаверяющие сертификаты можно создавать бесплатно с помощью широкого спектра инструментов, включая OpenSSL , Java’s keytool, Adobe Reader, wolfSSL и Apple Keychain.
Скорость развертывания Самозаверяющие сертификаты требуют взаимодействия двух сторон (например, для безопасной торговли открытыми ключами). Для использования CA требуется, чтобы взаимодействовали только CA и владелец сертификата; Владелец открытого ключа может подтвердить его подлинность с помощью корневого сертификата ЦС .
Настройка Самозаверяющие сертификаты легче настроить, например, увеличить размер ключа, содержать данные, метаданные и т. Д.
Проблемы с безопасностью
В системе PKI на основе CA CA должны доверять обеим сторонам. Обычно это достигается путем помещения сертификатов CA в белый список доверенных сертификатов. Например, разработчики веб-браузеров могут использовать процедуры, указанные CA / Browser Forum , или сертификат частного CA может быть помещен во встроенное ПО встроенной системы .
Проблемы доверия объекта, принимающего новый самозаверяющий сертификат, аналогичны проблемам объекта, доверяющего добавлению нового сертификата CA. Стороны в самоподписанной PKI должны установить доверительные отношения друг с другом (используя процедуры вне PKI) и подтвердить точную передачу открытых ключей (например, сравнить хеш-код вне диапазона).
Между сертификатами, подписанными ЦС, и самозаверяющими сертификатами существует много тонких различий, особенно в степени доверия, которое может быть помещено в утверждения безопасности сертификата. Некоторые центры сертификации могут проверить личность человека, которому они выдают сертификат; например, военные США выдают свои карты общего доступа лично с множеством других документов.
ЦС может подтвердить такие значения идентичности, включив их в подписанный сертификат. Сущность, которая проверяет сертификат, может доверять информации в этом сертификате в той же степени, в какой они доверяют ЦС, который его подписал (и, как следствие, процедурам безопасности, которые ЦС использовал для проверки подтвержденной информации).
С самозаверяющим сертификатом, напротив, доверие к значениям в сертификате более сложное, поскольку объект обладает ключом подписи и всегда может сгенерировать новый сертификат с другими значениями. Например, срокам действия самозаверяющего сертификата нельзя доверять, поскольку объект всегда может создать и подписать новый сертификат, содержащий допустимый диапазон дат.
Значениям в самозаверяющем сертификате можно доверять, если выполняются следующие условия: значения были (вне диапазона) проверены, когда самоподписанный сертификат был формально доверенным, и существует метод проверки самозаверяющего сертификата. не изменился после того, как ему доверили.
Например, процедура доверия самозаверяющему сертификату включает ручную проверку дат действительности, а хэш сертификата вносится в белый список. Когда сертификат предоставляется объекту для проверки, они сначала проверяют, что хэш сертификата совпадает со ссылочным хешем в белом списке, и если они совпадают (указывается, что самоподписанный сертификат совпадает с тем, которому формально доверяли ), то срокам действия сертификата можно доверять. Особую обработку полей сертификата X.509 для самоподписанного сертификата можно найти в RFC 3280.
Есть как минимум две причины, по которым PKI на основе самозаверяющего сертификата может снизить общий риск. Первое, что также характерно для частных систем PKI, заключается в том, что они избегают проблем с доверием третьим сторонам, которые могут неправильно подписывать сертификаты.
Транзакции с самоподписанными сертификатами обычно представляют собой гораздо меньшую поверхность атаки, поскольку исключают как сложную проверку цепочки сертификатов, так и проверки отзыва сертификатов, такие как CRL и OCSP .
Отзыв самозаверяющих сертификатов отличается от сертификатов, подписанных ЦС. Самоподписанный сертификат не может (по своей природе) быть отозван центром сертификации. Отзыв самозаверяющего сертификата осуществляется путем его удаления из белого списка доверенных сертификатов (по сути, то же самое, что и отзыв доверия в ЦС).