Question Quelle est la différence entre un certificat SSL que je génère et celui que j'achète?


J'ai mon propre serveur sur une adresse IP dédiée. Puis-je simplement générer un certificat SSL ou dois-je toujours en acheter un auprès d'une entreprise telle que Network Solutions?

Quelle est la différence majeure entre les deux?


2
2018-02-14 01:04


origine




Réponses:


La seule différence est de savoir quelle autorité de certification a signé votre certificat - et, par conséquent, la réponse à "est celle de l'autorité de certification approuvée par les navigateurs par défaut".

Les navigateurs ont un ensemble de certificats CA auxquels ils peuvent signer des certificats. Si votre autorité de certification ne figure pas dans cet ensemble, l'utilisateur reçoit un gros message d'avertissement.

Rien d'autre dans SSL, y compris le chiffrement, n'est modifié - mais cet avertissement est suffisamment menaçant pour que vous ne puissiez pas exécuter un service commercial sans certificat signé par l'un des ensembles d'autorités de certification approuvés.


6
2018-02-14 01:12



On peut toutefois soutenir, avec les événements récents, qu'il ne faut pas non plus faire confiance aux autorités de certification de confiance. ;) - Patrick Seymour
J'ai pensé à dire "... ce qui donne aux CA la capacité de facturer de l'argent fou pour ce qui représente relativement peu d'effort de leur part", mais cela semblait trop axé sur l'opinion personnelle. :) - Daniel Pittman
La théorie est que le CA a effectué une forme de recherche pour prouver que vous ou votre entreprise êtes ce que vous dites être et que vous êtes une entreprise "digne de confiance". - Keltari


La différence est que celui que vous achetez provient d'une source fiable.

Si vous en créez un vous-même, chaque visiteur doit enregistrer le certificat comme approuvé dans le navigateur.


1
2018-02-14 01:12





Pour expliquer les autres réponses, il est utile de savoir à quoi servent les certificats et comment ils fonctionnent.

Lorsque vous effectuez certaines actions (parcourant le plus souvent des pages Web sécurisées, par exemple HTTPS, ou vérifier la légitimité des fichiers), l'ordinateur doit vérifier s'il est fiable. Cela se fait en examinant le certificat de sécurité du site Web (ou la signature numérique du fichier). Il fait des calculs cryptographiques, mais pour être sûr qu'il n'a pas été falsifié ou falsifié, il doit finalement vérifier avec quelqu'un d'autre.

Cela se fait en vérifiant un serveur fiable connu (c'est pourquoi vous ne pouvez pas effectuer de telles vérifications en mode hors connexion, même s'il est mis en cache). Le système se connecte à une autorité de certification de serveur externe et vérifie si le certificat est valide (il doit savoir s'il est réel et s'il a expiré). Lorsqu'un certificat est compromis, il doit l'invalider. Vous devez donc pouvoir vérifier si un certificat a expiré.

Maintenant, lorsque vous utilisez un certificat auto-signé, vous êtes le seul à savoir s'il est valide. Cela signifie que lorsque d'autres utilisateurs parcourent votre site sécurisé ou téléchargent vos fichiers, ils ne peuvent pas utiliser les autorités de certification standard pour vérifier votre certificat. Ils doivent contacter votre serveur (ce qui va à l'encontre du but recherché: qu'est-ce qui empêcherait les pirates de signer des virus et d'exécuter leurs propres serveurs de certification?). Pour éviter cela, vous devez avoir tout le monde qui doit utiliser votre certificat pour l'installer dans le magasin de certificats de leur système, et dans le CA racine de confiance stocker à cela!

Cela a deux problèmes. Premièrement, il faut que les personnes effectuent manuellement l’installation du certificat dans (personne ne dérange avec quelque chose qui les oblige à faire quoi que ce soit). Deuxièmement, cela les oblige à effectuer des actions de sécurité effrayantes et avancées qui peuvent potentiellement entraîner des problèmes (même si elles le font, il y a suffisamment d'avertissements et d'indicateurs dans le processus qu'ils vont probablement s'enfuir).

En résumé, l'utilisation d'un certificat auto-signé est acceptable dans certaines circonstances, telles qu'un réseau domestique ou un autre réseau local, comme dans un laboratoire ou un bureau. Cependant, pour Internet en général, cela ne suffira pas et vous devrez en obtenir un signé par l'une des plus grandes autorités de certification (de préférence l'une de celles dont le certificat est fourni avec Windows). Heureusement, il y en a plusieurs à choisir et leur prix varie de yay-je-peux-me permettre-que à quoi-je-je-bill-gates.


Figure 1: Importer un certificat

enter image description here

Figure 2: Big avertissement effrayant à propos de l'importation d'un certificat à la CA racine de confiance

enter image description here


1
2018-02-14 01:37





Un certificat SSL fait une chose. Il dit "cette clé appartient à ce serveur". Si vous générez vous-même un certificat, cela signifie que vous dites que votre clé appartient à votre serveur. Mais quiconque a confiance en vous pour dire cela n'aurait pas besoin du certificat. Le point d'un certificat d'une autorité de certification est que l'autorité de certification indique que la clé appartient à votre serveur. De cette façon, les personnes qui font confiance à CA sauront qu'elles ont atteint le serveur qu'elles souhaitaient atteindre.

Vous pouvez penser à quelque chose comme un permis de conduire utilisé pour ouvrir un compte bancaire. La licence indique que votre photo est associée à votre nom et que la banque fait confiance à l’émetteur de la licence pour ne pas émettre de licences qui ne possèdent pas la bonne image à nommer. Si vous avez fait votre propre permis de conduire, personne ne peut lui faire confiance pour mapper votre photo à votre nom, à moins qu'ils ne vous aient déjà fait confiance, ce qui irait à l'encontre de l'intérêt de l'avoir.

Vous n'avez pas besoin d'en acheter un. Il y a des CA qui les délivreront gratuitement, confirmant votre propriété d'un domaine par courrier électronique ou en vous faisant mettre un code particulier sur son serveur Web.


0
2018-02-14 07:01