Os certificados de óleo de cobra padrão do SSL são verdadeiramente óleo de cobra, em vez de serem certificados genuínos de boa qualidade? [fechadas]

12

O SSL gera certificados auto-assinados "óleo de cobra" por padrão, por exemplo, em /etc/ssl/certs/ssl-cert-snakeoil.pem . Conforme Wikipedia , o óleo de cobra é um método ou produto criptográfico que é considerado fraudulento ou falso. Existe alguma coisa falsa sobre esses certificados? Claro, eles não são assinados por nenhuma autoridade de certificação conhecida, mas os próprios certificados ainda podem ser certificados genuínos tão bons quanto qualquer outro. Por exemplo, posso estar distribuindo pessoalmente a chave pública do meu servidor para todos os meus clientes. Assumindo isso, existe algo digno de cobra dos certificados gerados, ou o nome é enganoso?

    
por Prateek 11.01.2014 / 13:35

3 respostas

10

O Remeber SSL atende a duas funções muito importantes

  1. Comunicação segura
  2. Confiança

Qualquer certificado SSL gerado automaticamente gera 1. que permite o tráfego criptografado ou um certificado SSL válido.

No entanto, um certificado SSL gerado automaticamente só pode dar confiança a pessoas que confiam em você. A razão para certificados SSL sendo gerados por terceiros confiáveis é fornecer o número 2. Seu navegador confia neles e eles confiam em você. Se você gerar você mesmo, você poderia afirmar ser www.microsoft.com e se alguém confiasse em você, seria.

Além disso, como apontado nos comentários, é por isso que você não deve confiar em algum certificado autônomo para o servidor deles, assim, aparentemente, o seu navegador confiará em qualquer futuro certificado assinado pelo mesmo servidor.

É por isso que os autogeradores são certs de óleo de cobra.

Atualização: o serviço LetsEncrypt , associado a um servidor da Web moderno, como o Caddy tirar quase toda a dificuldade de obter e usar TLS certs, então não há mais necessidade de certs de óleo de cobra!

    
por 11.01.2014 / 15:02
4

Certificados autoassinados criptografam sua comunicação da mesma forma que os padrões. Então a criptografia não é o problema.

Os certificados também podem ser usados para verificar a identidade. Como isso deve funcionar é que quando você se conecta com segurança a um servidor, esse servidor apresenta seu certificado para você ou seu navegador, e então você ou seu navegador decidem se você pode confiar na afirmação de identidade do servidor.

Os certificados podem ser assinados por outros certificados de "nível superior", normalmente chamados de autoridades de certificação. Portanto, se o certificado do servidor for assinado por uma autoridade de certificação na qual você ou seu navegador confie, a identidade será considerada válida.

A maioria dos principais navegadores vem com vários certificados raiz nos quais eles confiam automaticamente, da Verisign e de outras CAs conhecidas.

Com um certificado autoassinado, como não é assinado por uma autoridade de certificação de terceiros, mas pela mesma entidade que criou o certificado, você não pode depender de ninguém para verificar a identidade, exceto a pessoa que gerou o certificado. É equivalente a alguém imprimir seu próprio cartão de identificação e entregá-lo a você para confirmar sua identidade. Isso não é necessariamente um problema, apesar dos avisos do navegador, se você souber / confiar em quem gerou o certificado ou o fez sozinho.

    
por 11.01.2014 / 16:50
2

A Wikipédia também diz: "O óleo de cobra é uma expressão que originalmente se referia a produtos de saúde fraudulentos ou a medicamentos não comprovados, mas passou a se referir a qualquer produto com qualidade ou benefício questionável ou não verificável".

É a qualidade não verificável que é importante neste contexto. Se você navegar em um site SSL que não tenha uma cadeia de certificados para uma Autoridade de Certificação confiável, não poderá confiar no SSL para verificar se o site é de propriedade e operado pela pessoa ou organização que possui o domínio (conforme exibido em seu barra de URL do navegador).

Os navegadores da Web modernos exibem um aviso de segurança ao navegar em sites com certificados auto-assinados ("óleo de cobra") porque não têm essa cadeia de certificados confiáveis. Isso pode ser irritante em uma Intranet privada, por exemplo, mas de alguma forma protege as pessoas de inserir seus dados privados e informações de pagamento em sites de phishing.

    
por 20.03.2015 / 14:06