É uma boa idéia usar certificados SSL cacert em vez de um auto-assinado em produção?

Navegue suas respostas
10

No trabalho, eu tenho um monte de interfaces web que usam http simples ou certificados auto-assinados (interface de gerenciamento do balanceador de carga, wiki interno, cactos, ...).

Nenhum é acessível a partir de vlans / redes específicas externas.

Para uso doméstico, eu uso certificados SSL cacert .

Eu queria saber se devo sugerir ao meu empregador que use certificados SSL cacert em vez de certificados auto-assinados e http simples. Alguém usa o cacert ssl em produção? Quais são os prós / contras? Melhora a segurança? É mais fácil de gerenciar? Alguma coisa inesperada? Isso pode afetar as verificações qualys? Como posso convencê-los?

É claro que certificados pagos para sites públicos permaneceriam inalterados.

Editar:

(apenas curioso) O certificado SSL grátis das empresas não parece ser de classe 3. Eu tive que mostrar meu passaporte e estar fisicamente presente para obter classe 3 de cacerts. Não há aviso nos navegadores para cada classe 1?

De qualquer forma, eu teria a mesma pergunta sobre qualquer CA gratuita: É melhor do que usar http autografado e simples, e por que ?

Eu faria isso por facilidade de gerenciamento, no lado do servidor. Alguma coisa que eu perdi?

Aviso legal : Eu não sou um membro da associação cacert , nem mesmo da Assurance, apenas uma pessoa regular usuário feliz.

    
por HopelessN00b 03.10.2012 / 19:02

3 respostas

3

Eu aconselharia que, embora não haja nada de errado com o uso de certs gratuitos, como o CACert, você provavelmente não ganhará nada com isso.

Como eles não são confiáveis por nada, você ainda precisará instalar / implantar o certificado raiz em todos os seus clientes, que é a mesma situação com certs ou certificados autoassinados emitidos por um CA interna.

A solução que eu prefiro (e uso) é uma Autoridade de Certificação interna e uma implementação em massa de seu certificado raiz para todas as máquinas de domínio. Ter controle sobre a autoridade de certificação usada torna o gerenciamento de certificados muito mais fácil do que até mesmo através de um site de portal. Com sua própria autoridade de certificação, você geralmente pode criar uma solicitação de certificado e um certificado correspondente para que todos os seus servidores, sites e qualquer coisa que precise de um certificado possam obtê-la automaticamente e sejam confiáveis por seus clientes quase imediatamente após serem colocados em seu ambiente. nenhum esforço ou tarefas manuais pela TI.

É claro que, se você não está preparado para configurar e automatizar sua própria CA, usar uma externa grátis como a que você mencionou pode tornar sua vida um pouco mais fácil, tendo apenas que implantar um certificado raiz externo. .. mas você provavelmente deve tentar fazer certo da primeira vez, e configurar uma autoridade de certificação interna para o seu domínio.

    
por 04.10.2012 / 06:45
6

Eu sugeriria certificados SSL gratuitos da StartSSL, que também são reconhecidos pelos navegadores modernos. Eu não tenho nada contra o CACert, exceto que não é necessário nada além de uma conta para emitir certificados, e esses certificados não são reconhecidos por ninguém, a menos que você instale manualmente o certificado raiz.

Isenção de responsabilidade obrigatória, pois esta é uma recomendação do produto: Eu não sou afiliado ao StartSSL de nenhuma forma. Apenas um cliente feliz.

    
por 03.10.2012 / 19:06
3

Is it better than using self signed and plain http, and why ?

Certificados autoassinados irão treinar seus usuários (e VOCÊ) para clicar nos avisos habitualmente, o que é um mau hábito. E se esse certificado auto-assinado fosse substituído por um certificado falso? Seus usuários notariam, ou eles clicariam em outro diálogo de segurança?

    
por 04.10.2012 / 00:37

Tags

Expor a máquina virtual (vagrant) ao Wifi local Gire um arquivo que está aberto e sendo escrito em todos os momentos