Existe diferença entre um certificado autoassinado e outro assinado pela sua própria CA?

Question

Existe diferença entre um certificado autoassinado e outro assinado pela sua própria CA?

#1 resposta do (10 votos)
#2 resposta do (2 votos)
#3 resposta do (0 votos)
#4 resposta do (-1 votos)

10

Precisamos usar SSL em nossa rede interna para alguns aplicativos confidenciais, e eu preciso saber se há uma diferença entre um certificado auto-assinado e outro assinado por uma autoridade de certificação do Windows Server que configuramos? Precisamos configurar uma autoridade de certificação?

security ssl-certificate

por Max Schmeling 08.04.2010 / 21:20

4 respostas

2

Um certificado pode conter informações sobre as utilizações para as quais ele está autorizado, por exemplo, se ele pode ser usado para assinar outros certificados de chave pública ou se é um certificado de autoridade de certificação. Algumas implementações podem verificar esse tipo de informação e recusar-se a honrar um certificado para determinados fins sem as informações corretas

Exemplos dessas informações extras incluem:

A extensão "Uso de chave" (OID 2.5.29.15), que pode especificar se esse certificado pode ou não ser usado para assinatura de certificado de chave.
A extensão "Restrições básicas" (OID 2.5.29.19), que especifica se é ou não um certificado de autoridade de certificação.

Se você estiver criando seu próprio certificado autoassinado e quiser usá-lo como um certificado CA, e quiser aumentar suas chances de aceitá-lo por qualquer software com o qual o use, você deve provavelmente verifique se ele contém valores configurados corretamente para as duas extensões que mencionei acima.

Se você omitir essas duas extensões, muitas implementações ainda poderão honrá-lo como um certificado da CA, mas algumas implementações talvez não.

por 08.04.2010 / 22:15

0

Se você quiser assinar seus próprios certificados, precisará de uma CA (seja ela sua ou oficial). Porém, você não precisa enviar sua CA aos usuários, a menos que planeje assinar vários certificados e queira que os usuários tenham que aceitar apenas um (ou seja, se eles instalarem sua CA, todos os certificados emitidos serão aceitos). Pode ser melhor empurrar o CA a longo prazo.

por 08.04.2010 / 21:25

-1

Não são a mesma coisa? Um certificado emitido pela sua própria CA interna é "autoassinado", o que significa que não foi emitido por uma autoridade de certificação externa, certo?

por 08.04.2010 / 21:24

Tags security ssl-certificate

Como redirecionar HTTP para HTTPS no mesmo httpd? AppCmd para criar um diretório virtual no site padrão no IIS7

score 10 · Accepted Answer

A curto prazo, para um único serviço, não há muita diferença.

Se você decidir configurar mais serviços que usam SSL, poderá descobrir que a configuração de uma CA teria sido uma opção melhor.

Se você configurar uma autoridade de certificação, deverá conseguir que seus clientes confiem na autoridade de certificação e, assim, em qualquer certs assinado. Uma vez que a CA está adicionando serviços adicionais é fácil. Com muitos certificados auto-assinados, o usuário terá que aceitar cada certificado separadamente.

Você está dizendo que tem uma CA do Windows? Se você já tem um, eu usaria. Se você ainda não tem um, eu ficaria tentado a usar um sistema leve como o TinyCA, que você poderia rodar em uma VM ou em um disco USB em um disco USB.