Como configurar o HTTPS sem pagar nada em qualquer lugar? (Mas sem avisos do Firefox)

4

A configuração HTTPS usual requer um certificado assinado por alguma autoridade rica e exige taxas [mensais] e manutenção periódica (para evitar a expiração). Desta forma, o Firefox exibe um selo verde que certifica que tudo está OK e os usuários sabem que ele se conecta ao servidor pelo menos gerenciado por alguém rico o suficiente para ter um certificado.

A configuração HTTPS simples é baseada em um certificado autoassinado (ou em uma "oferta de publicidade" temporária de alguma autoridade de certificação secundária). Ao se conectar a este servidor, o Firefox quase sempre mostra Big Fat Warning, que pode assustar os usuários e diminuir a usabilidade do site. Portanto, a maneira mais simples de resolver isso é apenas ignorar a segurança e reverter para um HTTP simples não criptografado.

Como tornar o tráfego do Firefox criptografado (pelo menos do sniffing passivo), mas não um nível de segurança tão alto que requer terceiros? Algo como no OpenSSH.

    
por Vi. 19.07.2010 / 17:24

4 respostas

8

O StartSSL fornece certificados gratuitos validados pela comunidade, pode ser interessante para você. O selo verde é obtido apenas por Validação Estendida, o que não é gratuito.

O SSL ainda é seguro contra sniffing passivo, mesmo com certificados não confiáveis.

Se for para seu próprio uso, criar sua própria CA está bem. As pessoas com conhecimento não aceitarão incluir sua CA caseira em seu navegador - ela permite que você personifique qualquer site SSL para elas, contanto que você seja o homem no meio.

    
por 19.07.2010 / 17:38
8

Se você estiver interessado na comunidade global da Internet, não recebendo o aviso, então você está praticamente sem sorte. Você precisa ter um certificado SSL de uma autoridade de certificação que o Firefox conheça, caso contrário, as pessoas receberão esse prompt. Você pode obter certificados SSL muito baratos da CA que o Firefox já está configurado para confiar fora da caixa.

Se você tiver uma comunidade menor de pessoas com quem está trabalhando, poderá gerar seus próprios certificados SSL e configurar sua própria autoridade de certificação para validá-los. Ao fazer isso, porém, você terá que ter uma maneira de todos os seus usuários adicionarem sua autoridade de certificação como uma CA confiável no Firefox, para que ela valide seu certificado e dê a eles o selo verde que você está procurando.

    
por 19.07.2010 / 17:35
3

Eu trabalho em um instituto de ensino superior nos Estados Unidos. Se você trabalha para uma instituição qualificadora (IANAL, então não me pergunte), você pode obter um certificado válido de dois anos de uma autoridade de certificação espanhola, ipsCA . Se você seguir esse link, você pode ver que é no que eu sinto que é intencionalmente pequena impressão. Nós o usamos em nossa instituição para algumas caixas de serviços públicos, mas não tenho certeza se foi para os serviços de produção da AFAIK.

Isso não quer dizer que não tenha seu quinhão de problemas. Tivemos que desabilitar a verificação do OCSP para algumas pessoas do nosso grupo, porque o navegador sofreria tempos limites muito longos em relação a esse certificado. Não conseguimos descobrir por que até muito mais tarde e, em seguida, os tempos limite deixaram de ser um problema. O status do bug não deixa claro se isso será resolvido no futuro. Mas ei, livre é grátis.

Editar : Eu não posso postar mais de um link porque eu sou muito inexperiente para lidar com este site, de acordo com a mensagem de erro. Procure pelo bug do Firefox 529286 e OCSP no wiki da Mozilla para ver do que estou falando.

    
por 19.07.2010 / 17:45
1

Se você se inscrever com StartCom , poderá obter um certificado SSL gratuito que é aceito como válido pelo Firefox e IE. Não é validado pela comunidade, mas validado ao provar que você é o proprietário do domínio (ou pelo menos tem acesso às contas de postmaster, webmaster ou hostmaster).

    
por 19.07.2010 / 19:03