Wiele osób uważa, że ten system jest zepsuty.
Oto logika, dlaczego przeglądarka wyświetla tak alarmujące ostrzeżenie, gdy certyfikat SSL jest nieważny:
Jednym z pierwotnych celów projektowych infrastruktury SSL było zapewnienie uwierzytelnienia serwerów internetowych. Zasadniczo, jeśli wejdziesz na stronę www.bank.com, SSL pozwala serwerowi, który odpowiada, udowodnić, że w rzeczywistości należy do twojego banku. To powstrzymuje oszusta przed manipulowaniem DNS lub użyciem innej metody, aby złośliwy serwer odpowiedział.
„Zaufanie” w protokole SSL jest zapewniane przez podpisanie certyfikatu przez zaufaną stronę trzecią (firmy takie jak VeriSign i Thawte Consulting), wskazując, że potwierdzono, że jest własnością tego, kto twierdzi, że jest (teoretycznie, odwiedzając administratora IT w osoba lub inna metoda, która tworzy bezpośrednie zaufanie, chociaż dowody wskazują, że w rzeczywistości są raczej rozluźnieni - wszystko, czego potrzeba, aby uzyskać podpisany certyfikat SSL, to często liczba 800 i trochę umiejętności aktorskie).
Tak więc, jeśli łączysz się z serwerem WWW, który zapewnia certyfikat SSL, ale nie jest podpisany przez zaufaną stronę trzecią, teoretycznie może to oznaczać, że komunikujesz się z oszustem, który udaje serwer należący do innej organizacji .
W praktyce samopodpisany certyfikat ogólnie oznacza po prostu, że organizacja zarządzająca serwerem nie zdecydowała się zapłacić za podpisany certyfikat (mogą być dość drogie, w zależności od potrzebnych funkcji) lub brakowało specjalistycznej wiedzy technicznej, aby je skonfigurować ( niektóre rozwiązania dla małych firm oferują mechanizm jednego kliknięcia dla certyfikatu z podpisem własnym, ale uzyskanie zaufanego certyfikatu wymaga więcej technicznych kroków).
Osobiście uważam, że ten system jest zepsuty, a komunikacja z serwerem nieobsługującym szyfrowania jest znacznie bardziej niebezpieczna niż komunikacja z serwerem oferującym SSL z certyfikatem z podpisem własnym. istnieją trzy powody, dla których przeglądarki tak się nie zachowują:
- Nieszyfrowana komunikacja to norma w Internecie, więc jeśli przeglądarki zmuszają użytkownika do kliknięcia ostrzeżenia w celu wyświetlenia stron internetowych nieobsługujących szyfrowania, szybko się zirytujesz i wyłączysz ostrzeżenie.
- Z powodu strasznych ostrzeżeń dla klientów, nienormalne jest wyświetlanie samopodpisanego certyfikatu na stronie produkcyjnej. Ustanawia to system samonapędzający się: certyfikaty z podpisem własnym są podejrzane, ponieważ są rzadkie, są rzadkie, ponieważ są podejrzane.
- Jest cyniczny brzmiące mnie, ale są firmy, które są gotowe do podjęcia dużo pieniędzy off podpisywania certyfikatów SSL ( kaszel Verisign kaszel ), więc używać whitepapers (o IT termin znaczenie „długi i nudny reklamy”) oraz inne publikacje w celu realizacji idei, że niepodpisane certyfikaty są niebezpieczne.