Jaka jest różnica między generowanym przeze mnie certyfikatem SSL a tym, który kupuję?

Mam własny serwer na dedykowanym urządzeniu ip. Czy mogę po prostu wygenerować certyfikat SSL, czy nadal muszę go kupować od firmy takiej jak Network Solutions?

Jaka jest główna różnica między nimi?

Jedyną różnicą jest to, który urząd certyfikacji podpisał twój certyfikat - i w związku z tym odpowiedź na „jest to, że CA domyślnie ufa przeglądarkom”.

Przeglądarki mają zestaw certyfikatów CA, którym ufają w podpisywaniu certyfikatów. Jeśli Twojego urzędu certyfikacji nie ma w tym zestawie, użytkownik otrzyma ostrzeżenie o dużym tłuszczu.

Nic innego w SSL, w tym szyfrowanie, nie zostało zmienione - ale to ostrzeżenie jest na tyle groźne, że nie można uruchomić usługi komercyjnej bez certyfikatu podpisanego przez jeden z zaufanych zestawów urzędów certyfikacji.

Różnica polega na tym, że ten, który kupujesz, pochodzi z zaufanego źródła.

Jeśli sam go utworzysz, każdy odwiedzający musi zarejestrować certyfikat jako zaufany w przeglądarce.

Aby wyjaśnić inne odpowiedzi, pomaga wiedzieć, do czego służą certyfikaty celu i jak działają.

Podczas wykonywania pewnych działań (najczęściej przeglądania bezpiecznych stron internetowych, czyli HTTP S lub weryfikowania zasadności plików), komputer musi sprawdzić, czy jest wiarygodna. Dokonuje tego poprzez sprawdzenie certyfikatu bezpieczeństwa witryny (lub podpisu cyfrowego pliku). Robi matematykę kryptograficzną, ale aby mieć pewność, że nie została sfałszowana ani nie została zmieniona, ostatecznie musi sprawdzić z kimś innym .

Odbywa się to poprzez sprawdzenie znanego, godnego zaufania serwera (dlatego nie można wykonywać takich kontroli w trybie offline, nawet jeśli jest on buforowany). System łączy się z zewnętrznym serwerem Urząd certyfikacji (CA) i sprawdza, czy certyfikat jest ważny (musi wiedzieć, czy w ogóle jest prawdziwy i czy wygasł). Gdy certyfikat zostanie naruszony, muszą go unieważnić, więc musisz mieć możliwość sprawdzenia, czy certyfikat wygasł.

Teraz, gdy używasz samopodpisanego certyfikatu, jesteś jedynym, który wie, czy jest on ważny. Oznacza to, że gdy inni użytkownicy przeglądają bezpieczną witrynę lub pobierają pliki, nie mogą używać standardowych urzędów certyfikacji do sprawdzania certyfikatu. Muszą skontaktować się z Twoim serwerem (co nie udaje się osiągnąć celu - co powstrzymałoby hakerów przed podpisywaniem wirusów i uruchamianiem własnych serwerów certyfikatów?). Aby tego uniknąć, musisz mieć wszystkich, którzy będą używać Twojego certyfikatu, aby zainstalowali go w magazynie certyfikatów swojego systemu, a także w magazynie Trusted Root CA !

Ma to dwa problemy. Po pierwsze, wymaga ręcznej instalacji certyfikatu przez osoby (nikt nie przejmuje się niczym, co wymaga od nich zrobienia czegokolwiek). Po drugie, wymaga od nich wykonania przerażającej i zaawansowanej akcji bezpieczeństwa, która może potencjalnie prowadzić do problemów (nawet jeśli to zrobią, istnieje wystarczająca liczba ostrzeżeń i flag w procesie, które prawdopodobnie po prostu uciekną).

Podsumowując, korzystanie z certyfikatu z podpisem własnym jest w pewnych okolicznościach dopuszczalne, np. W sieci domowej lub innej sieci lokalnej, np. W laboratorium lub biurze. Jednak w przypadku Internetu nie będzie to wystarczające i konieczne będzie uzyskanie podpisu jednego z większych urzędów certyfikacji (najlepiej jednego z tych, których certyfikat jest dołączony do systemu Windows). Na szczęście jest kilka do wyboru i wahają się w cenie od yay-I-stać-to-to do what-am-I-Bill-gates .

Rysunek 1: Importowanie certyfikatu

Rysunek 2: Duże, przerażające ostrzeżenie o importowaniu certyfikatu do Zaufanego głównego urzędu certyfikacji

Certyfikat SSL robi jedną rzecz. Mówi „ten klucz należy do tego serwera”. Jeśli sam wygenerujesz certyfikat, oznacza to, że mówisz, że Twój klucz należy do serwera. Ale każdy, kto ci zaufał, że powie, że nie potrzebuje certyfikatu. Punktem certyfikatu z urzędu certyfikacji jest stwierdzenie przez urząd, że klucz należy do twojego serwera. W ten sposób ludzie ufający temu urzędowi certyfikacji będą wiedzieli, że osiągnęli serwer, do którego zamierzali dotrzeć.

Możesz myśleć o tym jak o prawie jazdy używanym do otwarcia rachunku bankowego. Licencja mówi, że Twoje zdjęcie jest zgodne z Twoim nazwiskiem, a bank ufa wystawcy licencji, że nie wyda licencji, które nie mają prawidłowego obrazu do odwzorowania nazwy. Jeśli stworzyłeś własne prawo jazdy, nikt nie ufałby mu, aby zmapować twoje zdjęcie na twoje imię, chyba że już ci zaufało, co w pewnym sensie doprowadziłoby do porażki.

Nie musisz go kupować. Są urzędy certyfikacji, które wydają je za darmo, potwierdzając własność domeny przez e-mail lub umieszczając określony kod na swoim serwerze internetowym.