Czy darmowe certyfikaty SSL są bezpieczne?

11

W jaki sposób niektóre certyfikaty SSL są bezpłatne? Co to znaczy? Czy są bezpieczne czy nie?

https security-certificate

— aneuryzm
źródło

5

Jedynym powodem, dla którego firmy pobierają opłaty za certyfikaty SSL, jest to, że wkładają czas i wysiłek w tworzenie certyfikatu i oczekują zapłaty za swoją pracę (oczywiście z zyskiem). Ale nie muszą pobierać opłat, jeśli nie chcą tak jak każdy darmowy dostawca usług. W przypadku certyfikatów SSL ważne jest to, czy główni twórcy przeglądarek uznają wystawców certyfikatów za godnych zaufania, czy nie. Jeśli to zrobią, przeglądarka wyświetli witrynę jako bezpieczną, tak jak zrobiłby to każdy inny uznany dostawca. Jeśli tego nie zrobi, wówczas każdy użytkownik próbujący uzyskać dostęp do strony internetowej zabezpieczonej przez nierozpoznany certyfikat zobaczy ostrzeżenie informujące, że certyfikat nie został rozpoznany, i ostrzeże ich, aby nie kontynuowali.

Tak więc prawdziwe pytanie brzmi: „które bezpłatne usługi są uznawane przez głównych twórców przeglądarek za autorytatywne”?

— John Conde
źródło

Innymi słowy, są to bezpieczne certyfikaty, które nie są „weryfikowane” przez wystawcę certyfikatu, ponieważ jest to certyfikat utworzony przez siebie. Zastanawiam się, dlaczego sam serwer nie może zweryfikować certyfikatu. Ale z drugiej strony, myślę, że nie zrobiliby $$$ na swój sposób, prawda?

— Talvi Watia,

Twoja przeglądarka określa ważność certyfikatu przedstawionego przez serwer. Samopodpisany certyfikat utworzy bezpieczne połączenie, ale nie sprawdzi poprawności, że serwer jest własnością osoby, za którą się podaje, czyli po to są urzędy certyfikacji i pobierają opłaty za proces weryfikacji i certyfikacji certyfikatów serwer się prezentuje.

— danivovich,

2

@Talvi: Dobry żart! ... czekaj, to był żart, prawda? Certyfikat służy między innymi do weryfikacji tożsamości serwera. Pytanie o certyfikat jest jak pytanie o czyjś identyfikator: „Jak masz na imię? Joe Blow. Czy możesz mi pokazać jakiś dowód? Potem facet bierze kawałek papieru, pisze „Joe Blow” i daje go tobie. Oto mój identyfikator. Więc patrzysz na to i mówisz „Ach, w porządku. Jeśli jest na kawałku papieru, to musi być prawda… Serwer produkujący własny certyfikat jest prawie taki sam.” Czy jesteś odpowiednim serwerem do mój bank? ”„ Tak. To nie są droidy, których szukasz ”

— Sylver

2

@Sylver Jak myślisz, jaka jest alternatywa? To tylko kwestia tego, gdzie pokładasz zaufanie: „Jak masz na imię? Joe Blow. Czy możesz mi pokazać dowód tożsamości? Jasne”. Facet przedstawia swojego przyjaciela Very Sign, który bierze kawałek papieru, pisze „Joe Blow” i daje go tobie. Oto mój identyfikator. Więc patrzysz na to i mówisz „Ach, w porządku. Jeśli jest na kawałku papieru, to musi być prawda… Właściwości identyfikacyjne certyfikatu są naprawdę tylko dodatkową korzyścią techniki szyfrowania. Idź i sprawdź kto podpisuje certyfikat dla verisign.com

— robertc

1

@robert: Dokładnie, z tym wyjątkiem, że Veri Sign nie jest przyjacielem Joe Blow. Verisign jest spółką regulowaną, której głównym zadaniem jest potwierdzanie tożsamości osób. Paszport lub dowód osobisty to tylko fantazyjny nadruk na fantazyjnym papierze, ale akceptujemy go, ponieważ uważamy, że został wydany przez wiarygodną agencję, która sprawdziła tożsamość wnioskodawcy, ponieważ istnieją poważne kary za podróbki i ponieważ nie są łatwe do sfałszowania. Aby uzyskać certyfikat od Verisign, najpierw sprawdzą, czy masz legitymację. ...

— Sylver

4

Zajrzyj na Wikipedię, aby zobaczyć dobre porównanie usług SSL. Wygląda na to, że startcom ma darmową usługę certyfikatu SSL, która jest rozpoznawana przez IE, FF i Safari.

Podejrzewam, że istnieją inne podobne usługi. Głównym problemem jest znalezienie dostawców obsługiwanych przez nowoczesne przeglądarki. Ostrzeganie użytkownika przez przeglądarkę, że certyfikat nie jest wiarygodny, jest gorsze niż brak certyfikatu w ogóle z POV konwersji i sprzedaży.

— Sylver
źródło

Certyfikaty StartCom nie są już zaufane przez główne przeglądarki: Certyfikat StartSSL daje SEC_ERROR_REVOKED_CERTIFICATE w Firefox i ERR_CERT_AUTHORITY_INVALID w Chrome

— Stephen Ostermiller

Witryna Wikipedii została usunięta. Czy możesz tam dodać nowy?

— Léo Léopold Hertz 준영

0

Infrastruktura klucza publicznego zależy od Zaufanej strony trzeciej , która zweryfikuje, a następnie może potwierdzić Twoją tożsamość.

Kiedy płacisz za certyfikat głównemu urzędowi certyfikacji, jak Verisign, płacisz za ich reputację jako renomowanej i zaufanej strony trzeciej, która może potwierdzić ważność Twojej tożsamości i certyfikatu. Z praktycznego punktu widzenia oznacza to, że główne przeglądarki są wstępnie skonfigurowane do zaufania certyfikatów podpisanych przez te organy.

Mogę stworzyć dla ciebie certyfikat za darmo, ale będzie on względnie bezwartościowy, ponieważ nikt nie wie, kim jestem, więc moje poparcie nie daje im żadnej pewności.

— lukecyca
źródło

0

Nawet duże urzędy certyfikacji, takie jak verisign, globalsign, COMODO, udostępniają bezpłatną wersję certyfikatu SSL na okres próbny, ponieważ dają nam szansę na zaufanie i wycenę swojego produktu.

— znak
źródło