Certificat SSL ou CA auto-signé?

J’aimerais que les parties authentification et enregistrement de mon site soient cryptées (pour des raisons évidentes). Ce site est actuellement et plus ancien que certains amis et moi avons commencé au collège et que nous utilisons encore aujourd’hui. Je peux ou non l’enregistrer pour être une organisation à but non lucratif dans un avenir proche, mais de toute façon, un CA coûte de l’argent et l’organisation n’en a pas et nous sums actuellement des collégiens.

Verisign est déraisonnable et GoDaddy coûte 30 $ / an. GoDaddy n’est pas trop déraisonnable, et je pense que leurs certs sont acceptés par la plupart des navigateurs Web. La chose avec GoDaddy est que je ne sais pas pourquoi ils ont différents produits SSL (par exemple: pourquoi est-il pas cher de ne pas me vérifier? Cela at-il des implications sur le cert et comment le navigateur le traite s’il contient juste un nom de domaine ?)

En outre, y a-t-il un problème avec l’utilisation de mon propre certificate? La page de connexion pourrait-elle être http et comporter une ligne indiquant que j’utilise un certificate auto-signé et que voici l’empreinte digitale puis publier le formulaire sur une page https? La méthode de Safari n’est pas trop mauvaise ou sonne trop effrayant. J’ai peur, cependant, que la méthode de firefox 3 effraie les gens et me donne une tonne de courriels disant que mon site est piraté ou quelque chose du genre. Je ne sais pas comment IE répond aux certificates auto-signés. (Il y a aussi la question de savoir pourquoi payer pour quelque chose que je peux créer moi-même sans effort, mais je ne vais pas en poser la partie philosophique, c’est une question plus pratique.)

En résumé, est-ce que je donne 30 $ par an à GoDaddy ou est-ce que je dis simplement aux gens dans un petit paragraphe ce que je fais et je donne aux quelques personnes qui voudront réellement mon empreinte digitale?

Edit: Certains sur un forum que je lisais pour plus d’informations mentionnaient que les certificates GoDaddy ne sont donnés que s’ils sont sur un serveur GoDaddy, ce qui n’est pas le cas. Deux choses: (1) est-ce vrai? et il y a d’autres CA à peu près au même prix, donc l’argument devrait toujours être le même.

Le certificate SSL résout deux problèmes: le cryptage du trafic (au moins pour l’échange de clés RSA) et la vérification de la confiance. Comme vous le savez, vous pouvez chiffrer le trafic avec (ou sans, si l’on parle de SSL 3.0 ou TLS) de tout certificate auto-signé. Mais la confiance se fait par une chaîne de certificates. Je ne vous connais pas, mais je fais confiance à verisign (ou du moins Microsoft le fait, car ils ont été payés beaucoup pour l’installer par défaut dans leurs systèmes d’exploitation), et comme Verisign vous fait confiance, alors je vous fais confiance aussi. En conséquence, il n’y a aucun avertissement effrayant quand je vais sur une telle page SSL dans mon navigateur Web parce que quelqu’un en qui j’ai confiance a dit que vous étiez qui vous êtes.

En règle générale, plus le certificate est cher, plus l’autorité de certificateion émetsortingce effectue son enquête. Donc, pour les certificates Extended Validation, les demandeurs doivent soumettre plus de documents pour prouver qu’ils sont ce qu’ils sont, et en retour, ils obtiennent une barre verte shinye dans les navigateurs Web modernes (je pense que Safari ne fait rien avec tout de suite).

Enfin, certaines entresockets vont avec les grands comme Verisign uniquement pour le nom de marque; ils savent que leurs clients ont au moins entendu parler de Verisign et que, pour ceux qui font leurs courses sur leur boutique en ligne, leur sceau est un peu moins crapuleux que, disons, GoDaddy’s.

Si l’image de marque n’est pas importante pour vous ou si votre site n’est pas sujet aux attaques de phishing, le certificate SSL le moins cher que vous pouvez acheter et dont la racine est installée par défaut sur la plupart des navigateurs Web sera correct. Habituellement, la seule vérification effectuée est que vous devez être en mesure de répondre à un courrier électronique envoyé au contact administratif du DNS, prouvant ainsi que vous possédez ce nom de domaine.

Vous pouvez utiliser ces certificates bon marché sur des serveurs autres que GoDaddy, mais vous devrez probablement installer un certificate intermédiaire sur le serveur en premier. Ceci est un certificate qui se situe entre votre certificate bon marché à $ 30 et le certificate racine “real deal” de GoDaddy. Les navigateurs Web visitant votre site seront comme “hmm, on dirait que ceci a été signé avec un intermédiaire, vous l’avez compris?” ce qui nécessite peut-être un voyage supplémentaire. Mais alors, il demandera l’intermédiaire à votre serveur, veillera à ce qu’il soit lié à un certificate racine de confiance dont il a connaissance et qu’il n’y ait pas de problème.

Mais si vous n’êtes pas autorisé à installer l’intermédiaire sur votre serveur (comme dans un scénario d’hébergement partagé), alors vous n’avez pas de chance. C’est pourquoi la plupart des gens disent que les certificates GoDaddy ne peuvent pas être utilisés sur des serveurs autres que GoDaddy. Pas vrai, mais assez vrai pour de nombreux scénarios.

(Au travail, nous utilisons un certificate Comodo pour notre boutique en ligne et un certificate GoDaddy pas cher pour sécuriser la connexion interne à la firebase database.)

Édité en italique pour refléter les précisions éclairantes d’Erickson ci-dessous. Apprendre quelque chose de nouveau chaque jour!

On croit souvent à tort que les certificates auto-signés sont insortingnsèquement moins sécurisés que ceux vendus par les autorités de certificateion commerciales telles que GoDaddy et Verisign, et que vous devez respecter les avertissements / exceptions du navigateur si vous les utilisez; c’est incorrect

Si vous dissortingbuez en toute sécurité un certificate auto-signé (ou un certificate CA, comme suggéré par Bobince) et que vous l’installez dans les navigateurs qui utiliseront votre site , il est tout aussi sécurisé que celui acheté et n’est pas vulnérable à l’homme intermédiaire. attaques et falsification de cert. Évidemment, cela signifie que ce n’est possible que si quelques personnes seulement ont besoin d’un access sécurisé à votre site (par exemple, des applications internes, des blogs personnels, etc.).

Dans le but de sensibiliser et d’encourager les autres petits blogueurs comme moi à se protéger, j’ai rédigé un didacticiel de base qui explique les concepts sous-jacents aux certificates et comment créer et utiliser votre propre certificate auto-signé (complet). avec des exemples de code et des captures d’écran) ici .

Obtenez un certificate de Let’s Encrypt, une autorité de certificateion gratuite cette nouvelle décennie, qui est largement prise en charge par les navigateurs.

Je ne les ai pas encore essayés, mais StartCom a été mentionné dans une réponse à une question similaire . Apparemment, vous pouvez obtenir un certificate d’un an gratuitement et il est accepté par Firefox 3.

Même si vous devez payer, je vous suggérerais d’utiliser une autorité de certificateion plutôt que des certificates auto-signés. Certaines personnes ne verront pas votre explication, et un faux site pourrait afficher les empreintes digitales de leur faux certificate comme vous le proposez. Je doute que l’utilisateur moyen sache ce qu’est une empreinte de certificate ou comment le vérifier.

Au lieu de créer un certificate auto-signé, créez une autorité de certificateion auto-signée et signez votre certificate HTTPS avec cela. Il est plus facile de demander aux utilisateurs d’installer une autorité de certificateion qu’un seul certificate de serveur et de créer de nouveaux certificates (par exemple, pour les sous-domaines ou de mettre à jour les certificates expirés) sans devoir réinstaller un certificate de serveur.

Vous pouvez ensuite décider plus tard s’il vaut la peine de dépenser 30 $ pour passer d’un certificate signé par votre propre autorité de certificateion au même certificate signé par GoDaddy ou qui que ce soit.

De toute façon, ne pas avoir une page HTTP avec un formulaire envoyé à HTTPS. L’utilisateur ne peut pas voir que c’est là que ça se passe. ils devaient regarder la source pour vérifier que le formulaire n’avait pas été détourné pour indiquer ailleurs et que personne ne le ferait. Vous devez avoir une page d’accueil HTTP avec le lien CA et un lien distinct vers le formulaire de connexion HTTPS.

Demander aux utilisateurs d’installer une autorité de certificateion avec un certificate téléchargé via HTTP est un peu méchant: s’il y avait un homme au centre, ils pourraient remplacer votre autorité de certificateion à la volée et détourner les connexions HTTPS qui en découlent. Les chances que cela se produise sont plutôt faibles, car il s’agirait d’une attaque ciblée plutôt que d’un simple reniflage automatisé, mais en réalité, vous devriez héberger le lien de téléchargement de l’autorité de certificateion sur un autre service protégé par HTTPS.

L’acceptation du client est une question à laquelle vous pouvez répondre, sachant qui sont vos utilisateurs. Certes, l’interface de Firefox est excessivement effrayante. Si les CA comme GoDaddy ne coûtent que 30 dollars ces jours-ci, j’irais probablement dans ce sens. c’était beaucoup, bien pire.

En supposant que le support sur les navigateurs anciens et de niche n’est pas un problème majeur, optez pour le CA le moins cher disponible. Vous êtes censé payer pour que le CA vérifie correctement qui vous êtes, mais dans la pratique, ce n’est pas ainsi que cela fonctionne et cela n’a jamais été le cas. Les prix exorbitants de Verisign survivent uniquement grâce à l’inertie des entresockets.

Les CA sont là pour recevoir de l’argent pour ne rien faire mais posséder quelques centaines de bits de clé privée. Les éléments de vérification d’identité censés faire partie du mandat de l’AC ont été transférés aux certificates EV. Qui sont encore plus d’une arnaque. Joie.

Les certificates auto-signés ne sont pas sécurisés . Oui vraiment. “Au moins, il est crypté” n’aide pas du tout. De l’article:

Chiffrement de classe mondiale * sans authentification = zéro sécurité

Si votre site Web est pour vous et quelques-uns de vos amis, vous pouvez créer votre propre autorité de certificateion et dissortingbuer votre certificate à vos amis.

Sinon, vous pouvez obtenir un certificate auprès de l’autorité de certificateion connue ( gratuitement ) ou ne vous préoccupez pas du tout des certificates auto-signés, car tout ce que vous obtenez est une fausse impression de sécurité.


Pourquoi le trafic crypté n’est-il pas sécurisé? Vous permettez toujours à l’autre extrémité de décrypter votre trafic (vous devez le faire, sinon vous enverriez du charabia).

Si vous ne vérifiez pas qui est à l’autre bout, vous permettez à quiconque de décrypter votre trafic. Cela ne fait pas de différence si vous envoyez des données à un attaquant de manière sécurisée ou non sécurisée – l’attaquant obtient quand même les données.

Je ne parle pas de vérifier si, par exemple, paypal.com appartient à une institution financière de confiance (c’est un problème plus important). Je parle de vérifier si vous envoyez des données à paypal.com, ou juste à une camionnette au coin de la rue qui envoie un certificate disant “ouais, je suis totalement paypal.com et vous avez ma parole que c’est vrai ! “

Je suis finalement tombé en panne et j’ai allumé mon serveur d’auto-signé vers un certificate GoDaddy hier soir et ce n’était pas une grosse affaire, à part le fait que le processus n’était pas aussi clair que cela pouvait l’être. 30 $ / an est un coût raisonnable et l’utilisation du cert sur un serveur autre que GoDaddy n’est pas un problème.

Si vous voulez parler du SSL au public, procurez-vous un vrai certificate signé par une véritable autorité de certificateion. Même si vous travaillez pour le salaire minimum, vous économiserez plus de 30 $ / an de temps perdu pour faire face aux peurs ou à la méfiance des utilisateurs, et ce avant même que vous ne perdiez des revenus.

Pour répondre à votre question sur Internet Explorer, il avertira les utilisateurs de tout site dont le certificate n’est pas signé par une autorité de certificateion connue sous le nom d’IE (malheureusement appelée «approuvée»). Cela inclut pour votre propre autorité de certificateion et pour les certificates auto-signés. Il fera également un avertissement si le domaine dans le certificate n’est pas celui auquel on accède.

S’il s’agit d’un site privé, vous ne vous souciez peut-être pas tant que vous obtenez un cryptage au niveau de la liaison (et avez-vous peur que quelqu’un détecte votre trafic?). S’il y a un access public et que vous souhaitez un protocole SSL, obtenez un certificate signé par une autorité de certificateion reconnue, comme d’autres l’ont déjà conseillé.

Si cette camionnette est capable de détourner votre connexion Internet déjà, vous avez des problèmes plus graves que les certificates auto-signés.

Les banques doivent utiliser des certificates clients pour l’authentification. Cela rendrait impossible pour cette camionnette de faire quoi que ce soit … puisqu’elle n’a pas la clé privée de la banque.

Les certificates auto-signés sont parfaitement adaptés … en supposant que votre connexion Internet n’a pas été compromise. Si votre connexion a été compromise … de toute façon, vous êtes probablement pris au dépourvu.

GoDaddy offre des certificates SSL pour 15 $ par an via ce lien d’achat maintenant sur ce site. N’appliquez pas de codes promo car le prix revient à 30 dollars par an et à des réductions.

http://www.sslshopper.com/ssl-certificatee-comparison.html?ids=17,25,34,37,62