Est-ce une bonne idée d'utiliser des certificats SSL cacert au lieu d'un certificat auto-signé en production?

10

Au travail, j'ai un tas d'interfaces web qui utilisent des http simples ou des certificats auto-signés (interface de gestion de l'équilibreur de charge, wiki interne, cactus, ...).

Aucun n'est accessible depuis des réseaux virtuels / réseaux externes spécifiques.

Pour un usage domestique, j'utilise des certificats SSL cacert .

Je me demandais si je devrais suggérer à mon employeur d'utiliser des certificats SSL cacert au lieu de certificats auto-signés et de http simple. Quelqu'un utilise cacert ssl dans la production? Quels sont les avantages / inconvénients? Améliore-t-il la sécurité? Est-ce plus facile à gérer? Quelque chose d'inattendu? Peut-il affecter les scans qualys? Comment puis-je les convaincre?

Bien sûr, les certificats payés pour les sites Web publics resteraient inchangés.

Éditer :

(juste curieux) Le certificat SSL gratuit des entreprises ne semble pas être de classe 3. J'ai dû montrer mon passeport et être présent physiquement pour obtenir la classe 3 de cacerts. N'y a-t-il pas d'avertissement dans les navigateurs pour chaque classe 1?

Quoi qu'il en soit, j'aurais la même question à propos de n'importe quelle autorité de certification gratuite: est-ce mieux que d'utiliser http auto-signé et simple, et pourquoi ?

Je le ferais pour la facilité de gestion, côté serveur. Quelque chose que j'ai raté?

Avertissement : je ne suis pas membre de l'association cacert , pas même Assureur, juste un utilisateur régulier et heureux.

security  ssl 
HopelessN00b
source
Les certificats de différentes "classes" ne sont pas traités différemment dans les navigateurs, il est totalement du côté de l'utilisateur de leur faire confiance ou non. Les seuls types de certificats qui reçoivent un traitement spécial des navigateurs sont les certificats de validation étendue.
Hubert Kario

Réponses:

3

Je conseillerais que même s'il n'y a rien de mal à utiliser des certificats gratuits, comme ceux de CACert, vous ne gagnerez probablement rien non plus.

Puisqu'ils ne sont pas approuvés par défaut par quoi que ce soit, vous devrez toujours installer / déployer le certificat racine sur tous vos clients, ce qui correspond à la situation dans laquelle vous seriez avec des certificats auto-signés ou des certificats émis par une autorité de certification interne.

La solution que je préfère (et utilise) est une autorité de certification interne et un déploiement de masse de son certificat racine sur toutes les machines du domaine. Le contrôle de l'autorité de certification que vous utilisez rend la gestion des certificats beaucoup plus facile que même via un site portail. Avec votre propre autorité de certification, vous pouvez généralement rédiger un script pour une demande de certificat et le problème de certificat correspondant afin que tous vos serveurs, sites et tout ce qui nécessite un certificat puissent l'obtenir automatiquement et être approuvé par vos clients presque immédiatement après avoir été placé dans votre environnement, avec aucun effort ou tâches manuelles par le service informatique.

Bien sûr, si vous n'êtes pas à la hauteur de la configuration et de l'automatisation de votre propre autorité de certification, l'utilisation d'une licence externe libre comme celle que vous avez mentionnée pourrait vous faciliter la vie, ne devant déployer qu'un seul certificat racine externe ... mais vous devriez probablement essayer de le faire correctement la première fois et configurer une autorité de certification interne pour votre domaine.

HopelessN00b
source
La mise en place d'une autorité de certification interne ne sera probablement pas effectuée, car cela prend du temps à configurer, mais je pense que c'est mieux que les certificats SSL gratuits.
6

Je suggérerais des certificats SSL gratuits de StartSSL, qui sont également reconnus par les navigateurs modernes. Je n'ai rien contre CACert, sauf qu'il ne faut rien d'autre qu'un compte pour émettre des certificats, et ces certificats ne sont reconnus par personne, sauf si vous installez manuellement le certificat racine.

Avis de non-responsabilité obligatoire car il s'agit d'une recommandation de produit: je ne suis en aucun cas affilié à StartSSL. Juste un client satisfait.

Chris S
source
3

Est-ce mieux que d'utiliser http auto-signé et simple, et pourquoi?

Les certificats auto-signés entraîneront vos utilisateurs (et VOUS) à cliquer sur les avertissements habituellement, ce qui est une mauvaise habitude. Et si ce certificat auto-signé était remplacé par un certificat non autorisé? Vos utilisateurs le remarqueraient-ils ou cliqueraient-ils aveuglément sur une autre boîte de dialogue de sécurité?

Stefan Lasiewski
source
Je pense que tant que les certificats auto-émis ou l'autorité de certification racine sont approuvés par les machines client / navigateurs / logiciels pertinents, il n'y aura pas d'avertissement en premier lieu. Cela signifie en quelque sorte pousser et repousser et repousser (uniquement en cas de besoin, haha) les certificats mis à jour aux clients. Je crois qu'il n'a besoin qu'une seule fois pour une autorité de certification racine et ensuite seulement si elle change
Alex
Les certificats auto-signés déclencheront toujours un avertissement, même s'ils sont fiables. Mais ils ne déclencheront pas un deuxième avertissement sur la confiance.
Stefan Lasiewski
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.