Les certificats d'huile de serpent par défaut de SSL sont-ils vraiment de l'huile de serpent plutôt que d'être de véritables certificats d'honnête à bon? [fermé]

SSL génère par défaut des certificats «d'huile de serpent» auto-signés, par exemple sur /etc/ssl/certs/ssl-cert-snakeoil.pem. Selon Wikipedia , l'huile de serpent est une méthode ou un produit cryptographique considéré comme frauduleux ou faux. Y a-t-il quelque chose de faux à propos de ces certificats? Bien sûr, ils ne sont signés par aucune autorité de certification connue, mais les certificats eux-mêmes peuvent toujours être de véritables certificats aussi bons que les autres. Par exemple, je pourrais distribuer la clé publique de mon serveur à tous mes clients en toute sécurité en personne. En supposant cela, y a-t-il quelque chose de digne de l'huile de serpent des certificats générés, ou le nom est-il trompeur?

Remeber SSL remplit deux fonctions très importantes

1. Communication sécurisée
2. Confiance

Tout certificat SSL auto-généré vous donne 1. qui autorise le trafic crypté ou comme vous le dites un certificat SSL valide.

Cependant, un certificat SSL auto-généré ne peut donner confiance qu'aux personnes qui vous font confiance. La raison pour laquelle les certificats SSL sont générés par des tiers de confiance est de fournir le numéro 2. Votre navigateur leur fait confiance et ils vous font confiance. Si vous le générez vous-même, vous pourriez prétendre être www.microsoft.com et si quelqu'un vous faisait confiance, ce serait le cas.

Aussi, comme indiqué dans les commentaires, c'est pourquoi vous ne devriez pas faire confiance à quelqu'un pour son serveur, car alors votre navigateur fera apparemment confiance à tous les futurs certificats signés par le même serveur.

C'est pourquoi les certs d'huile de serpent sont auto-générés.

Mise à jour: Le service LetsEncrypt couplé à un serveur Web moderne tel que Caddy élimine presque toutes les difficultés liées à l'obtention et à l'utilisation des certificats TLS, donc plus besoin de certificats d'huile de serpent!

Les certificats auto-signés crypteront vos communications de la même manière que les certificats standard. Le chiffrement n'est donc pas le problème.

Les certificats peuvent également être utilisés pour vérifier l'identité. Comment cela est censé fonctionner, c'est que lorsque vous vous connectez en toute sécurité à un serveur, ce serveur vous présente son certificat ou celui de votre navigateur, puis vous ou votre navigateur décidez si vous pouvez faire confiance à l'affirmation d'identité du serveur.

Les certificats peuvent être signés par d'autres certificats de "niveau supérieur", généralement appelés autorités de certification. Ainsi, si le certificat du serveur est signé par une autorité de certification à laquelle vous ou votre navigateur faites confiance, l'identité est considérée comme valide.

La plupart des principaux navigateurs sont livrés avec un certain nombre de certificats racine auxquels ils font automatiquement confiance, de Verisign et d'autres autorités de certification bien connues.

Avec un certificat auto-signé, puisqu'il n'est pas signé par une autorité de certification tierce mais par la même entité qui a créé le certificat, vous ne pouvez pas dépendre de quelqu'un d'autre pour vérifier l'identité, à l'exception de celui qui a généré le certificat. Cela équivaut à quelqu'un qui imprime sa propre carte d'identité et vous la donne pour vérifier son identité. Ce n'est pas nécessairement un problème, malgré les avertissements du navigateur, si vous savez / faites confiance à qui a généré le certificat ou l'a fait vous-même.

Wikipédia dit également: "L'huile de serpent est une expression qui faisait à l'origine référence à des produits de santé frauduleux ou à des médicaments non éprouvés, mais qui fait désormais référence à tout produit dont la qualité ou les avantages sont douteux ou invérifiables".

C'est la qualité invérifiable qui est importante dans ce contexte. Si vous parcourez un site SSL qui n'a pas de chaîne de certificats vers une autorité de certification de confiance, vous ne pouvez pas vous fier à SSL pour vérifier que le site appartient et est géré par la personne ou l'organisation propriétaire du domaine (comme indiqué dans votre barre d'URL du navigateur).

Les navigateurs Web modernes affichent un avertissement de sécurité lors de la navigation sur des sites avec des certificats auto-signés ("huile de serpent") car ils ne disposent pas de cette chaîne de certificats de confiance. Cela peut être gênant sur un Intranet privé, par exemple, mais cela protège en partie les gens de la saisie de leurs données privées et informations de paiement sur des sites de phishing.