1. Dom
  2. Pytanie i odpowiedź
  3. Certyfikaty podpisane SSL do użytku wewnętrznego

Certyfikaty podpisane SSL do użytku wewnętrznego

2010-04-20 11 views
8

Mam rozproszoną aplikację składającą się z wielu komponentów, które komunikują się za pośrednictwem protokołu TCP (na przykład JMS) i protokołu HTTP. Wszystkie komponenty działają na wewnętrznym sprzęcie, z wewnętrznymi adresami IP i nie są dostępne publicznie.Certyfikaty podpisane SSL do użytku wewnętrznego

Chcę, aby komunikacja była bezpieczna przy użyciu protokołu SSL. Czy ma sens kupowanie podpisanych certyfikatów od znanego urzędu certyfikacji? A może powinienem użyć samopodpisanych certyfikatów?

Moje zrozumienie zalet zaufanych certyfikatów polega na tym, że organ jest podmiotem, któremu można zaufać przez ogół społeczeństwa - ale jest to problem tylko wtedy, gdy opinia publiczna musi mieć pewność, że podmiot w określonej domenie jest którzy mówią, że są.

Dlatego w moim przypadku, gdy ta sama organizacja jest odpowiedzialna za komponenty na obu końcach komunikacji, a wszystko pomiędzy nimi, publicznie zaufany organ byłby bezcelowy. Innymi słowy, jeśli wygeneruję i podpiszę certyfikat dla mojego własnego serwera, wiem, że jest godny zaufania. Nikt spoza organizacji nigdy nie zostanie poproszony o zaufanie do tego certyfikatu. To jest moje rozumowanie - czy mam rację, czy jest jakaś potencjalna korzyść z używania certyfikatów znanego organu?

Źródło

2010-04-20 John B

+0

masz rację. nie ma nic więcej do powiedzenia. – hop

Odpowiedz

0

Powiedziałbym, że jest to dość bezpieczne, chyba że podejrzewasz, że infiltrator ninja zamieni twój serwer na ciebie.

Trzecia strona jest po to, aby utrudnić sobie po prostu "podniesienie poziomu" & generowania "nowego certyfikatu. Ktoś mógłby odtworzyć samopodpisany certyfikat na nowej maszynie z tymi samymi szczegółami, nie byłby to ten sam certyfikat, musiałbyś dodać do niego wyjątek, ale użytkownicy prawdopodobnie nie zauważyliby różnicy .

Źródło

2010-04-20 15:22:08 Aren

+0

To nie było moje zrozumienie zaufanych autorytetów. Ale jestem początkującym w tych rzeczach! Pomyślałem, że pomysł polegający na tym, że posiadanie certyfikatu z zaufanego organu pozwala ci przekonać opinię publiczną, że możesz być zaufany. Kluczową kwestią (gra słów nie jest przeznaczona) jest to, że opłacony certyfikat nie jest trudniejszy do wygenerowania niż samopodpisany - po prostu pochodzi od kogoś, komu wszyscy ufają. Jest to więc różnica między samodzielnym przygotowaniem dowodu osobistego a uzyskaniem go od rządu. Sam możesz zrobić wyjątkową, niezniszczalną, ale nie możesz oczekiwać, że ktoś inny ją zaakceptuje? –

+0

Aby dokładniej wyjaśnić, ta odpowiedź dotyczy roli CA: http: // stackoverflow.com/questions/188266/as-is-ssl-certyfikaty-zweryfikowane "Twoja przeglądarka internetowa jest zainstalowana z kluczami publicznymi wszystkich głównych urzędów certyfikacji, która używa tego klucza publicznego do sprawdzenia, czy certyfikat serwera internetowego rzeczywiście został podpisany przez zaufany ośrodek certyfikacji. " Innymi słowy, korzystanie z zaufanego urzędu certyfikacji nie oznacza, że ​​certyfikat nie został skradziony, sfałszowany ani sfałszowany - tylko że został pierwotnie wydany przez podmiot, który serwer twierdzi, że został wydany. –

+0

-1. prowadzenie własnego ca (prawdopodobnie off-line) sprawia, że ​​równie trudno jest "up & generować nowy certyfikat" jak w przypadku każdego komercyjnego ok. jedyną różnicą jest domyślne włączenie w przeglądarkach. – hop

4

Nie ma potrzeby używania zewnętrznego publicznego urzędu certyfikacji w zamkniętym projekcie społeczności. W wielu większych organizacjach obsługują one wewnętrzną PKI, aby wydawać certyfikaty dla takich projektów wewnętrznych. Zaletą korzystania z PKI jest to, że można ustanowić relację zaufania między różnymi komponentami na podstawie jednego, bezpiecznie dystrybuowanego certyfikatu głównego/kotwicy zaufania.

Jeśli jednak projekt pozwolił użytkownikom wewnętrznym na bezpieczne łączenie się z usługą wewnętrzną za pośrednictwem przeglądarki internetowej, warto rozważyć użycie publicznego certyfikatu wystawionego przez CA. Alternatywą jest upewnienie się, że każda przeglądarka, która może potrzebować połączyć się z twoją usługą, zaufała twojemu certyfikatowi root; to ma zapobiegać komunikatom ostrzegawczym przeglądarki.

Źródło

2010-04-20 16:04:16 bignum

+0

z łatwością można włączyć własne oklaski w przeglądarkach użytkowników za pomocą scentralizowanego zarządzania. w związku z tym ostrzeżenia przeglądarki nie stanowią uzasadnionego powodu do marnowania pieniędzy w komercyjnej liczbie ca. – hop

+0

@hop nie zawsze w dużej organizacji o złożonej bazie użytkowników i dużej kontroli zmian. W tych środowiskach, jeśli potrzebujesz zapewnić bezpieczną usługę dla użytkowników przeglądarki, może być tańsze i mniej problematyczne po prostu uzyskać publiczny certyfikat CA. – bignum

+0

brzmi jak rodzaj dysfunkcyjnej organizacji, która usunie wszystkie komercyjne urzędy z paranoi w pierwszej kolejności. nie próbuj wymyślać głupich argumentów, które - nawet jeśli byłyby ważne - dotyczyłyby tylko niewielkiej części użytkowników SO. Dziękuję Ci. – hop

0

Dopóki twój system działa wewnątrz twojej grupy i nie ma planów jego rozbudowy (a plany się zmieniają, więc miej to na uwadze), to dobrze jest ustawić własną prostą infrastrukturę PKI.

Jeśli rozwiniesz się poza swoją organizację, wystarczy, że przekażesz certyfikat główny stronom, z którymi będziesz się komunikować. Daje to właściwie drobną kontrolę nad swoimi partnerami, jak bardzo chcą oni zaufać w stosunku do publicznej infrastruktury CA.

Źródło

2010-04-20 16:17:55 Nasko

Powiązane problemy

 Powiązane problemy