ライブサイトでの自己署名証明書の利点は何ですか？

Question

ライブサイトで自己署名証明書の利点はありますか？

IIS 7で、証明書に自己署名する機能があることを知っています。それをCAから証明書を購入する前兆として使用するのは良い考えではないかと思いました。

CA署名付き証明書から得られるのと同じ暗号化の利点がありますか、それとも用語がわかりにくいですか？（httpsプロトコルから実行）

Eddie · Accepted Answer

暗号化は、証明書または証明書の署名元のプロパティではありません。 CA署名付き証明書から得られる利点は、Webブラウザー（およびその他のSSL対応アプリケーション）によって自動的に信頼されることです。自己署名証明書は、証明書が信頼されていないという警告をポップアップ表示します。 FireFox 3などの最近のブラウザでは、デフォルトのアクションはページの表示を拒否することであり、ユーザーは自己署名（または期限切れ）証明書の使用を有効にするために意図的なアクションを実行する必要があります。

Webページを使用するすべての人と話すことができれば（たとえば、これが家族専用の場合）、これは問題ではありません。その警告とブラウザでの処理方法を期待するように伝えます。これは1回限りの問題です。

ただし、これが実際のセキュリティに近づくものを必要とする用途である場合は、自己署名ではなく、真の署名付き証明書が必要になる可能性があります。

Jack B Nimble · Answer

同じ暗号化の利点が得られますが、サイトを表示しているすべての人に、証明書が信頼されていない（または信頼されていないソースから）という警告が表示されます。メインストリーム証明書の1つを取得する利点は、それらがすでに信頼できるものとしてブラウザーにあることです。

IE 7で、[ツール]、[インターネットオプション]、[コンテンツ]、[証明書]、[信頼されたルート証明機関]に移動します。これらはすべての機関ですIEデフォルトで信頼します。

Tom Ritter · Answer

信頼。自己署名証明書は同じ暗号化を提供します。

しかし、私はCAを信頼しています。私はあなたを信頼していません。

では、なぜ私はあなたを信頼すべきではないのですか？証明書の名前（「割引ボブのハンググライダーとバーベキューエンポリアム」）が実際に証明書を作成した人であるという保証はないためです。「ボブのハンググライダーとバーベキューエンポリアムを割引」という証明書を作成できます。ritter.vgにアクセスすると、「ボブのハンググライダーとバーベキューエンポリアムを割引」と表示されます。

しかし、「ボブのハンググライダーとバーベキューエンポリアムを割引」と書かれた証明書に署名するようにCAに依頼すると、「確かに、資格情報を見せてください」と尋ねられますが、資格情報がないので、腹を立てるように言われます。ただし、実際のディスカウントボブはこれらの資格情報を持っており、CAがそれに署名します。したがって、CAによって署名された証明書を見ると、実際にはisディスカウントボブであることがわかります。証明書がなければ、CAは署名していなかったからです。

署名された証明書の目的は、その人が実際に彼の言う人であることを確認することです。 CAがそう言ったので、私はCAを信頼します。

暗号化は、証明書に直接関連するものではありません。暗号化は、持っていると便利であり、連携するため、追加されるだけです。

spoulson · Answer

自己署名証明書の長所：

自由
CAが署名したものと同じ暗号化技術

短所：

ブラウザは、サイトを表示するためにユーザーの操作を必要とする何らかの形式のセキュリティ警告を表示します。これは、ユーザーが証明書を信頼することを選択することで抑制できます。
あなたが暗示している信頼は、証明書の署名者に対するものです。誰の証明書でもSSL暗号化接続を有効にできます。信頼ポリシーは、ユーザーフォームのman-in-the-middle攻撃を保護します。署名された証明書を発行することはできませんが、証明書が作成されたサーバーでのみ使用されるCAです。したがって、その内容を別のソースから取得したり、転送中に変更したりすることはできません。

簡単なシナリオ：誰かがインターネットカフェに不正なwifiアクセスポイントを設定した場合、被害者のユーザーのアクティビティを透過的にプロキシし、ネットワークスニファで監視することができます。通常、SSLは暗号化されており、データは使用できません。ただし、ユーザーのHTTPS要求をプロキシし、転送中の被害者のコンテンツを検査するためのツールが存在します。これには、影響を受けるユーザーに、通常は信頼されていない認証されていない証明書を与えるという副作用があります。

銀行のサイトにログインしてSSLセキュリティ警告が表示された場合は、先に進まないでください。あなたはターゲットかもしれません。

これを Hak5パイナップルとして認識する人もいるかもしれません。

David Heggie · Answer

自己署名証明書の利点を具体的に求めたので、「利点」は、最初に設定するのが安価（つまり無料）で迅速であるということだと思います。これらは明らかに、すべてのサイト訪問者がブラウザのセキュリティポリシーに例外を追加して、サイトを表示できるようにする必要があるという欠点をはるかに上回っています。

まだ聞いていない場合は、過去のいくつかを見つけることができます Security Now Podcasts 興味深い-SSLは多くのエピソードで詳細に説明されています。

pjz · Answer

暗号化と認証を混同しています。

どの証明書も暗号化を提供します。

CA証明書は、CAがあなたが本人であると保証していることも証明します。

自己署名証明書は暗号化を提供しますが、認証は提供しません。

George Tsiokos · Answer

主な利点は、サイトのセキュリティを処理するためにサードパーティにアクセスする必要がないことです。これは自分で行うことができます。問題は、正しく理解するのが複雑なことです。

彼らのブラウザは、自己署名証明書を「信頼」する必要があります。将来的に証明書を変更した場合も、同じダイアログが表示されます。いくつかの答えはこれを行う方法を説明しています。自己署名証明書を受け入れるようにトレーニングされている場合、ユーザーは中間者攻撃などの攻撃を受けやすくなるため、これはまだbadです。これが標準的な手順である会社を見たことがあります！それらのユーザーにとっては残念です！

理想的には、サイトにアクセスする前に、ボックスにカスタムルート証明書をインストールするプロセスがあります。このルート証明書は、サイトの証明書を発行します。このように、彼らのブラウザは、信頼エラーを表示することなく、あなたのサイトに最初に接続する前にあなたの自己署名証明書を信頼します。