А зачем вообще покупать SSL-сертификат для сайта у GlobalSign/Comodo/etc, если можно подписать самому?

Не сочтите за троллинг. У меня реально такой подход к жизни. Экономика должна быть экономной. Каждой цели - свои средства.
До абсурда тоже нельзя доводить, и иногда все-таки брать сразу с запасом, есть даже такой подход - "из крайности в крайность" - и к некоторым задачам он эффективен, чтобы сразу оценить перспективы.
Но всегда надо понимать, за что ты платишь.

Вот если у меня цель - просто шифрование трафика для защиты от отладки с помощью Wireshark, ни о каком SEO, доверии, банкинге и т.д. речи не идет, это внутренний сервер, клиентом для него будет мой собственный браузер (на базе WebKit). Или вообще система будет работать по TCP.

Вот в таком случае достаточно ли самоподписанного? Или покупной сертификат будет иметь какие-то реальные плюсы?

А в каком случае он будет их иметь?
  • Вопрос задан
  • 2348 просмотров
Пригласить эксперта
Ответы на вопрос 10
edinorog
@edinorog
Троллей не кормить!
давай разберемся на простом примере. вот идешь ты в другом городе в гостиницу. а тебе говорят дайте паспорт! почему паспорт? потому что тот кто его выпустил является гарантом что ты тот кто есть. а тот кто паспорт спрашивает доверяет гаранту.

другой пример. ты занимаешь под честное слово у соседа. сосед тебя знает и тебе доверяет. теперь ты выступаешь для себя гарантом!

поэтому вопрос не в гаранте. а в том кто кому доверяет )
Ответ написан
athacker
@athacker
Если сертификат не подписан доверенными центрами, то браузеры будут ругаться, что "а сертификат-то паленый!":
ssl-connection-error.png

На шифровании это никак не сказывается. Если соединением будешь пользоваться только "сам и мои друзья", которым можно объяснить, что "тыкайте "разрешить", и всё будет ровно", то можно пользоваться самоподписанными сертификатами.

Если же это публичный сервис, то клиентов такие сообщения про недостоверный сертификат будут отпугивать. Тогда имеет смысл купить сертификат, подписанный приличным УЦ.

Let's encrypt я бы из принципа использовать не стал (собственно, я и не стал :-) ), даже для домашнего сайта с котиками. Очень сомнительная модель, когда нужно ставить некий "клиент", который тебе генерит и обновляет сертификаты. Нет гарантии, что он твой секретный ключ при этом товарищу майору за бугор не отправляет. А то может и ещё что, смотря до чего дотянуться сможет.
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
Покупается не сертификат. Покупается подтверждение от имени некоей конторы, которая всем известна и которой все доверяют того факта, что держатель сертификата на самом деле то лицо (организация), которой представляется. Это на самом деле большая ответственность - за косяки бывает СA лишают доверия - чего стоит история с пинком под зад для StartSSL/WOSign
Выпустить самому себе сертификат никто не мешает - более того так поступают очень часто, когда его публичность никому не нужна - например веб-морда iLO, упса, девайса какого-нибудь для работы https генерит "хоть какой-нибудь" сертификат - если хочешь меняй. Корпоративные СA выпускают сами себе сертификаты - и прекрасно живут.
Покупной сертификат дает подтверждение того факта, что лицо, обозначенное в сертификате есть то, за которое оно себя выдает. Гарантируется это авторитетом CA, которое их выдает. Вы можете взять бумажку и написать на ней "Пачпорт гражданина всея России" - но кто Вам поверит?
Доверие к разным CA не безусловное - к одним больше, к другим меньше - в отличие, например, от УФМС. Но УФМС одно, а СA много.
Ответ написан
Комментировать
secsite
@secsite
Безопасные и быстрые сайты
Вот в таком случае достаточно ли самоподписанного?

Если только для личного применения, то достаточно. Добавишь его в свой браузер.
Если для людей - не каждый рискнёт добавлять.
А вообще есть и бесплатные сертификаты.
Ответ написан
mxms
@mxms
IT voodoo
Грубо говоря, если нет необходимости использовать данный сертификат в публичном пространстве, то можно использовать самоподписанный. В противном случае встаёт вопрос о доверии к такому сертификату у клиентов (им придётся вручную добавлять его в доверенные).
Этих недостатков лишён сертификат от Let's encrypt, которому доверяют весь современный софт, а выпуск его ничего не стоит. Получение и обновление при этом автоматизированно.
Ответ написан
dimonchik2013
@dimonchik2013
non progredi est regredi
смотри на уровни сертификатов
особенно на EV (extended validate)

летсэнкерипт говорит только о том, что сорединение к сайту зашифровано

уровни сертификатов подтверждают еще и от действительности владельца домена, до действительности настоящей конторы, получившей сертфиикат (см. Эппл, Микрософт, Тиньков)
Ответ написан
Комментировать
Francyz
@Francyz
Photographer & SysAdmin
Зеленая полоска в хроме на твоем сайте дает +500 понту, по сравнению с остальными сайтами ))
Ответ написан
ArchitectOfRuin
@ArchitectOfRuin
WordPress-энтузиаст, маркетолог, переводчик
>шифрование трафика для защиты

Самоподписанные сертификаты: "шифрование трафика" - Да, "для защиты" - Нет.

Что мешает злоумышленнику выпустить такой же поддельный самоподписанный сертификат и использовать его для MITM-атак?

Самоподписанные сертификаты не несут в себе вообще никакой защиты. Если у Вас на сервере будет какая-либо брешь и злоумышленникам есть резон пытаться его ломать (можно срубить бабла на ценных данных и т.д.), они просто внедрят такой же самоподписанный сертификат, который пользователи примут без вопросов (потому что уже раньше принимали, они даже не задумаются, что в этом может скрываться какая-то опасность).
Ответ написан
Комментировать
nmk2002
@nmk2002
работаю в ИБ
В вашем случае самоподписанного сертификата достаточно. Отличия от сертификата, полученного у одного из доверенных центров сертификации только в доверии. То есть ОС, браузер и приложения ничего не знают об издателе сертификата и не доверяют ему по умолчанию. Если вручную не указать им, что этот сертификат доверенный, то вы будете видеть предупреждение об ошибке сертификата.
Если таких сайтов у вас несколько, то я бы рекомендовал сделать небольшой УЦ и подписывать им сертификаты для ваших сайтов. Тогда браузерам надо доверять только этому вашему УЦ, а не каждому сертифкату по отдельности

УЦ можно сделать на базе любого бесплатного PKI. Есть достаточно удобные и простые в установке и настройке.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы