Voglio rendere il mio Synology NAS accessibile su Internet. Quando creo il mio certificato e lo importa su tutti i miei dispositivi (PC, laptop, smartphone, tablet, ecc.) È sicuro come acquistare un certificato?
In caso contrario, qual è la cosa più sicura che posso ottenere senza spendere soldi extra?
Lo scopo di un'infrastruttura di certificazione pubblica è creare una catena di fiducia tra entità che non si fidano l'una dell'altra direttamente. Paghi le autorità di certificazione perché gli altri si fidano di loro per emettere certificati solo su entità affidabili.
Supponendo di avere fiducia in te stesso (o chiunque abbia emesso il certificato), i certificati autofirmati non sono meno sicuri di quelli firmati da una CA pubblica.
Domanda simile e probabilmente pertinente: Il certificato SSL autofirmato è molto meglio di niente?
I certificati autofirmati sono perfettamente sicuri, ma come dichiarazione generale ricorda che i browser del tuo cliente non si fideranno del tuo sito web perché la tua chiave pubblica non si trova nel loro keystore. In questo caso, il certificato stesso funge da chiave pubblica e il client presuppone che se il server che ha distribuito il certificato può decrittografare un messaggio con la sua chiave privata, deve essere il vero proprietario. A questo proposito, i certificati autofirmati sono altrettanto sicuri di quelli firmati da una CA, supponendo che ti fidi del proprietario del sito web, che sono sicuro che tu faccia.
Se eseguiti correttamente, i certificati autofirmati sono sicuri quanto i certificati emessi dalle autorità di certificazione commerciali. Tuttavia, considera che è necessario installare il proprio certificato di origine su ciascun dispositivo. A meno che tu non sia l'unico utente o abbia utenti molto obbedienti che sono disposti a sopportare la seccatura di installare il certificato di root, probabilmente nella pratica vedrai una riduzione della sicurezza, dato che la maggior parte degli utenti rifiuterà gli avvisi del certificato SSL o disabiliterà del tutto la convalida del certificato anziché. (Ad esempio, per un client Windows, i passi per installare un certificato radice completo non sono Oltre a questo, dovresti installarlo una volta per profilo Firefox se usi Firefox.)
In tale contesto, potresti scoprire che è vantaggioso spendere solo qualche dollaro all'anno per ottenere un certificato commerciale. Potresti anche ottenere un gratuito . Con certificati di base (single host, validation of domain control) che sono così economici, non è consigliabile agire come autorità di certificazione per la maggior parte delle circostanze.
When I create my own certificate and import this on all my devices ... is this as secure as buying a certificate?
Quando acquisti un certificato, il processo generale procede come segue:
Quando si utilizza un certificato autofirmato, la procedura generale ha il seguente aspetto:
Si noti che in nessuno di questi casi una CA ha mai bisogno di vedere la propria chiave privata. La generazione delle chiavi viene eseguita da te, non dalla CA. La CA prende semplicemente la CSR, esegue un certo grado di verifica delle informazioni nel certificato e certifica che è corretta firmando il certificato con la loro chiave privata e inviando il certificato risultante a te.
Quindi, se riesci a convivere con l'avviso del certificato autofirmato quando navighi sul sito web e ti senti a tuo agio nel verificare che stai ricevendo il certificato corretto dal tuo server, non c'è alcuna differenza significativa di sicurezza tra un Certificato firmato da un'autorità di certificazione e certificato autofirmato.
Leggi altre domande sui tag certificates