I certificati autofirmati non funzionano su Internet?

Naviga le tue risposte
6

I miei certificati autofirmati non funzionano su Internet. Quali possono essere i problemi?

Ecco i dettagli di installazione:

  1. Ho una macchina virtuale Windows in Azure con IIS e un certificato autofirmato per HTTPS. Le cose stanno andando bene. Il sito si sta aprendo senza problemi. NOTA: Ho anche il dominio di configurazione, in modo che io possa accedere a queste informazioni su Internet.

  2. Quando provo ad accedere al sito web basato su HTTPS dal mio laptop personale, ricevo un messaggio di errore: This connection is not trusted .

In caso di errore di cui sopra nel browser, devo accettare l'impostazione per navigare nel sito in modalità non protetta e solo dopo sono in grado di accedere ai dati. Ma questo non è quello che voglio.

Desidero accedere ai dati solo in modalità protetta.

Come è possibile utilizzare certificati autofirmati?

    
posta Vipin Tanwar 03.08.2015 - 10:08
fonte

4 risposte

2

Una possibile soluzione per te è installare il certificato autofirmato come CA attendibile sul tuo notebook.

Vedi link

Questo risolverà il problema che stai descrivendo (solo su quel laptop e solo per browser / altri software che usano le radici fidate dal sistema operativo, cioè Firefox visualizzerà comunque l'avviso, bcs che usa la sua CA di root attendibile).

Tuttavia, questo non funzionerà nella produzione. Ognuno dei tuoi visitatori dovrebbe aggiungere il tuo certificato autofirmato come CA radice affidabile per evitare l'avviso del browser. Fare così sarebbe un serio rischio per la sicurezza.

    
risposta data 03.08.2015 - 10:41
fonte
18

Anche se vedi un messaggio che dice che la connessione non è attendibile non significa che non sia una connessione HTTPS .

Per visualizzare o meno tali messaggi di errore, i browser tentano di convalidare i certificati utilizzando i seguenti criteri:

  • Il nome comune del certificato corrisponde al nome di dominio inserito nella barra degli URL?
  • È la data corrente tra la data di inizio validità e la data di fine validità?
  • Il certificato è firmato da una ben nota autorità di certificazione (CA)? (Questo è qualcosa che non hai con un certificato autofirmato)
  • Il certificato è stato revocato? (Non sono sicuro che tutti i browser convalidino questo punto)

Ci sono anche altri meccanismi, ma per ora dimentichiamoli.

Nel tuo caso, se vuoi evitare questo messaggio di errore (che non significa che non navighi nel tuo sito web in HTTPS), puoi:

  • Ricorda la tua scelta con Firefox (e non dovresti essere avvisato di nuovo)
  • Firma il tuo certificato con la tua CA e installa la tua CA come affidabile in Windows e Firefox (c'è un buon articolo qui , ma non è aggiornato a causa dell'uso della firma SHA1 invece di SHA2)
  • Ottieni un certificato valido firmato da una CA ben nota ( StartSSL per esempio che è gratuito)
risposta data 03.08.2015 - 11:01
fonte
12

Il messaggio di errore che hai ricevuto è il normale comportamento dei browser quando si tratta di certificati autofirmati perché il certificato autofirmato non può dire chi sia realmente il destinatario dei dati (il tuo server) (fiducia), quindi hai ricevuto quel messaggio chiedendoti se sei sicuro di avere fiducia nel tuo sito web (serever). Comunque dal momento che il tuo browser non può verificare che ti stai connettendo al tuo server (giusto / reale) dato che ogni attaccante può creare un certificato autofirmato e lanciare un attacco man-in-the-middle.

Per risolvere il tuo problema, aggiungi eccezioni alle regole di connessione in base al browser che stai utilizzando per accedere al tuo sito web.

    
risposta data 03.08.2015 - 10:47
fonte
2

Https è http via TLS / SSL. TLS fornisce tre elementi:

  1. Crittografia dei dati
  2. Autenticazione server (il server è chi dicono di essere)
  3. Autenticazione client (il client è chi dicono di essere)

Per ottenere 1) è sufficiente un certificato autofirmato, ma per 2) è necessario un certificato firmato da un'autorità di certificazione nota al cliente (il browser). Sfortunatamente tutti i browser correnti richiedono sempre 1) e 2) per https e quindi non accettano certificati autofirmati (almeno non senza avvisi spaventosi e facendo in modo che gli utenti salti attraverso gli anelli per vedere la pagina) , anche se per molte situazioni solo 1) potrebbe essere sufficiente.

Se si accede al sito solo da te o da un piccolo gruppo sotto il tuo controllo, è possibile installare il certificato autofirmato in ogni browser come certificato radice affidabile. Fondamentalmente si diventa la propria autorità di certificazione.

Se gli estranei accederanno a questo sito, non avrai altra scelta che firmare il certificato con un'autorità di certificazione ben nota. Fortunatamente ci sono autorità di certificazione che lo faranno gratuitamente, come StartSSL .

Nota che c'è un movimento verso " crittografia opportunistica ", che risolverebbe questo problema e sarebbe consente https utilizzando un certificato autofirmato. Ci vorrà un po 'prima che il supporto per questo sia comune, se mai dovesse accadere. Firefox implementato , ma successivamente disabilitato a causa di problemi di sicurezza. Vedi anche episodio 502 del podcast Security Now se sei interessato ai dettagli.

    
risposta data 03.08.2015 - 14:04
fonte

Leggi altre domande sui tag

E 'possibile provare che una certa e-mail è stata inviata usando un determinato computer? Password Vault - Enterprise