So che se uso il certificato autofirmato, i browser lo avvertiranno all'utente, ma voglio sapere che dal punto di vista della sicurezza è il certificato autofirmato come sicuro dall'autorità di certificazione (CA)?
Un certificato autofirmato è in grado di avere le stesse funzionalità di sicurezza (crittografia, convalida estesa, utilizzo consentito) come certificato rilasciato da un emittente leader come VeriSign o GeoTrust. Queste opzioni devono essere impostate al momento della creazione del certificato.
Tuttavia, lo scopo e il vantaggio dell'infrastruttura a chiave pubblica (PKI) (come l'autorità di certificazione interna utilizzata all'interno di un'azienda, VeriSign / Symantec, GeoTrust e molti altri) è che esiste una relazione di fiducia esistente tra il cliente e il emittente del certificato (ad es. VeriSign). Il cliente (persone e browser) si fida che l'emittente ti abbia verificato e abbia verificato che tu sia chi dici di essere. Gli emittenti dei certificati hanno rigorose pratiche di sicurezza che devono mantenere. Questo tipo di relazione non viene replicato con un certificato autofirmato.
È possibile installare un certificato autofirmato in un browser (deve essere fatto per ogni browser) per fargli riconoscere il certificato come affidabile.
Se non si esegue questo passaggio l'utente non ha modo di sapere che il certificato è stato modificato a meno che non ispezioni manualmente il certificato. Questo potrebbe essere pericoloso perché qualcuno potrebbe intercettare la trasmissione (man-in-the-middle) e l'utente non saprebbe che il certificato / host era quello sbagliato.
Se si considera la funzionalità da sola, un certificato autofirmato non offre né più né meno sicurezza di un certificato rilasciato da un'autorità di certificazione leader.
I siti web sono per gli utenti e un certificato di fiducia è importante per far sapere all'utente che il tuo sito è chi dice di essere.
La mia opinione personale è che la fiducia e la facilità di implementazione ottenute utilizzando un'autorità pubblica di emissione è molto importante per un sito Web pubblico, soprattutto se non si dispone di una stretta relazione esistente con le persone che lo visitano.
Un certificato autofirmato può essere adatto a sviluppo / test interni limitati.
Un'Autorità di certificazione interna per l'uso è una buona soluzione per le imprese che utilizzano i certificati internamente e hanno esperienza in PKI.
Spero che questo aiuti
Non è sicuro, perché ti rende vulnerabile a un attacco di reindirizzamento o man-in-the-middle. Qualsiasi utente malintenzionato può creare un certificato autofirmato per il tuo dominio e i tuoi utenti non saranno in grado di dire di aver ricevuto quello sbagliato se sono stati portati sul sito dell'utente malintenzionato invece che sul tuo.
Come già detto, il browser invierà un avviso all'utente. Ciò rende possibile la connessione man-in-the-middle. I certificati riguardano la fiducia e il certificato autofirmato è privo della catena di fiducia che normalmente si ottiene con un certificato firmato dalla CA. Considera questo: se il client sta passando attraverso il mio router per connettersi al tuo sito web, posso intercettare la comunicazione, generare un certificato al volo (per il cliente) e parlare al tuo server usando il tuo certificato. Sarebbe sempre lo stesso per il client, ma sul mio router ho il traffico non criptato.
Quando parliamo di sicurezza, i certificati autofirmati e firmati CA forniscono la stessa crittografia a 256 bit al tuo sito web. Tuttavia, SSL non viene utilizzato solo per la sicurezza, ma fa anche riferimento all'autenticazione e alla fiducia degli utenti.
Svantaggi del certificato autofirmato,
Il certificato autofirmato e il certificato firmato hanno la stessa robustezza della crittografia, ma accanto a questa crittografia un titolare di un certificato autofirmato avrà pochi svantaggi dell'uso del certificato autofirmato.
Il certificato autofirmato è ideale per scopi di test interni, mentre il certificato firmato può essere utilizzato per ambienti interni ed esterni.
Il certificato autofirmato non supporta PKI (infrastruttura a chiave pubblica) che crea il trust tra l'utente e l'emittente del certificato assicurando all'utente che un determinato certificato firmato è valido e offerto dalla rinomata CA (autorità di certificazione) .
Il browser lancia un avvertimento mentre incontra un certificato autofirmato, mentre il certificato firmato ha già i suoi certificati di root implementati nel browser, quindi non ci saranno problemi di avviso del browser durante la visita di un sito web.
Se hai a che fare con eCommerce, sito web finanziario, bancario, gli utenti non si fideranno del certificato autofirmato, in tal caso, devi andare con un certificato firmato.
Non è possibile revocare il certificato autofirmato. Se una chiave privata di un certificato autofirmato è compromessa, gli autori degli attacchi possono facilmente personalizzare il certificato.
Se un utente malintenzionato esegue un attacco man-in-the-middle, un utente che interagisce con il browser non può sapere che il certificato viene modificato e utilizzato dall'utente malintenzionato finché l'utente non verifica manualmente il certificato. L'attaccante può quindi annusare i dettagli delle transazioni in corso.
Quando gli utenti affrontano avvisi di sicurezza a causa di un certificato autofirmato, possono capire che il sito Web non è in grado di proteggere le proprie informazioni personali e si allontanerebbero dal sito.
Pur avendo a che fare con il certificato autofirmato sull'ambiente interno, i dipendenti sono invitati a ignorare gli avvisi di sicurezza e tendono a ignorare gli avvisi a lungo termine anche durante la navigazione in siti pubblici che potrebbero lasciare l'organizzazione vulnerabile.
Il certificato autofirmato è disponibile gratuitamente, mentre è necessario pagare pochi dollari per il certificato firmato. Nel complesso, avrai autenticità, fiducia e crittografia con certificato firmato che può essere un grande vantaggio per qualsiasi sito web aziendale online.
Leggi questo articolo pubblicato dalla mia azienda a saperne di più sui rischi nei certificati autofirmati.
Siccome la fiducia in PKI è in qualche modo rotta (comodo ecc.), i certificati firmati CA mostrano che non ci sono popup:)
Per l'uso interno non c'è bisogno di certificati firmati dalla CA.
La parte divertente di tutto questo è che in tutte le società di hosting per cui ho lavorato non ho mai sentito parlare di Verisign, Comodo, o di qualsiasi altra autorità di certificazione che chieda di verificare le informazioni fornite dai loro clienti. Controllano che gli addebiti sulla carta di credito siano corretti e potrebbero verificare che l'indirizzo di fatturazione corrisponda a quello che il cliente ha detto DI FARE LA CARTA DI CREDITO, ma NON a emettere un certificato. Quindi, mentre la 'relazione di fiducia' è implicita, raramente è REALMENTE LÀ! Sì, generare il tuo cert è ok per le cose interne, ma per i contenuti pubblici, dove i clienti acquisteranno, è necessario utilizzare un certificato rilasciato da un'autorità pubblica certificata. I clienti non capiscono nulla di tutto ciò, né dovrebbero farlo, ma si fidano che la società di Verisign sia affidabile (anche se non controllano i certificati prima di emetterli, sono fatti da un computer ... non da un umano ). Spero che questo aiuti.
È compito della CA fornire certificati ai vari utenti. Se la CA viene compromessa, qualsiasi certificato da tale CA verrà revocato, cioè verrà invalidato.
Se tutti i tuoi utenti ti conoscono e sono fiduciosi in te, puoi creare la tua CA gratuitamente. OpenSSL ad esempio ti offre tutto ciò che ti serve per questo:
La differenza è solo legale. Se possiedi CA e il sito non ci sono terze parti attendibili.
Leggi altre domande sui tag tls certificates certificate-authority