Che tipo di certificato TLS dovrei usare per un sistema interno?

3

Ho un sistema che non è connesso alla rete pubblica. Questo sistema viene utilizzato per aprire le porte all'interno di un edificio. Si estende su una rete WiFi aperta in cui gli utenti possono aprire un sito Web specifico e inserire le credenziali per aprire le porte. Un certificato TLS viene utilizzato per proteggere la connessione tra il sito Web e il browser. Non ho controllo sulle macchine utente endend. Molto probabilmente si connettono con dispositivi Android (alcuni hanno anche iPhone o PC normali). Ora il vecchio certificato scade e sto pensando quale potrebbe essere la migliore soluzione a prova di futuro:

  1. Certificato da Startcom CA : questa è la soluzione esistente che avevamo. Tuttavia diversi browser non si fidano più di questa CA. Quindi mi aspetterei che molti utenti non possano accedere facilmente al sito web.
  2. Certificato da Let's Encrypt CA : questo richiederebbe a qualcuno di recuperare il certificato, andare fisicamente all'hardware e modificare il certificato. Questo sembra molto incline agli errori. È piuttosto difficile fare questo e mi aspetto che la gente lo dimentichi.
  3. Certificato da CAcert CA : questa potrebbe essere una soluzione possibile. Qui dovremmo insegnare agli utenti come importare il certificato radice CAcert e questo funzionerebbe.
  4. Acquisto di un certificato da una CA: questa è anche una possibile soluzione, ma l'organizzazione è piuttosto piccola e non può impegnarsi a pagare queste somme per ottenere un certificato.
  5. Esecuzione di un certificato autofirmato: anche questo è fattibile, ma non so in che modo i browser gestiranno tali tipi di certificati in futuro.

Quindi qual è la tua raccomandazione? Che tipo di certificato consiglieresti e qual è il migliore in termini di esperienza utente?

    
posta qbi 21.05.2017 - 11:45
fonte

2 risposte

1

I certificati autofirmati non dovrebbero essere usati direttamente in TLS, ma non c'è nulla di sbagliato nella costruzione di una CA privata. Basta fornire il certificato di origine a tutti i client interni e tutto funzionerà esattamente come con i certificati a pagamento. L'unica differenza è che i certificati radice ben noti sono precaricati nei browser, mentre dovrai distribuire i tuoi.

openssl contiene tutto ciò che è necessario per una CA, ma potresti provare interfacce più semplici come xca

    
risposta data 25.05.2017 - 16:00
fonte
0

Acquistare un certificato adatto da una CA ben nota, probabilmente supportata negli archivi root dei dispositivi che stanno connettendo. Se il rischio di perdere la chiave privata dal certificato non è un problema, vai con chi offre la durata del certificato più lunga.

Non installerei / installerei un certificato autofirmato. Questo offre poca o nessuna protezione reale. Sì, il traffico sarebbe crittografato, ma non è autenticato veramente. Ciò significa che un utente malintenzionato potrebbe man-in-the-middle il traffico e falsificare il proprio certificato autofirmato, rendendo inutile avere uno in primo luogo.

    
risposta data 25.05.2017 - 14:59
fonte

Leggi altre domande sui tag