È sicuro creare un certificato autofirmato quando solo i client invieranno informazioni sensibili al server? Dopo aver verificato l'argomento "Cosa sono i rischi dell'auto firma di un certificato per SSL " sembra così, o sbaglio?
È sicuro creare un certificato autofirmato quando solo i client invieranno informazioni sensibili al server? Dopo aver verificato l'argomento "Cosa sono i rischi dell'auto firma di un certificato per SSL " sembra così, o sbaglio?
Fintanto che tutti i client verificano l'impronta digitale del certificato autofirmato (e hai dato loro l'impronta corretta in un altro modo, come avere un'applicazione speciale che ha questa impronta appuntata, ad esempio non il solito browser) è sicura.
Che significa in effetti: finché l'utente utilizza un normale browser, non conosce l'impronta digitale del tuo certificato autofirmato o tra i clic sugli avvisi, non sarà sicuro, perché l'utente non è in grado di distinguere il tuo certificato da qualsiasi altro certificato di dire un man-in-the-middle. Questo è come fidarsi di qualsiasi foglio di carta che afferma di essere un ID rilasciato da uno stato.
Oltre alla risposta di @ steffen:
SSL offre una soluzione per alcuni problemi:
Quindi nel tuo caso, un attaccante che sta annusando la connessione non vedrà le informazioni sensibili inviate dal tuo cliente, ma se l'utente malintenzionato imposta un attacco Man-in-the-Middle, può ingannare il tuo cliente a inviare le informazioni a lei, e la trasmettono alla vera festa. In questo caso, ha catturato le informazioni sensibili che si desidera proteggere in primo luogo.
Leggi altre domande sui tag http tls certificates