1. Inicio
  2. Pregunta y respuesta
  3. Certificados SSL firmados para uso interno

Certificados SSL firmados para uso interno

2010-04-20 11 views
8

Tengo una aplicación distribuida que consta de muchos componentes que se comunican a través de TCP (por ejemplo, JMS) y HTTP. Todos los componentes se ejecutan en hardware interno, con direcciones IP internas, y no son accesibles al público.Certificados SSL firmados para uso interno

Quiero asegurar la comunicación mediante SSL. ¿Tiene sentido comprar certificados firmados de una autoridad de certificación conocida? ¿O debería usar certificados con firma automática?

Mi comprensión de la ventaja de los certificados de confianza es que la autoridad es una entidad en la que el público en general puede confiar, pero eso es solo un problema cuando el público en general necesita asegurarse de que la entidad en un dominio particular quien dicen que son

Por lo tanto, en mi caso, donde la misma organización es responsable de los componentes en ambos extremos de la comunicación, y todo lo demás, una autoridad de confianza pública sería inútil. En otras palabras, si genero y firmo un certificado para mi propio servidor, sé que es confiable. Y a nadie de fuera de la organización se le pedirá que confíe en este certificado. Ese es mi razonamiento. ¿Estoy en lo cierto o hay alguna ventaja potencial al usar certs de una autoridad conocida?

Fuente

2010-04-20 John B

+0

estás en lo correcto. no hay nada más que decir. – hop

Respuesta

0

Yo diría que es razonablemente seguro, a menos que piense que un infiltrado ninja va a cambiar su servidor.

La tercera parte está allí para hacer que sea más difícil '& generar' un nuevo cert. Alguien podría volver a crear un certificado autofirmado en una máquina nueva con los mismos detalles, no sería el mismo certificado, también tendría que agregar una excepción, pero sus usuarios probablemente no notarían la diferencia .

Fuente

2010-04-20 15:22:08 Aren

+0

Esa no era mi comprensión de las autoridades de confianza. ¡Pero soy un principiante en esto! Pensé que la idea era que tener un certificado de una autoridad de confianza le permite persuadir al público en general de que puede confiar en usted. El punto clave (sin juego de palabras) sería que un certificado pagado no es más difícil de generar que uno autofirmado, es simplemente que proviene de alguien en quien todo el mundo confía. Entonces, es la diferencia entre hacer una tarjeta de identificación y obtenerla del gobierno. Puede crear uno único e inolvidable, pero no puede esperar que nadie más lo acepte. –

+0

Para mayor detalle, esta respuesta cubre el rol de la CA: http: // stackoverflow.com/questions/188266/how-are-ssl-certificates-verified "Su navegador web viene instalado con las claves públicas de todas las principales autoridades certificadoras. Utiliza esta clave pública para verificar que el certificado del servidor web haya sido firmado por la autoridad de certificación de confianza ". En otras palabras, el uso de una CA de confianza no significa que el certificado no haya sido robado, falsificado o falsificado, solo que fue emitido originalmente por la entidad que el servidor afirma que fue emitido por. –

+0

-1. ejecutar su propia ca (posiblemente fuera de línea) hace que sea tan difícil "subir y generar un nuevo certificado" como con cualquier ca. la _única_ diferencia es la inclusión por defecto en los navegadores. – hop

4

No es necesario que utilice una CA pública externa para un proyecto de comunidad cerrado. En muchas organizaciones más grandes, operan una PKI interna para emitir certificados para proyectos internos como este. Una ventaja de utilizar una PKI es que puede configurar una relación de confianza entre los distintos componentes basándose en un único certificado raíz/ancla de confianza distribuido de forma segura.

Sin embargo, si el proyecto permitió a los usuarios internos conectarse de forma segura a un servicio interno a través de su navegador web, es posible que desee considerar el uso de un certificado emitido por CA pública. La alternativa es asegurarse de que cada navegador que pueda necesitar conectarse a su servicio confíe en su certificado raíz; esto es para evitar mensajes de advertencia del navegador.

Fuente

2010-04-20 16:04:16 bignum

+0

es fácil incluir su propia ca en los navegadores de sus usuarios con administración centralizada. por lo tanto, las advertencias del navegador no son una razón válida para desperdiciar dinero en un ca. – hop

+0

@hop no siempre está en una organización grande con una base de usuarios compleja y un gran control de cambios. En estos entornos, si necesita proporcionar un servicio seguro a los usuarios del navegador, puede ser más barato y menos problemático obtener un certificado de CA público. – bignum

+0

suena como el tipo de organización disfuncional que eliminaría todas las CA comerciales de la paranoia en primer lugar. no intente inventar argumentos tontos que, incluso si fueran válidos, solo afectarían a una pequeña fracción de los usuarios de SO. gracias. – hop

0

Siempre que su sistema se ejecute dentro de su grupo y no hay planes de expandirlo (y los planes sí cambian, tenga esto en cuenta), está bien configurar su propia infraestructura de PKI simple.

Si termina expandiéndose más allá de su organización, todo lo que necesita hacer es distribuir su certificado raíz a las partes que se comunicará. Esto le da a sus socios un control muy detallado sobre la confianza que desean depositar frente a la infraestructura de CA pública.

Fuente

2010-04-20 16:17:55 Nasko

Cuestiones relacionadas

 Cuestiones relacionadas