C'è una differenza tra un certificato autofirmato e uno firmato dalla propria CA?

11

Dobbiamo utilizzare SSL sulla nostra rete interna per alcune applicazioni sensibili e devo sapere se esiste una differenza tra un certificato autofirmato e uno firmato da una CA di Windows Server che configuriamo? Dobbiamo installare una CA?

security  ssl-certificate 
Max Schmeling
fonte

Risposte:

10

A breve termine per un singolo servizio non c'è molta differenza.

Se decidi di dover configurare più servizi che utilizzano SSL, potresti scoprire che configurare una CA sarebbe stata una scelta migliore.

Se si configura una CA, si dovrebbe essere in grado di fidare i propri clienti della CA e quindi di eventuali certificati che firma. Una volta che la CA è attiva, aggiungere ulteriori servizi è facile. Con un sacco di certificati autofirmati un utente dovrà accettare ogni certificato separatamente.

Stai dicendo che hai una CA di Windows? Se ne hai già uno, lo userei. Se non ne hai già uno, sarei tentato di utilizzare un sistema leggero come TinyCA che potresti eseguire su una VM o su un Linux su un disco USB.

Zoredache
fonte
Eccezionale! Queste sono esattamente le informazioni che stavo cercando.
Max Schmeling
2

Un certificato può contenere informazioni sugli usi per i quali è autorizzato, ad esempio se può essere utilizzato per la firma di altri certificati a chiave pubblica o se si tratta di un certificato CA. Alcune implementazioni possono verificare quel tipo di informazioni e rifiutare di onorare un certificato per determinati scopi senza le giuste informazioni

Esempi di queste informazioni extra includono:

  • L'estensione "Utilizzo chiave" (OID 2.5.29.15), che potrebbe specificare se consentire o meno l'utilizzo di questo certificato per la firma del certificato chiave.
  • Estensione "Vincoli di base" (OID 2.5.29.19), che specifica se si tratta o meno di un certificato CA.

Se stai creando il tuo certificato autofirmato e vuoi usarlo come un certificato CA e vuoi aumentare le tue possibilità di averlo accettato da qualsiasi software con cui lo utilizzerai, probabilmente dovresti assicurarti contiene valori correttamente configurati per le due estensioni che ho menzionato sopra.

Se si omettono queste due estensioni, molte implementazioni potrebbero ancora onorarlo come certificato CA, ma alcune implementazioni potrebbero non esserlo.

spiff
fonte
0

Se vuoi firmare i tuoi certificati, avrai bisogno di una CA (sia tua che ufficiale). Tuttavia, non è necessario inviare la propria CA agli utenti a meno che non si pianifichi di firmare più certificati e si desideri che solo gli utenti ne accettino uno (ad esempio, se installano la propria CA, verranno accettati tutti i certificati emessi). Potrebbe essere meglio spingere la CA a lungo termine.

ghiandaia
fonte
-1

Non sono la stessa cosa? Un certificato rilasciato dalla propria CA interna è "autofirmato", il che significa che non è stato emesso da una CA esterna, giusto?

joeqwerty
fonte
No. La proprietà "autofirmata" non ha nulla a che fare con le CA esterne rispetto a quelle interne. In effetti i certificati radice di tutte le CA esterne sono autofirmati. Basta visitare qualsiasi sito Web SSL, come Google Mail, ed esaminare tutti i certificati nella catena di certificati.
Presidente James Moveon Polk,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.