I certificati SSL per l'olio di serpente di default sono davvero olio di serpente anziché essere autentici certificati onesti? [chiuso]

SSL genera certificati "olio di serpente" autofirmati per impostazione predefinita, ad esempio all'indirizzo /etc/ssl/certs/ssl-cert-snakeoil.pem. Secondo Wikipedia , l'olio di serpente è un metodo o prodotto crittografico considerato fraudolento o fasullo. C'è qualcosa di falso in questi certificati? Certo, non sono firmati da alcuna autorità di certificazione nota, ma i certificati stessi potrebbero comunque essere certificati autentici come gli altri. Ad esempio, potrei distribuire la chiave pubblica del mio server a tutti i miei client in modo sicuro di persona. Supponendo questo, c'è qualcosa degno di olio di serpente dei certificati generati o il nome è fuorviante?

Remeber SSL svolge due funzioni molto importanti

1. Comunicazione sicura
2. Fiducia

Qualsiasi certificato SSL autogenerato ti fornisce 1. che consente il traffico crittografato o come dici un certificato SSL valido.

Tuttavia, un certificato SSL auto-generato può dare fiducia solo alle persone che si fidano di te. Il motivo per cui certificati SSL vengono generati da terze parti attendibili è fornire il numero 2. Il tuo browser si fida di loro e si fidano di te. Se lo generi da solo potresti affermare di essere www.microsoft.com e se qualcuno si fidasse di te lo sarebbe.

Inoltre, come sottolineato nei commenti, questo è il motivo per cui non dovresti fidarti di qualcuno autofirmato certificato per il loro server poiché il tuo browser apparentemente si fiderà di eventuali certificati futuri firmati dallo stesso server.

Questo è il motivo per cui autogenerati sono certificati di olio di serpente.

Aggiornamento: il servizio LetsEncrypt abbinato a un moderno server web come Caddy risolve quasi tutte le difficoltà nell'ottenere e usare i certificati TLS, quindi non c'è più bisogno di certificati con olio di serpente!

I certificati autofirmati crittograferanno la tua comunicazione esattamente come quelli standard. Quindi la crittografia non è il problema.

I certificati possono anche essere utilizzati per verificare l'identità. Come dovrebbe funzionare è che quando ti connetti in modo sicuro a un server, quel server presenta il suo certificato a te o al tuo browser, quindi tu o il tuo browser decidete se potete fidarvi dell'asserzione di identità del server.

I certificati possono essere firmati da altri certificati di "livello superiore", in genere chiamati autorità di certificazione. Pertanto, se il certificato del server è firmato da un'autorità di certificazione di cui tu o il tuo browser fidate, l'identità è considerata valida.

La maggior parte dei browser principali viene fornita con una serie di certificati radice di cui si fidano automaticamente, da Verisign e altre CA famose.

Con un certificato autofirmato, poiché non è firmato da un'autorità di certificazione di terze parti ma dalla stessa entità che ha creato il certificato, non è possibile affidarsi a nessun altro per verificare l'identità tranne quella che ha generato il certificato. È equivalente a qualcuno che stampa la propria carta d'identità e te lo dà per verificare l'identità. Questo non è necessariamente un problema, nonostante gli avvisi del browser, se conosci / ti fidi di chi ha generato il certificato o lo ha fatto tu stesso.

Wikipedia dice anche: "L'olio di serpente è un'espressione che originariamente si riferiva a prodotti sanitari fraudolenti o medicine non provate, ma è venuto a fare riferimento a qualsiasi prodotto con qualità o benefici discutibili o non verificabili".

È la qualità non verificabile che è importante in questo contesto. Se navighi in un sito SSL che non ha una catena di certificati verso un'autorità di certificazione attendibile, non puoi fare affidamento su SSL per verificare che il sito sia di proprietà e gestito dalla persona o dall'organizzazione proprietaria del dominio (come visualizzato nel tuo barra dell'URL del browser).

I moderni browser Web visualizzano un avviso di sicurezza durante la navigazione di siti con certificati autofirmati ("olio di serpente") perché privi di questa catena di certificati attendibile. Questo può essere fastidioso su una Intranet privata, ad esempio, ma aiuta in qualche modo a proteggere le persone dall'immissione di dati privati ​​e informazioni di pagamento nei siti di phishing.