I certificati SSL gratuiti sono sicuri?

11

In che modo alcuni certificati SSL sono gratuiti? Cosa significa? Sono sicuri o no?

https security-certificate

— aneuryzm
fonte

5

L'unico motivo per cui le aziende addebitano i certificati SSL è che dedicano tempo e sforzi alla creazione del certificato e si aspettano di essere pagati per il loro lavoro (con profitto ovviamente). Ma non devono pagare se non vogliono fare proprio come può fare un fornitore di servizi gratuito. Ciò che conta con i certificati SSL è se i principali produttori di browser riconoscono gli emittenti di certificati come affidabili o meno. In tal caso, il browser visualizzerà il sito come sicuro come farebbe con qualsiasi altro provider riconosciuto. In caso contrario, nessun utente che tenta di accedere a una pagina Web protetta dal certificato non riconosciuto visualizzerà un avviso che informa che il certificato non è riconosciuto e li avverte di non procedere.

Quindi la vera domanda è: "quali servizi gratuiti sono riconosciuti dai principali produttori di browser come autorevoli"?

— John Conde
fonte

In altre parole, sono certificati sicuri, semplicemente non "verificati" da un fornitore di certificati emittente, poiché si tratta di un certificato auto-creato. Mi chiedo perché lo stesso server web non possa verificare il certificato. Ma poi di nuovo, immagino che non farebbero i soldi a modo loro, vero?

— Talvi Watia,

È il browser che determina la validità del certificato presentato dal server. Un certificato autofirmato creerà una connessione sicura, ma non convaliderà che il server è di proprietà della persona che afferma di essere, ovvero a cosa servono le autorità di certificazione e addebitano il processo di verifica e certificazione dei certificati il server sta presentando.

— danivovich,

2

@Talvi: buona battuta! ... aspetta, era una battuta, vero? Il certificato viene utilizzato per verificare l'identità del server, tra le altre cose. Chiedere un certificato è come chiedere l'ID di qualcuno: "Come ti chiami? Joe Blow. Puoi mostrarmi un documento di identità? Certo." Quindi il ragazzo prende un pezzo di carta, scrive "Joe Blow" e te lo dà. Ecco, ecco il mio ID. Quindi lo guardi e dici "Ah, va bene. Se è su un pezzo di carta, deve essere vero ... Un server che produce il proprio certificato è praticamente la stessa cosa." Sei il server giusto per la mia banca? "" Sì. Questi non sono i droidi che stai cercando "

— Sylver

2

@Sylver Quale alternativa pensi ci sia? È solo una questione di dove ti fidi: "Come ti chiami? Joe Blow. Puoi mostrarmi un documento? Certo." Il ragazzo presenta il suo amico Very Sign, che prende un po 'di carta, scrive "Joe Blow" e te lo dà. Ecco, ecco il mio ID. Quindi lo guardi e dici "Ah, va bene. Se è su un pezzo di carta, deve essere vero ... Le proprietà di identificazione di un certificato sono davvero solo un vantaggio laterale della tecnica di crittografia. Vai e controlla che firma il certificato per verisign.com

— robertc,

1

@robert: Esatto, tranne per il fatto che Veri Sign non è amico di Joe Blow. Verisign è una società regolamentata la cui attività principale è attestare l'identità delle persone. Un passaporto o una carta d'identità è solo un bel pezzo di stampa su carta fantasia, ma lo accettiamo perché crediamo che sia stato rilasciato da un'agenzia affidabile che ha verificato l'identità del richiedente, perché ci sono gravi sanzioni per la contraffazione e perché non sono facili da falsificare in primo luogo. Per ottenere un certificato da Verisign, verificheranno innanzitutto che tu sia legittimo. ...

— Sylver,

4

Dai un'occhiata a Wikipedia per un buon confronto tra i servizi SSL. Sembra che startcom abbia un servizio di certificazione SSL gratuito riconosciuto da IE, FF e Safari.

Ho il sospetto che ci siano altri servizi simili in giro. Il problema principale è trovare provider supportati dai browser moderni. Avere un browser avvisa l'utente che il certificato non è affidabile è peggio che non avere un certificato, dal punto di vista della conversione e delle vendite.

— Sylver
fonte

I certificati StartCom non sono più considerati affidabili dai principali browser: il certificato StartSSL fornisce SEC_ERROR_REVOKED_CERTIFICATE in Firefox e ERR_CERT_AUTHORITY_INVALID in Chrome

— Stephen Ostermiller

Il sito Web di Wikipedia è stato eliminato. Puoi aggiungerne uno nuovo lì?

— Léo Léopold Hertz 준영

0

L'infrastruttura a chiave pubblica dipende da una terza parte attendibile che verificherà e quindi potrà avallare la tua identità.

Quando paghi un'autorità di certificazione importante come Verisign per un certificato, stai pagando per la loro reputazione di terza parte affidabile e affidabile che può approvare la validità della tua identità e del tuo certificato. Da un punto di vista pratico, ciò significa che i principali browser sono preconfigurati per fidarsi dei certificati firmati da tali autorità.

Posso creare un certificato per te gratuitamente, ma sarà relativamente inutile, perché nessuno sa chi sono e quindi la mia approvazione non dà loro alcuna fiducia.

— lukecyca
fonte

0

Anche le principali autorità di certificazione come verisign, globalsign, COMODO offrono una versione gratuita del periodo di prova del certificato SSL perché ci danno la possibilità di fidarci e valutare il loro prodotto.

— marchio
fonte