क्या उत्पादन में स्वयं हस्ताक्षरित के बजाय cacert SSL प्रमाणपत्र का उपयोग करना एक अच्छा विचार है?

काम पर, मेरे पास वेब इंटरफेस का एक गुच्छा है जो सादे http या स्व-हस्ताक्षरित प्रमाण पत्र (लोड बैलेंसर प्रबंधन इंटरफ़ेस, आंतरिक विकी, कैक्टि, ...) का उपयोग करता है।

कोई भी बाहरी विशिष्ट vlans / नेटवर्क से उपलब्ध नहीं है।

घरेलू उपयोग के लिए, मैं cacert SSL प्रमाणपत्र का उपयोग करता हूं ।

मैं सोच रहा था कि क्या मुझे अपने नियोक्ता को स्वयं हस्ताक्षरित प्रमाण पत्र और सादे http के बजाय cacert SSL प्रमाणपत्र का उपयोग करने का सुझाव देना चाहिए। किसी को उत्पादन में cacert ssl का उपयोग करें? समर्थक / विपक्ष क्या हैं? क्या यह सुरक्षा में सुधार करता है? क्या इसे प्रबंधित करना आसान है? कुछ भी अप्रत्याशित? क्या यह क्वालिस स्कैन को प्रभावित कर सकता है? मैं उन्हें कैसे मना सकता हूं?

बेशक, सार्वजनिक वेबसाइटों के लिए भुगतान किए गए प्रमाणपत्र अपरिवर्तित रहेंगे।

संपादित करें:

(सिर्फ जिज्ञासु) कंपनियों से नि: शुल्क एसएसएल प्रमाण पत्र वर्ग 3 नहीं लगता है। मुझे अपना पासपोर्ट दिखाना होगा और कैसर्ट से कक्षा 3 प्राप्त करने के लिए शारीरिक रूप से उपस्थित होना चाहिए। क्या प्रत्येक कक्षा 1 के लिए ब्राउज़रों में चेतावनी नहीं है?

वैसे भी, मैं किसी भी मुफ्त CA के बारे में एक ही सवाल होगा: क्या यह स्वयं हस्ताक्षरित और सादे http का उपयोग करने से बेहतर है, और क्यों ?

मैं इसे आसानी से प्रबंधन, सर्वर साइड के लिए करूंगा। कुछ भी याद किया?

डिस्क्लेमर : मैं एक कैसर एसोसिएशन का सदस्य नहीं हूं, यहां तक ​​कि एसेंसर भी नहीं, सिर्फ एक नियमित रूप से खुश उपयोगकर्ता।

मैं सलाह दूंगा कि जहां फ्री सेर्ट्स का उपयोग करने में कुछ भी गलत नहीं है, जैसे CACert से, आप शायद ऐसा करने से कुछ हासिल नहीं करेंगे।

चूँकि वे किसी भी चीज़ पर डिफ़ॉल्ट रूप से भरोसा नहीं करते हैं, फिर भी आपको अपने सभी क्लाइंट को रूट सर्टिफिकेट स्थापित / तैनात करने की आवश्यकता होगी, यही स्थिति है कि आप एक आंतरिक सीए द्वारा जारी किए गए स्व-हस्ताक्षरित सीट्स या सेर्ट्स के साथ होंगे।

मेरे द्वारा पसंद किया जाने वाला समाधान (और उपयोग) एक आंतरिक प्रमाणपत्र प्राधिकरण है और सभी डोमेन मशीनों के लिए इसके रूट प्रमाण पत्र की एक व्यापक तैनाती है। आपके द्वारा उपयोग किए जाने वाले प्रमाणपत्र प्राधिकरण पर नियंत्रण रखने से पोर्टल साइट के माध्यम से भी प्रमाण पत्र प्रबंधन बहुत आसान हो जाता है। अपने स्वयं के सीए के साथ, आप आम तौर पर एक प्रमाणपत्र अनुरोध और संबंधित प्रमाणपत्र जारी कर सकते हैं ताकि आपके सभी सर्वर, साइटें, और प्रमाण पत्र की आवश्यकता वाली कोई भी चीज इसे स्वचालित रूप से प्राप्त कर सकें और अपने ग्राहकों द्वारा आपके पर्यावरण में डाल दिए जाने के तुरंत बाद भरोसा किया जा सके। आईटी द्वारा कोई प्रयास या मैनुअल कार्य नहीं।

बेशक, यदि आप अपने स्वयं के सीए को स्थापित करने और स्वचालित करने के कार्य के लिए नहीं हैं, तो एक बाहरी निशुल्क का उपयोग करें जैसे कि आपने जो उल्लेख किया है वह आपके जीवन को थोड़ा आसान बना सकता है, केवल एक बाहरी रूट प्रमाणपत्र को तैनात करने के लिए ... लेकिन आपको संभवतः इसे पहली बार सही करने का प्रयास करना चाहिए, और अपने डोमेन के लिए एक आंतरिक CA सेट करना चाहिए।

मैं StartSSL से नि: शुल्क एसएसएल प्रमाणपत्रों का सुझाव दूंगा, जिन्हें आधुनिक ब्राउज़रों द्वारा भी मान्यता प्राप्त है। मुझे CACert के खिलाफ कुछ भी नहीं मिला है, सिवाय इसके कि प्रमाण पत्र जारी करने के लिए कुछ भी नहीं है, और जब तक आप मैन्युअल रूप से रूट प्रमाणपत्र स्थापित नहीं करते हैं, तब तक उन सीट्स को किसी के द्वारा मान्यता नहीं दी जाती है।

_{यह उत्पाद की सिफारिश के रूप में अप्रचलित अस्वीकरण है: मैं किसी भी तरह से StartSSL से संबद्ध नहीं हूं। बस एक खुश ग्राहक।}

क्या यह स्व-हस्ताक्षरित और सादे http का उपयोग करने से बेहतर है, और क्यों?

स्व-हस्ताक्षरित प्रमाणपत्र आपके उपयोगकर्ताओं (और आप) को आदतन चेतावनी के माध्यम से क्लिक करने के लिए प्रशिक्षित करेंगे, जो एक बुरी आदत है। क्या होगा यदि उस स्व-हस्ताक्षरित प्रमाण पत्र को दुष्ट प्रमाणपत्र के साथ बदल दिया गया? क्या आपके उपयोगकर्ता नोटिस करेंगे, या वे आँख बंद करके अभी तक एक और सुरक्षा-संवाद के माध्यम से क्लिक करेंगे?