क्या स्व-हस्ताक्षरित एसएसएल प्रमाणपत्रों का उपयोग करना एक बुरा व्यवहार है?

SSL प्रमाणपत्र व्यक्तियों के लिए बहुत महंगे हैं, खासकर यदि आपको विभिन्न उप-डोमेन सुरक्षित करने की आवश्यकता है। मैं स्व-हस्ताक्षरित प्रमाणपत्रों का उपयोग करने पर विचार कर रहा हूं, क्योंकि मेरा प्राथमिक ध्यान कनेक्शन को सुरक्षित करना है, न कि खुद को प्रमाणित करना।

हालांकि, इस तरह के प्रमाण पत्र का सामना करते समय कई ब्राउज़र गंदा चेतावनी प्रदर्शित करते हैं। क्या आप स्व-हस्ताक्षरित प्रमाणपत्र (उदाहरण के लिए छोटे वेब अनुप्रयोग या किसी छोटी वेबसाइट के व्यवस्थापक पृष्ठ के लिए) का उपयोग करने को हतोत्साहित करेंगे? या यह कुछ मामलों में ठीक है?

सामान्य तौर पर स्व हस्ताक्षरित प्रमाण पत्र का उपयोग करना बुरा है। यदि आप ऐसा करते हैं तो आप जोखिम उठा रहे हैं कि लोग आपकी साइट को छोड़ देंगे जब उन्हें आपके प्रमाणपत्र के खराब होने की चेतावनी मिल जाएगी। इससे भी महत्वपूर्ण बात यह है कि आप किसी ऐसे व्यक्ति को इंजेक्शन से हमला करने का बड़ा जोखिम उठा रहे हैं, जहाँ वे आपकी जगह पर स्वयं हस्ताक्षरित प्रमाण पत्र का उपयोग करते हैं और आगंतुक को कोई बेहतर जानकारी नहीं होगी।

यहाँ पर लेख देखें, http://www.sslshopper.com/article-when-are-self-signed-certports-acceptable.html इसके बारे में थोड़ी और जानकारी के लिए।

जैसा कि रैंडमबेन ने कहा, स्व-हस्ताक्षरित प्रमाण पत्र आमतौर पर उनके द्वारा बताए गए कारणों पर आधारित होते हैं। लेकिन एक स्थिति है जिसमें वे ठीक हैं: यदि उन लोगों का सेट जो आपकी वेबसाइट पर संवेदनशील डेटा जमा करने की आवश्यकता है, तो वे छोटे और सीमित हैं, वे सभी कुछ तकनीकी रूप से सक्षम हैं, और आप उन सभी के साथ संवाद करने में सक्षम हैं। उस स्थिति में आप प्रत्येक व्यक्ति को प्रमाणपत्र का विवरण दे सकते हैं, फिर वे मैन्युअल रूप से प्रमाणपत्र की जांच कर सकते हैं जब वे आपकी साइट पर जाते हैं और यदि उपयुक्त हो तो सुरक्षा अपवाद जोड़ सकते हैं।

एक चरम उदाहरण के रूप में, मेरे व्यक्तिगत वीपीएस पर मेरे पास एक प्रशासनिक उपडोमेन है, जिसे केवल मेरे द्वारा ही एक्सेस किया जाना चाहिए। उस डोमेन को स्व-हस्ताक्षरित प्रमाण पत्र के साथ सुरक्षित करने में कोई समस्या नहीं होगी क्योंकि मैं मैन्युअल रूप से जांच कर सकता हूं कि कनेक्शन को सुरक्षित करने के लिए उपयोग किया जा रहा सर्वर प्रमाणपत्र वही है जो मैंने सर्वर पर स्थापित किया था।

ऐसे मामलों में जहां एक स्व-हस्ताक्षरित प्रमाण पत्र काम नहीं करेगा या आपके पास "वास्तविक" एक होगा, मैं सुझाव देता हूं कि आइए एन्क्रिप्ट करें , इंटरनेट सुरक्षा अनुसंधान समूह द्वारा शुरू की गई परियोजना और प्रमुख इंटरनेट कंपनियों द्वारा समर्थित, जो एसएसएल प्रमाणपत्र प्रदान करता है मुफ्त। वे ऐसा कर सकते हैं क्योंकि उनके द्वारा उपयोग की जाने वाली सत्यापन प्रक्रिया पूरी तरह से स्वचालित है, और वास्तव में एक वेब सर्वर जो अपने एसीएमई प्रोटोकॉल (जैसे कैडी , जो मैं वर्तमान में उपयोग करता हूं) का समर्थन करता है , पूरी तरह से अपने आप ही प्रमाण पत्र प्राप्त कर सकता है। आइए एन्क्रिप्ट करें कि आप सत्यापित नहीं करते हैं, एक व्यक्ति के रूप में, आप कहते हैं कि आप कौन हैं; यह केवल यह सत्यापित करता है कि आपका वेब सर्वर उस डोमेन पर सामग्री परोसने में सक्षम है, जिस पर वह दावा करता है। आइए एनक्रिप्ट सभी प्रमुख ब्राउज़रों द्वारा समर्थित है, लेकिन यह सर्वविदित है कि सत्यापन न्यूनतम है, इसलिए यदि आप ई-कॉमर्स साइट जैसी कोई चीज या कुछ भी चला रहे हैं, जहां लोग संवेदनशील जानकारी जमा कर रहे हैं, तो आपको संभवतः पैसा प्राप्त करना चाहिए उच्च स्तर के सत्यापन के साथ प्रमाण पत्र।

मैं से मुक्त StartSSL प्रमाण पत्र की सिफारिश करने के लिए इस्तेमाल Startcom लोग हैं, जो सत्यापन के लिए भुगतान करने के लिए नहीं करना चाहता था के लिए, लेकिन अब नहीं। StartCom को 2016 में चुपके से WoSign द्वारा अधिग्रहित कर लिया गया था और बाद में कई डोमेन के लिए नाजायज प्रमाण पत्र जारी किए। परिणामस्वरूप, प्रमुख ब्राउज़रों ने StartCom प्रमाणपत्रों के लिए अपना समर्थन हटा दिया। (जहाँ तक मुझे पता है, IE ने कभी भी उनका समर्थन नहीं किया है।) किसी भी मामले में, चलो एन्क्रिप्ट अधिक सुविधाजनक है।

यह है नहीं करने के लिए उपयोग स्व-हस्ताक्षरित प्रमाण पत्र खराब व्यवहार का। स्व-हस्ताक्षरित प्रमाण पत्र के बहुत सारे व्यावहारिक उद्देश्य हैं जिनके लिए यह केवल CA- हस्ताक्षरित प्रमाण पत्र का उपयोग करने के लिए समझ में नहीं आता है।

उदाहरण के लिए, मेरे कई सर्वरों पर, मेरे पास पासवर्ड रहित लॉगिन सेट अप है। ये ऐसे सर्वर हैं जिनसे मैं बार-बार जुड़ता हूं, और कभी-कभी कई एसएसएच कनेक्शनों को खुला रखता हूं, कि यह मेरे उपयोगकर्ता नाम और पासवर्ड को हर बार टाइप करने के लिए एक परेशानी है।

इसके बजाय, मैं एक स्व-हस्ताक्षरित एसएसएल प्रमाणपत्र का उपयोग करता हूं जो मैं अपने प्रत्येक ग्राहक मशीनों (कार्यालय में एक कार्य केंद्र, एक लैपटॉप और मेरे गृह कार्य केंद्र) पर उत्पन्न करता हूं। इस तरह का सेटअप मुझे उत्पादकता को प्रभावित किए बिना मेरे प्रत्येक सर्वर के लिए काफी लंबे, सुरक्षित और पूरी तरह से अद्वितीय पासफ़्रेज़ का उपयोग करने की अनुमति देता है। और क्योंकि मेरे पास सर्वर तक सीधी पहुंच है जहां मैं प्रत्येक प्रमाण पत्र के लिए सार्वजनिक कुंजी स्थापित कर सकता हूं, सीए-हस्ताक्षरित प्रमाण पत्र का उपयोग करने का मेरे लिए कोई मतलब नहीं है।

मैं अपनी खुद की रूट CA सेट कर सकता हूं जिसके साथ मैं अपनी कंपनी के सभी आंतरिक उपयोग प्रमाणपत्रों पर हस्ताक्षर कर सकता हूं, और इस तरह मुझे केवल प्रत्येक सर्वर पर एक ही सार्वजनिक कुंजी स्थापित करने की आवश्यकता होगी। हालाँकि, हमारा संगठन उस आकार में नहीं बढ़ा है जो वास्तव में इसकी आवश्यकता है, और सुरक्षित HTTP के प्रयोजनों के लिए, यह अभी भी स्व-हस्ताक्षरित प्रमाण पत्र के समान होगा।

इसी तरह, स्व-हस्ताक्षरित प्रमाणपत्र अक्सर ईमेल कनेक्शन, पीजीपी हस्ताक्षर और सर्वर-से-सर्वर कनेक्शन के लिए उपयोग किए जाते हैं, जहां यह सार्वजनिक कुंजी पूर्व-विनिमय के लिए तुच्छ है। इनमें से कई मामलों में, यह वास्तव में एक प्रमाण पत्र श्रृंखला पर निर्भर होने से अधिक सुरक्षित है, जिसे श्रृंखला के किसी भी बिंदु पर समझौता किया जा सकता है।

यदि आप कई उप-डोमेन सुरक्षित कर रहे हैं, तो आप वाइल्डकार्ड प्रमाणपत्र का उपयोग करना चाह सकते हैं , जो (आप कितने उप-डोमेन को सुरक्षित कर रहे हैं इसके आधार पर) प्रति डोमेन खरीदने की तुलना में काफी सस्ता काम कर सकते हैं; उदाहरण के लिए रैपिडएसएसएल के पास एक बार उपयोग में आने वाले चार डोमेन होने की वजह से वाइल्डकार्ड व्यक्तिगत सेर से सस्ता होता है।