Це гарна ідея використовувати cacert SSL сертифікати замість самопідписаних у виробництві?

На роботі у мене є маса веб-інтерфейсів, які використовують звичайні http або самопідписані сертифікати (інтерфейс управління балансиром завантаження, внутрішня вікі, кактуси, ...).

Жоден доступ недоступний за межами конкретних вланів / мереж.

Для домашнього використання я використовую cacert SSL сертифікати.

Мені було цікаво, чи варто запропонувати моєму роботодавцю використовувати cacert SSL сертифікати замість самопідписаних сертифікатів та звичайних http. Хтось використовує cacert ssl у виробництві? Які плюси і мінуси? Це покращує безпеку? Чи легше керувати? Щось несподіване? Чи може це вплинути на якісні сканування? Як я можу їх переконати?

Звичайно, платні сертифікати для публічних веб-сайтів залишаться незмінними.

Редагувати:

(просто цікаво) Безкоштовний сертифікат ssl від компаній, схоже, не є класом 3. Мені довелося показати свій паспорт і бути фізично присутнім, щоб отримати 3 клас з какадерів. Чи немає попереджень у браузерах для кожного класу 1?

У будь-якому випадку, у мене виникне те саме питання щодо будь-якого безкоштовного CA: Чи краще, ніж використовувати самопідписаний та звичайний http, і чому ?

Я б це зробив для зручності управління, на стороні сервера. Щось я пропустив?

Відмова : Я не член асоціації кацертів , навіть не Assurer, просто звичайний щасливий користувач.

Я б радив, що хоча з використанням безкоштовних сертифікатів, як від CACert, немає нічого поганого, ви, ймовірно, нічого не отримаєте від цього.

Оскільки їм за замовчуванням нічого не довіряють, вам все одно потрібно буде встановити / розгорнути кореневий сертифікат для всіх ваших клієнтів. Це та сама ситуація, з якою ви опинитесь із самопідписаними сертами або сертифікатами, виданими внутрішнім CA.

Я віддаю перевагу (і використовую) рішення - це внутрішній орган сертифікації та масове розгортання його кореневого сертифіката на всіх машинах домену. Контроль над сертифікатним органом, який ви використовуєте, робить управління сертифікатами набагато простіше, ніж навіть через веб-сайт порталу. Завдяки власному ЦА ви можете, як правило, скласти запит на сертифікат і відповідну проблему сертифіката, щоб усі ваші сервери, веб-сайти та все, що потребує сертифіката, могли отримати його автоматично і довіряти вашим клієнтам майже одразу після того, як вони потраплять у ваше оточення, ніяких зусиль чи ручних завдань ІТ.

Звичайно, якщо ви не вирішили завдання створити та автоматизувати свій власний офіційний центр, то використання зовнішнього безкоштовного, такого, як ви згадали, може полегшити ваше життя трохи легше, лише розгорнувши один зовнішній кореневий сертифікат ... але вам, мабуть, слід спробувати зробити це правильно з першого разу та створити внутрішній сертифікат для вашого домену.

Я б запропонував безкоштовні SSL-сертифікати від StartSSL, які визнані і сучасними браузерами. У мене немає нічого проти CACert, за винятком того, що він не вимагає нічого, окрім облікового запису, щоб видавати сертифікати, і ці серти ніхто не розпізнає, якщо ви вручну не встановите кореневу cert.

_{Обов'язкове відмови від відповідальності, оскільки це рекомендація щодо продукту: я жодним чином не пов’язаний із StartSSL. Просто щасливий клієнт.}

Це краще, ніж використовувати самопідписаний та звичайний http, і чому?

Сертифікати, що підписуються самостійно, навчать ваших користувачів (і ВАС) звично натискати на попередження, що є шкідливою звичкою. Що робити, якщо цей самопідписаний сертифікат буде замінено на шахрайський сертифікат? Чи помітять ваші користувачі, чи вони сліпо натискають ще один діалог безпеки?