Є багато людей, які відчувають, що ця система порушена.
Ось логіка, чому ваш веб-переглядач подасть вам таке тривожне попередження, коли сертифікат SSL недійсний:
Однією з оригінальних цілей дизайну інфраструктури SSL було надання автентифікації веб-серверів. Якщо ви переходите на www.bank.com, SSL дозволяє веб-серверу, який відповідає, довести, що він насправді належить вашому банку. Це зупиняє нападника від маніпулювання DNS або використання іншого методу для отримання зловмисного сервера.
"Довіра" до SSL надається шляхом підписання довіреною третьою стороною (такі компанії, як VeriSign та Thawte Consulting), підписуючи сертифікат, вказуючи, що вони підтвердили, що ним належить той, хто каже, що це (теоретично, відвідавши ІТ-адміністратора в людина чи інший метод, який створює пряму довіру, хоча дані свідчать про те, що вони насправді досить мляві з цього приводу - все, що потрібно для отримання підписаного сертифікату SSL, часто є 800 номером і трохи акторської майстерності).
Отже, якщо ви підключаєтесь до веб-сервера, який надає сертифікат SSL, але він не підписується довіреною третьою стороною, теоретично це може означати, що ви спілкуєтесь із самозванцем, який видає себе за сервер, що належить іншій організації .
На практиці самопідписаний сертифікат, як правило, означає, що організація, яка працює на сервері, вирішила не платити за підписаний сертифікат (вони можуть бути досить дорогими, залежно від потрібних функцій), або не вистачає технічної експертизи для його налаштування ( деякі рішення для малого бізнесу пропонують механізм в один клік для самопідписаного сертифіката, але отримання надійного сертифікату вимагає більше технічних кроків).
Я особисто вважаю, що ця система порушена, і що спілкуватися з сервером, який не пропонує шифрування, набагато небезпечніше, ніж спілкуватися з сервером, що пропонує SSL, з самопідписаним сертифікатом. є три причини, через які браузери не діють так:
- Незашифровані комунікації є нормою в Інтернеті, тому якщо браузери змусили вас натиснути попередження, щоб переглянути веб-сайти, що не пропонують шифрування, ви швидко роздратуєтесь та відключите попередження.
- Через гострі застереження для клієнтів ненормально бачити сертифікат, який підписує сам, на виробничому веб-сайті. Це встановлює систему самоувічнення: самопідписані серти є підозрілими, оскільки вони рідкісні, вони рідкісні, тому що вони підозрілі.
- Це цинічне звучання для мене, але є компанії, які стоять, щоб заробити багато грошей на підписанні сертифікатів SSL ( кашель Verisign кашель ), тому вони використовують газети (термін ІТ, що означає "довга і нудна реклама") та інші публікації щоб застосувати думку про те, що непідписані сертифікати небезпечні.