Чи справді сертифікати зміїної олії за замовчуванням справді є зміїною олією, а не справжніми сертифікатами чесного доброго? [зачинено]

SSL генерує сертифікати "зміїної олії" з власним підписом, наприклад, на /etc/ssl/certs/ssl-cert-snakeoil.pem. Згідно з Вікіпедією , зміїна олія - ​​це криптографічний метод або продукт, який вважається шахрайським або неправдивим. Чи є щось нечітке в цих сертифікатах? Звичайно, вони не підписані жодним відомим органом сертифікації, але самі сертифікати все ще можуть бути справжніми сертифікатами настільки ж добре, як і будь-які інші. Наприклад, я можу надійно поширювати відкритий ключ мого сервера всім своїм клієнтам особисто. Якщо припустити це, чи є щось із змієної олії гідне створених сертифікатів, чи ім'я вводить в оману?

Remeber SSL виконує дві дуже важливі функції

1. Безпечне спілкування
2. Довіра

Будь-який самостійно створений сертифікат SSL дає вам 1., які дозволяють зашифрований трафік або, як ви кажете, дійсний сертифікат SSL.

Однак самостійно створений сертифікат SSL може надавати Довіру лише тим людям, які довіряють вам. Причиною створення сертифікатів SSL від надійних третіх сторін є надання номера 2. Ваш браузер довіряє їм, і вони вам довіряють. Якщо ви генеруєте його самостійно, ви можете претендувати на веб-сайт www.microsoft.com, і якщо хтось вам довірився, це було б.

Крім того, як зазначено в коментарях, саме тому ви не повинні довіряти хтось самопідписаному сертифікату для свого сервера, оскільки тоді ваш браузер, очевидно, буде довіряти будь-яким майбутнім сертифікатам, підписаним тим самим сервером.

Ось чому самостійно породжуються зміїні олії.

Оновлення: Служба LetsEncrypt у поєднанні з сучасним веб-сервером, таким як Caddy, забирають майже всі труднощі з отримання та використання certs TLS, тому більше не потрібно мати certs зміїного масла!

Самопідписані сертифікати шифрують ваше спілкування так само, як і стандартні. Тож шифрування - це не проблема.

Сертифікати також можуть використовуватися для підтвердження особи. Як це повинно працювати, це те, що при безпечному підключенні до сервера той сервер представляє вам сертифікат вам або вашому веб-переглядачу, і тоді ви чи ваш веб-переглядач вирішуєте, чи можете ви довіряти твердженню ідентичності сервера.

Сертифікати можуть бути підписані іншими сертифікатами "вищого рівня", які зазвичай називаються органами з сертифікації. Отже, якщо сертифікат сервера підписаний ЦА, якому ви або ваш браузер довіряєте, особа вважається дійсною.

Більшість основних браузерів мають ряд кореневих сертифікатів, яким вони автоматично довіряють, від Verisign та інших відомих ЦА.

Якщо сертифікат самопідписаний, оскільки він не підписаний стороннім офіційним органом, а тим самим суб'єктом, який виготовив сертифікат, ви не можете залежати від будь-кого іншого, щоб перевірити особу, крім того, хто створив сертифікат. Це рівнозначно тому, хто друкує власну посвідчення особи та надає її вам для підтвердження особи. Це не обов'язково проблема, незважаючи на попередження браузера, якщо ви знаєте / довіряєте, хто створив сертифікат чи зробив це самостійно.

У Вікіпедії також зазначається: "Змієна олія - ​​це вираз, який спочатку посилався на шахрайські медичні продукти чи недоказані ліки, але став називатися будь-яким продуктом із сумнівною чи неперевіреною якістю чи користю".

У цьому контексті важлива неперевірена якість. Якщо ви переглядаєте SSL-сайт, який не має ланцюга сертифікатів, до довіреного органу сертифікатів, ви не можете покластися на SSL, щоб переконатися, що сайт належить та управляється особою чи організацією, яка є власником домену (як показано у вашому URL-адреса браузера).

Сучасні веб-браузери демонструють попередження про безпеку під час перегляду сайтів із самопідписаними сертифікатами («зміїна олія»), оскільки у них відсутній цей надійний ланцюжок сертифікатів. Наприклад, це може дратувати приватну інтранет, але це певним чином захистить людей від введення їх приватних даних та платіжної інформації на фішинг-сайти.