Au travail, j'ai un tas d'interfaces web qui utilisent des http simples ou des certificats auto-signés (interface de gestion de l'équilibreur de charge, wiki interne, cactus, ...).
Aucun n'est accessible depuis des réseaux virtuels / réseaux externes spécifiques.
Pour un usage domestique, j'utilise des certificats SSL cacert .
Je me demandais si je devrais suggérer à mon employeur d'utiliser des certificats SSL cacert au lieu de certificats auto-signés et de http simple. Quelqu'un utilise cacert ssl dans la production? Quels sont les avantages / inconvénients? Améliore-t-il la sécurité? Est-ce plus facile à gérer? Quelque chose d'inattendu? Peut-il affecter les scans qualys? Comment puis-je les convaincre?
Bien sûr, les certificats payés pour les sites Web publics resteraient inchangés.
Éditer :
(juste curieux) Le certificat SSL gratuit des entreprises ne semble pas être de classe 3. J'ai dû montrer mon passeport et être présent physiquement pour obtenir la classe 3 de cacerts. N'y a-t-il pas d'avertissement dans les navigateurs pour chaque classe 1?
Quoi qu'il en soit, j'aurais la même question à propos de n'importe quelle autorité de certification gratuite: est-ce mieux que d'utiliser http auto-signé et simple, et pourquoi ?
Je le ferais pour la facilité de gestion, côté serveur. Quelque chose que j'ai raté?
Avertissement : je ne suis pas membre de l'association cacert , pas même Assureur, juste un utilisateur régulier et heureux.
Réponses:
Je conseillerais que même s'il n'y a rien de mal à utiliser des certificats gratuits, comme ceux de CACert, vous ne gagnerez probablement rien non plus.
Puisqu'ils ne sont pas approuvés par défaut par quoi que ce soit, vous devrez toujours installer / déployer le certificat racine sur tous vos clients, ce qui correspond à la situation dans laquelle vous seriez avec des certificats auto-signés ou des certificats émis par une autorité de certification interne.
La solution que je préfère (et utilise) est une autorité de certification interne et un déploiement de masse de son certificat racine sur toutes les machines du domaine. Le contrôle de l'autorité de certification que vous utilisez rend la gestion des certificats beaucoup plus facile que même via un site portail. Avec votre propre autorité de certification, vous pouvez généralement rédiger un script pour une demande de certificat et le problème de certificat correspondant afin que tous vos serveurs, sites et tout ce qui nécessite un certificat puissent l'obtenir automatiquement et être approuvé par vos clients presque immédiatement après avoir été placé dans votre environnement, avec aucun effort ou tâches manuelles par le service informatique.
Bien sûr, si vous n'êtes pas à la hauteur de la configuration et de l'automatisation de votre propre autorité de certification, l'utilisation d'une licence externe libre comme celle que vous avez mentionnée pourrait vous faciliter la vie, ne devant déployer qu'un seul certificat racine externe ... mais vous devriez probablement essayer de le faire correctement la première fois et configurer une autorité de certification interne pour votre domaine.
la source
Je suggérerais des certificats SSL gratuits de StartSSL, qui sont également reconnus par les navigateurs modernes. Je n'ai rien contre CACert, sauf qu'il ne faut rien d'autre qu'un compte pour émettre des certificats, et ces certificats ne sont reconnus par personne, sauf si vous installez manuellement le certificat racine.
Avis de non-responsabilité obligatoire car il s'agit d'une recommandation de produit: je ne suis en aucun cas affilié à StartSSL. Juste un client satisfait.
la source
Les certificats auto-signés entraîneront vos utilisateurs (et VOUS) à cliquer sur les avertissements habituellement, ce qui est une mauvaise habitude. Et si ce certificat auto-signé était remplacé par un certificat non autorisé? Vos utilisateurs le remarqueraient-ils ou cliqueraient-ils aveuglément sur une autre boîte de dialogue de sécurité?
la source