在工作中,我有一堆使用纯 http 或自签名证书的 Web 界面(负载均衡器管理界面、内部 wiki、cacti 等)。
无法从特定 VLAN/网络外部访问。
对于家庭使用,我使用卡塞特SSL 证书。
我想知道我是否应该建议我的雇主使用 cacert SSL 证书而不是自签名证书和纯 http。有人在生产中使用 cacert ssl 吗?优点/缺点是什么?它能提高安全性吗?它更容易管理吗?有什么意外吗?它会影响 qualys 扫描吗?我该如何说服他们?
当然,公共网站的付费证书将保持不变。
编辑 :
(只是好奇)公司提供的免费 SSL 证书似乎不是 3 类。我必须出示护照并亲自到场才能从 cacerts 获取 3 类证书。浏览器中不是针对每个 1 类证书发出警告吗?
无论如何,我对任何免费 CA 都有同样的疑问:它是否比使用自签名和纯 http 更好,以及为什么?
我会这样做,以便于管理服务器端。我遗漏了什么吗?
免责声明: 我不是一个cacert 协会会员,甚至不是保证人,只是一个普通的快乐用户。
答案1
我的建议是,虽然使用免费证书(例如 CACert 颁发的证书)没有错,但这样做可能也不会带来任何好处。
由于它们默认不受任何东西信任,您仍然需要为所有客户端安装/部署根证书,这与使用自签名证书或内部 CA 颁发的证书的情况相同。
我更喜欢(并使用)的解决方案是内部证书颁发机构,并将其根证书大规模部署到所有域计算机。控制您使用的证书颁发机构使证书管理比通过门户网站更容易。使用您自己的 CA,您通常可以编写证书请求和相应的证书颁发脚本,以便您的所有服务器、站点和任何需要证书的东西都可以自动获取证书,并且在放入您的环境后几乎立即受到您的客户的信任,而无需 IT 部门的任何努力或手动任务。
当然,如果您不具备设置和自动化自己的 CA 的能力,那么使用像您提到的外部免费 CA 可以让您的生活变得更轻松一些,只需要部署一个外部根证书……但您可能应该尝试第一次就做对,并为您的域设置一个内部 CA。
答案2
我建议使用 StartSSL 的免费 SSL 证书,这些证书也能被现代浏览器识别。我对 CACert 没有任何意见,只是它不需要任何东西,只需要一个帐户就可以颁发证书,而且除非你手动安装根证书,否则任何人都无法识别这些证书。
由于这是产品推荐,因此必须声明:我与 StartSSL 没有任何关系。我只是一名满意的客户。
答案3
它比使用自签名和普通的 http 更好吗?为什么?
自签名证书会让您的用户(和您)养成习惯性地点击警告,这是一种坏习惯。如果该自签名证书被恶意证书替换会怎样?您的用户会注意到吗,还是会盲目地点击另一个安全对话框?