सवाल जब मैं स्थानीय रूप से उत्पन्न कर सकता हूं तो मुझे एसएसएल प्रमाणपत्र खरीदने की ज़रूरत क्यों है?


मुझे समझ में परेशानी हो रही है कि हमें एसएसएल प्रमाणपत्र क्यों खरीदना होगा जब हम उन्हें ओपनएसएसएल का उपयोग करके स्थानीय रूप से उत्पन्न कर सकते हैं। मैं जो सर्टिफिकेट खरीदता हूं और एक परीक्षण प्रमाणपत्र जो स्थानीय रूप से उत्पन्न होता है, के बीच क्या अंतर है? क्या यह सिर्फ एक बड़ा घोटाला है?


53
2018-04-29 11:48


मूल


के रूप में सीआईए ट्रायड सूचना सुरक्षा के लिए, स्वयं हस्ताक्षरित कैर्ट प्रदान करते हैं गोपनीयता तथा अखंडता (यानी, वे दो पक्षों के बीच एन्क्रिप्टेड संदेशों को अनुमति देते हैं), लेकिन एक विश्वसनीय स्रोत द्वारा हस्ताक्षरित केवल संकेत ही प्रदान करते हैं सत्यता (यानी, आपकी एन्क्रिप्टेड वार्तालाप में दूसरी पार्टी वास्तव में है जो आपको लगता है)। - apsillers
उम्मीद है कि, जब DNSSEC खेल में आता है, तो लोग अपना स्वयं का प्रमाणपत्र बना सकते हैं और इसे DNS रिकॉर्ड में संग्रहीत कर सकते हैं। ट्रस्ट की DNSSEC श्रृंखला तब साबित करने के लिए पर्याप्त होगी कि प्रमाणपत्र डोमेन के मालिक से संबंधित है। (मुझे नहीं लगता कि यह एक औपचारिक विनिर्देश है (अभी तक), लेकिन यह अच्छा होगा) - jackweirdy
आंतरिक उपयोग के लिए आप समूह नीति (विंडोज़ पर) का उपयोग कर प्रमाण पत्र को भरोसा कर सकते हैं। - Ben
मुझे अक्सर आश्चर्य होता है कि लोग मेरे खुद के मुद्रित धन को स्वीकार क्यों नहीं करते हैं;) - tgkprog
नोट: वहाँ हैं मुक्त बुनियादी प्रमाणपत्र प्रदाता (ओं)। इन लोगों द्वारा 90% लोगों की जरूरतों को पूरा किया जा सकता है। और कुछ सीए के पास बहुत कम लागत प्रमाणपत्र हैं, बैंक को तोड़ने का कोई कारण नहीं है, चाहे आपको क्या चाहिए। (पाठ्यक्रम के एक प्रतिनिधिमंडल से कम) - Chris S


जवाब:


एक शब्द - विश्वास। एक प्रदाता से एसएसएल प्रमाणपत्र जो आपके ब्राउजर ट्रस्ट का मतलब है कि उन्होंने कम से कम बुनियादी सत्यापन किया है ताकि आप कह सकें कि आप कौन हैं जो आप हैं।

अन्यथा मैं google.com या yourbank.com के लिए अपना प्रमाण पत्र बना सकता हूं और उन्हें होने का नाटक करता हूं।

भुगतान प्रमाण पत्र स्वयं हस्ताक्षरित (आमतौर पर) पर एन्क्रिप्शन का कोई अतिरिक्त स्तर प्रदान नहीं करते हैं। लेकिन एक स्वयं हस्ताक्षरित प्रमाण पत्र ब्राउज़र को एक त्रुटि फेंकने का कारण बन जाएगा।

हाँ एसएसएल के कुछ हिस्सों एक घोटाला है (एक Verisign प्रमाण पत्र बनाम एक geotrust जहां verisign 100x अधिक महंगा हैं) लेकिन यह सब नहीं।

यदि यह सभी आंतरिक सामान है, तो भुगतान प्रमाण पत्र की कोई आवश्यकता नहीं है क्योंकि आप अपने स्वयं के ट्रस्ट विधियों को नियोजित कर सकते हैं (उदाहरण के लिए कुछ भी नहीं, या शायद केवल फिंगरप्रिंट जांच)।


67
2018-04-29 12:05



यदि यह सभी आंतरिक सामान है तो आप समूह नीति का उपयोग करके अपने प्रमाणपत्र को विश्वसनीय के रूप में तैनात कर सकते हैं। - Ben
दूसरी तरफ, चालक हस्ताक्षर एक घोटाला है। इसके लिए क्या है, हाँ यह एक बड़ा ripoff है, लेकिन हमारे पास कोई विकल्प नहीं है। successfulsoftware.net/2008/02/27/... - Matt
@ मैट - मैंने पहले उस लेख को पढ़ लिया है; जब हम काम पर कोड हस्ताक्षर करने की सोच रहे थे। हमने केवल आत्म-हस्ताक्षर करने और हस्ताक्षरों की जांच करने के लिए लोगों को सलाह देने का फैसला किया। शुक्र है कि हमारे पास बहुत अधिक तकनीकी उपयोगकर्ता हैं (ज्यादातर)। - Mark Henderson♦
और स्वयं हस्ताक्षरित चेतावनी सभी ब्राउज़रों में चेतावनियां उत्पन्न करती हैं। जबकि प्रदाताओं से कर्ट सभी प्रमुख ब्राउज़रों द्वारा सत्यापित किए जा सकते हैं क्योंकि उनके पास बनाए गए प्रदाताओं की सार्वजनिक कुंजी है और आपके कर्ट को सत्यापित कर सकते हैं और पुष्टि कर सकते हैं कि वे वास्तव में प्रदाता द्वारा हस्ताक्षरित किए गए थे। - Matt


एसएसएल प्रमाण पत्र का पूरा बिंदु यह है कि एचटीटीपीएस लेनदेन के लिए सर्वर की सार्वजनिक कुंजी में ब्राउजर की उचित डिग्री है।

सबसे पहले, पता लगाएं कि क्या होगा यदि हमने प्रमाण पत्र का उपयोग नहीं किया था। इसके बजाए, सर्वर सादे टेक्स्ट में सार्वजनिक कुंजी भेज देगा और ब्राउजर इसका उपयोग करके एन्क्रिप्टेड संचार शुरू करेगा (पहली चीज यह होगी कि वह अपनी सार्वजनिक कुंजी एन्क्रिप्ट करे और सुरक्षित रूप से इसे भेज दे)। क्या होगा यदि मैं, और हमलावर, बीच में खुद को wedged? मैं आपकी सार्वजनिक कुंजी को मेरे साथ फ्लाई पर बदल सकता हूं, ब्राउजर के साथ एन्क्रिप्टेड कनेक्शन कर सकता हूं, मुझे प्राप्त होने वाली सभी चीजें डिक्रिप्ट कर सकता है, इसे अपनी सार्वजनिक कुंजी से एन्क्रिप्ट कर सकता है, और इसे भेज सकता है (और इसके विपरीत प्रतिक्रिया-प्रकार यातायात के लिए)। कोई भी पार्टी अंतर को ध्यान में रखेगी, क्योंकि कोई भी सार्वजनिक कुंजी पहले से नहीं जानता था।

ठीक है, इसलिए हमने स्थापित किया है कि ब्राउज़र को मेरी सार्वजनिक कुंजी पर भरोसा करने के लिए हमें कुछ तरीकों की आवश्यकता है। ऐसा करने का एक तरीका ब्राउज़र में सभी पंजीकृत सार्वजनिक कुंजी स्टोर करना होगा। बेशक, जब भी कोई सार्वजनिक कुंजी पंजीकृत करता है, तो उसे अपडेट की आवश्यकता होगी, और इससे सूजन हो जाएगी। कोई भी सार्वजनिक कुंजी को DNS सर्वर के हाथों में रख सकता है1, लेकिन DNS सर्वर को भी धोखा दिया जा सकता है और DNS एक सुरक्षित प्रोटोकॉल नहीं है।

इसलिए एकमात्र विकल्प एक हस्ताक्षर तंत्र के माध्यम से "चेन" ट्रस्ट को छोड़ दिया गया है। ब्राउज़र कुछ सीए के विवरण संग्रहीत करता है, और आपका प्रमाणपत्र अन्य प्रमाणपत्रों की एक श्रृंखला के साथ भेजा जाएगा, प्रत्येक व्यक्ति अगले पर हस्ताक्षर करेगा और रूट / विश्वसनीय / निर्मित सीए में जा रहा है। यह सुनिश्चित करने के लिए सीए का काम है कि आपके लिए प्रमाणपत्र हस्ताक्षर करने से पहले डोमेन आपके पास है।

चूंकि सीए एक व्यवसाय है, इसलिए वे इसके लिए चार्ज करते हैं। दूसरों की तुलना में कुछ और।


यदि आपने अपना प्रमाणपत्र बनाया है, तो आपको एक त्रुटि मिल जाएगी:

enter link description here

एक हस्ताक्षरित प्रमाणपत्र के लिए कोई मूल्य नहीं है। यह एक पेंसिल और एक पुस्तिका लेना है, एक पासपोर्ट एक ड्राइंग जो दावा करता है कि आप बराक ओबामा हैं। कोई भी इस पर भरोसा नहीं करेगा।

1. आखिरकार, जब आप कोई डोमेन पंजीकृत करते हैं तो आपकी DNS प्रविष्टि बनाई जाती है। एक अधिक मजबूत प्रोटोकॉल का उपयोग करना जो आपको एक साथ सार्वजनिक कुंजी पंजीकृत करने की सुविधा देता है, एक दिलचस्प अवधारणा होगी।


23
2018-04-29 22:12



आप अपने एसएसएल प्रमाण पत्र के लिए DNSSEC स्टेपलिंग का भी उपयोग कर सकते हैं, इसलिए प्रमाण पत्र एक अन्य प्रमाणीकरण प्राधिकारी के बजाय आईसीएएनएन से सीए के रूप में प्राप्त होता है। वर्तमान ब्राउज़र में से कोई भी इसका समर्थन नहीं करता है, हालांकि क्रोम का उपयोग किया जाता था। - Richard Gadsden


आपके प्रश्न का उत्तर आपके दर्शकों पर निर्भर करता है: चूंकि प्रमाण पत्र की पूरी प्रणाली "ट्रस्ट" पर आधारित है, इसलिए आपके उपयोगकर्ताओं के पास अपने प्रमाणपत्रों को प्रमाणित करने की उपलब्धता होनी चाहिए या किसी तीसरे पक्ष पर भरोसा करना चाहिए जिसने यह चेक किया है और आपके प्रमाणपत्र पर हस्ताक्षर करके सफलता दिखाता है। "आपके प्रमाण पत्र प्रमाणित करने के लिए" शब्द का उपयोग थोड़ा गलत है: लंबा संस्करण होना चाहिए: "यह प्रमाणित करने के लिए कि आप प्रमाण पत्र के स्वामी हैं और इसका उपयोग करने की अनुमति है"।

यदि आपके सभी उपयोगकर्ता आपको व्यक्तिगत रूप से जानते हैं और आपके पास यह प्रमाणित करने की तकनीकी क्षमता है कि आपका प्रमाणपत्र स्वयं द्वारा जारी किया गया है, तो "प्रमाणित" प्रदाता से प्रमाणपत्र का उपयोग करने की कोई तकनीकी आवश्यकता नहीं है। इस मामले में, स्वयं-हस्ताक्षरित प्रमाण पत्र वहां प्रदाताओं में से एक से भी बेहतर हो सकता है।

लेकिन ज्यादातर मामलों में, उपयोगकर्ताओं को इस प्रक्रिया को स्वयं करने की कोई संभावना नहीं है। यहां, वे एसएसएल प्रदाता बाजार में आते हैं। वे इन चेकों को करने के लिए सेवा प्रदान करते हैं और प्रमाण पत्र पर हस्ताक्षर करके चेक का परिणाम व्यक्त करते हैं। लेकिन ध्यान में रखना एक महत्वपूर्ण तथ्य यह है कि: एक प्रमाणपत्र पर हस्ताक्षर करके, एक एसएसएल-प्रदाता व्यक्त करता है कि उसने प्रमाण पत्र जारीकर्ता की पहचान अपनी स्वयं की हस्ताक्षर नीति के अनुसार की है। इसलिए उपयोगकर्ता को यह तय करना है कि क्या यह नीति पर्याप्त सटीक है और यदि वह प्रदाता पर भरोसा कर सकता है।


5
2018-04-29 17:55





मुख्य बिंदु यह है कि, अगर प्रमाण स्वयं उत्पन्न होता है, तो आम उपयोगकर्ताओं के पास इसकी सच्चाई को सत्यापित करने का कोई तरीका नहीं है। खरीदे गए प्रमाण के लिए, वे कम से कम सत्यापित करते हैं कि प्रमाण पत्र के अंदर प्रिंट क्या सही है। आइडिया: यदि आप अपने फोन और पते को प्रमाण में डालते हैं, तो सीए इसे सत्यापित करने का अनुमान लगाता है, लेकिन वे शायद ही कभी करते हैं।

अतिरिक्त में, खरीद प्रमाण पत्र पता लगाने योग्य हैं, इसका मतलब है कि वे उपयोगकर्ता हमेशा पता लगा सकते हैं कि प्रमाणपत्र कहां से आया है, जबकि एक स्व-हस्ताक्षरित प्रमाणपत्र केवल एक यादृच्छिक पहचान है।

कई प्रणालियों के लिए, अतीत में अधिकृत सीए से "कोड-हस्ताक्षर" की आवश्यकता होती है, जो पॉलिसी संचालित होती है, लेकिन चूंकि स्व-हस्ताक्षरित प्रमाणपत्र इतने असंख्य हैं, अब यह अब 100% लागू नहीं है।


4
2018-04-29 12:05





कोई तकनीकी अंतर नहीं है (आपके स्वयं कम सुरक्षित नहीं हैं) केवल एक संगठनात्मक एक: आपका सीए का प्रमाणपत्र ब्राउज़र मानक स्थापना का हिस्सा नहीं है। इससे अधिकांश लोगों को आपके प्रमाण पत्र से कनेक्ट होने में असहज हो जाता है। लेकिन किसी आंतरिक नेटवर्क के लिए प्रमाण पत्र खरीदने का अर्थ नहीं होगा।


3
2018-04-29 12:05





यह विश्वास करने के लिए नीचे आता है। एक "प्रमाणित" एसएसएल प्रदाता माना जाता है कि यह सर्वर से स्वयं से हस्ताक्षरित प्रमाण बनाम माना जाता है (हालांकि इसे छेड़छाड़ किया जा सकता है)।

अगर आपके संगठन का अपना प्रमाणपत्र हस्ताक्षर है तो यह पूरी तरह से स्वीकार्य है और उपयोगकर्ताओं के लिए कोई चेतावनी नहीं देनी चाहिए (यह प्रदान करना कि वे आपके प्रमाण पत्र की एक विश्वसनीय स्रोत के रूप में उपयोग कर रहे हैं) लेकिन यदि आप इसे बाहरी रूप से उपयोग करने का प्रयास करते हैं तो भी एक चेतावनी बनायेगी।

निचली पंक्ति: आंतरिक उपयोग के लिए यह ठीक है, अगर आप इसे भुगतान करने वाले ग्राहक को बाहरी रूप से प्रदान कर रहे हैं, तो कोई चेतावनी नहीं है। क्या आप अपने वित्तीय लेन-देन को एक मान्यता प्राप्त स्रोत के माध्यम से जा रहे हैं, या सड़क पर खड़े कुछ लड़के को सुरक्षित महसूस करना आपको वास्तव में पता नहीं है?


3
2018-04-29 12:12





हाल ही में, LetsEncrypt ने वैध प्रमाणपत्र उत्पन्न करने के लिए अपने कमांड लाइन टूल्स की उपलब्धता की घोषणा की है।

कोई सत्यापन ईमेल नहीं, कोई जटिल कॉन्फ़िगरेशन संपादन नहीं, आपकी वेबसाइट को तोड़ने वाला कोई समय समाप्त प्रमाणपत्र नहीं है। और निश्चित रूप से, क्योंकि लेट्स एन्क्रिप्ट मुफ्त में प्रमाणपत्र प्रदान करता है, भुगतान की व्यवस्था करने की कोई आवश्यकता नहीं है।

उन लोगों के लिए सोच रहा है कि क्या वे प्रमाणपत्र प्रमुख ब्राउज़र में मान्य हैं, तो उत्तर हाँ है:

1 9 अक्टूबर, 2015 को, इंटरमीडिएट सर्टिफिकेट इडेनट्रस्ट द्वारा क्रॉस-हस्ताक्षरित हो गए, जिससे लेट्स एन्क्रिप्ट द्वारा जारी किए गए सभी प्रमाणपत्र सभी प्रमुख ब्राउज़रों द्वारा भरोसा किया जा सके। [20]

..... 8 मार्च, 2016 को, चलो एन्क्रिप्ट ने सात महीने के अस्तित्व के बाद अपना दसवां प्रमाणपत्र जारी किया। [3 9]

12 अप्रैल, 2016 को, चलो बाएं बीटा एन्क्रिप्ट करें।

सिस्टम व्यवस्थापक और डेवलपर्स के लिए लिंक: https://letsencrypt.org/getting-started/

ब्लॉकचेन प्रौद्योगिकी की उम्र और तीसरे पक्ष के ट्रस्ट सिस्टम को खत्म करने में, कुछ समय के लिए कुछ चुने गए अधिकारियों द्वारा महंगे प्रमाण पत्र जारी करने पर सवाल उठाना शुरू हो गया था।

हालांकि Letsencrypt के पास ब्लॉकचेन प्रौद्योगिकी के साथ कुछ लेना देना नहीं है, यह सही दिशा में एक शुरुआत है। एक महंगी प्रमाणपत्र प्राधिकरण को प्रति वर्ष एक उच्च शुल्क का भुगतान करने की आवश्यकता उम्मीद है कि यह तार्किक अंत में आ रहा है।


3
2018-04-21 13:36





सीधे शब्दों में कहें, एक स्व-हस्ताक्षरित SSL प्रमाणपत्र का कोई मतलब नहीं है। इसका बाहरी दुनिया का कोई महत्व नहीं है। यह कह रहा है "मैं स्पेन का मालिक हूं"। आप ईमानदारी से सोच सकते हैं कि आप करते हैं, लेकिन कोई भी आपके दावे को पहचानने वाला नहीं है।

एक समान सादृश्य कुछ खोजा जाएगा और फिर दावा करेगा कि आप आविष्कार के अधिकारों का स्वामी हैं, लेकिन जब तक आप कार्यालय में पेटेंट पंजीकृत नहीं करते हैं, तो इसके लिए अपना शब्द लेना मुश्किल होगा, है ना?


प्रमाण पत्र का पूरा बिंदु यह है कि यह एक प्राधिकरण लोगों द्वारा भरोसा किया जाता है। अगर कुछ वेबसाइट पर एक वैध एसएसएल प्रमाण पत्र है, तो इसका मतलब है कि मालिक अपनी वेबसाइट पंजीकृत करने, एसएसएल प्रमाण पत्र के लिए भुगतान करने, और कुछ वास्तविक दुनिया प्रमाण पत्र प्राधिकरण से आधिकारिक प्रमाणीकरण प्राप्त करने की परेशानी के लिए चला गया है, इसलिए यह संभवतः एक सस्ती फ़िशिंग वेबसाइट नहीं है। दूसरी तरफ, यदि आप स्वयं हस्ताक्षरित प्रमाणपत्रों पर भरोसा करते हैं, तो फ़िशिंग वेबसाइट केवल अपने जाली प्रमाण पत्र (जिसे आप खुशी से स्वीकार करेंगे) और वॉयला उत्पन्न कर सकते हैं।

बेशक, यदि यह एक निजी इंट्रानेट पर एक आंतरिक नेटवर्क है, तो आप शायद पहले से ही एक दूसरे पर भरोसा करते हैं, इसलिए इस मामले में एक आधिकारिक प्रमाणपत्र वास्तव में कुछ भी नहीं जोड़ता है, ताकि आप अपने ब्राउज़र को उज्ज्वल लाल रोशनी को सुरक्षित रूप से अनदेखा कर सकें । छोटी वेबसाइटों के लिए वही है जहां आप अभी भी क्लाइंट-सर्वर यातायात को एन्क्रिप्ट करना चाहते हैं लेकिन आपका खतरा मॉडल मजबूत प्रमाणीकरण के लिए वारंट नहीं करता है, इस मामले में आप स्वयं हस्ताक्षरित प्रमाणपत्र के साथ प्राप्त कर सकते हैं और (आपके खतरे के मॉडल द्वारा नगण्य) स्वीकार कर सकते हैं। एक एमआईटीएम का खतरा।

जो संभवतः संतोषजनक है कि विश्वसनीय एसएसएल प्रमाण पत्र कितने महंगा हो सकते हैं।


दूसरे शब्दों में, एक स्व-हस्ताक्षरित प्रमाणपत्र कहता है "मैं प्रमाणित करता हूं कि मैं हूं - मुझ पर विश्वास करो! "।


2
2018-04-29 14:56



यह सही है, लेकिन यह अभी भी ध्यान देने योग्य है पेड-प्रमाणपत्र केवल प्रमाण हैं कि किसी को प्रमाण पत्र में पैसे देने की परेशानी होती है। Verisign / Namecheap / Whatever-CA के दूसरी तरफ बिक्री वाले लोग hostmaster@example.org पर केवल एक प्रमाणपत्र भेजने के अलावा कुछ भी नहीं करने जा रहे हैं (उदाहरण के लिए वे एक exqmple.org संभावित फ़िशिंग साइट पर भेजेंगे) । - 89c3b1b8-b1ae-11e6-b842-48d705
@tristan काफी सच है, वे इस तरह की चीज के लिए बेहतर औपचारिक प्रक्रियाओं का उपयोग कर सकते हैं, लेकिन मुझे लगता है कि सैन्य आवश्यकताओं को अनुचित होगा। - Thomas
@tristan - यह एक अपूर्ण प्रणाली है, लेकिन प्रमाण प्राधिकरणों को भरोसेमंद होने के लिए कुछ प्रोत्साहन है। उदाहरण के लिए यदि उन्होंने एक यादृच्छिक व्यक्ति को Google प्रमाण दिया है, तो उन्हें कम क्रम में सभी ब्राउज़रों से निकाल दिया जाएगा। वे "विस्तारित सत्यापन" कर्ट भी प्रदान करते हैं, जो सिद्धांत रूप में, इसका अर्थ है कि वे अधिक जांच करते हैं। उनमें से कोई भी निर्णय ले सकता है कि इसमें व्यक्तिगत रूप से डीएनए परीक्षण की आवश्यकता होती है अगर उन्हें लगता है कि यह उनकी प्रतिष्ठा को मजबूत करेगा और उन्हें व्यवसाय कमाएगा। - Nathan Long
@NathanLong यह कुछ बेईमान चैप को 'Google प्रमाण' देने के बारे में नहीं है, यह भी है कि यहां तक ​​कि ईवी प्रमाण अभी भी एक "कोई इस डोमेन से ई-मेल का जवाब दे सकता है" चेक। वैसे भी, हम एक ही बिंदु पर घूम रहे हैं: ए) उपयोगकर्ताओं को अभी भी payqal.com पर पैसे न देने के बारे में जानने की जरूरत है, बी) एसएसएल के लिए लागत बाधा कुछ स्कैमर के लिए इसके लायक नहीं है, सी) भुगतान किए गए संकेतों का मतलब है कि यह है अधिक संभावना कि एक साइट डीएनएस लुकअप होने की संभावना है, और डी) यह परिदृश्य में बीज मूल्य प्रदान करने का एक उचित दृष्टिकोण है "इस सर्वर का स्वामित्व पिछली बार आपके द्वारा चेक किए गए समय के समान / अलग लोगों के स्वामित्व में है" - 89c3b1b8-b1ae-11e6-b842-48d705
ट्रिस्टन, जो लागत का हिस्सा है। बहुत सस्ती चेतावनी बहुत सस्ती सत्यापन करते हैं। बहुत महंगे कॉर्ट (एंटरप्राइज़ स्तर) बहुत महंगा सत्यापन कर सकते हैं। (हालांकि कीमत का कोई प्रत्यक्ष संकेत नहीं है कि सत्यापन का काम कितना अच्छा था) कुछ कर्ट्स आप की कौन सी हैं, इसकी पूरी गारंटी देते हैं, लेकिन अधिकांश गारंटी देते हैं कि आपके पास जारी किए गए डोमेन पर कुछ प्रकार का नियंत्रण है .. ।