Czy domyślne certyfikaty SSL węży olejowych naprawdę są olejkami węży, a nie prawdziwymi certyfikatami uczciwości? [Zamknięte]

SSL domyślnie generuje samopodpisane certyfikaty „oleju węża”, na przykład o /etc/ssl/certs/ssl-cert-snakeoil.pem. Według Wikipedii olej z węża jest metodą kryptograficzną lub produktem, który jest uważany za fałszywy lub fałszywy. Czy jest coś fałszywego w tych certyfikatach? Jasne, że nie są podpisane przez żaden znany urząd certyfikacji, ale same certyfikaty mogą być autentycznymi certyfikatami tak dobrze jak każdy inny. Na przykład, mogę osobiście bezpiecznie dystrybuować klucz publiczny mojego serwera do wszystkich moich klientów. Zakładając to, czy jest coś wartego wygenerowania certyfikatów wężem-olejem, czy też nazwa ta wprowadza w błąd?

Remeber SSL pełni dwie bardzo ważne funkcje

1. Bezpieczna komunikacja
2. Zaufanie

Każdy samodzielnie wygenerowany certyfikat SSL daje 1. zezwolenie na szyfrowanie ruchu lub, jak mówisz, ważny certyfikat SSL.

Jednak samodzielnie wygenerowany certyfikat SSL może dać zaufanie tylko osobom, które ci ufają. Powodem generowania certyfikatów SSL przez zaufane strony trzecie jest podanie numeru 2. Twoja przeglądarka ufa im i ufają tobie. Jeśli wygenerujesz go samodzielnie, możesz twierdzić, że jest to www.microsoft.com, a jeśli ktoś ci zaufa, to tak właśnie będzie.

Również, jak wskazano w komentarzach, dlatego nie należy ufać komuś samopodpisanego certyfikatu dla jego serwera, ponieważ wtedy Twoja przeglądarka najwyraźniej ufa przyszłym certyfikatom podpisanym przez ten sam serwer.

Dlatego właśnie generowane są certyfikaty olejków wężowych.

Aktualizacja: usługa LetsEncrypt w połączeniu z nowoczesnym serwerem internetowym, takim jak Caddy, sprawia, że ​​prawie wszystkie trudności z uzyskaniem i użyciem certyfikatów TLS, więc nie ma już potrzeby posiadania certyfikatów oleju węża!

Certyfikaty z podpisem własnym szyfrują komunikację tak samo jak standardowe. Więc szyfrowanie nie jest problemem.

Certyfikaty można również wykorzystać do weryfikacji tożsamości. To, jak powinno działać, polega na tym, że gdy łączysz się bezpiecznie z serwerem, serwer ten przedstawia ci certyfikat lub twoją przeglądarkę, a następnie ty lub twoja przeglądarka decyduje, czy możesz zaufać potwierdzeniu tożsamości serwera.

Certyfikaty mogą być podpisywane przez inne certyfikaty „wyższego poziomu”, zwykle nazywane urzędami certyfikacji. Tak więc, jeśli certyfikat serwera jest podpisany przez urząd certyfikacji, któremu ufa ty lub twoja przeglądarka, tożsamość zostanie uznana za ważną.

Większość głównych przeglądarek ma wiele certyfikatów głównych, którym ufają automatycznie, od Verisign i innych znanych urzędów certyfikacji.

W przypadku certyfikatu z podpisem własnym, ponieważ nie jest on podpisany przez inny urząd certyfikacji, ale przez ten sam podmiot, który utworzył certyfikat, nie można polegać na kimkolwiek innym, kto może zweryfikować tożsamość, z wyjątkiem tego, kto wygenerował certyfikat. Odpowiada to osobie drukującej własny dowód osobisty i przekazującej go w celu weryfikacji tożsamości. Nie jest to koniecznie problemem, pomimo ostrzeżeń przeglądarki, jeśli wiesz / ufasz, kto wygenerował certyfikat lub zrobił to sam.

Wikipedia mówi również: „Olej z węża to wyrażenie, które pierwotnie odnosiło się do fałszywych produktów zdrowotnych lub niesprawdzonych leków, ale zaczęło odnosić się do każdego produktu o wątpliwej lub niemożliwej do zweryfikowania jakości lub korzyści”.

W tym kontekście ważna jest niesprawdzalna jakość. Jeśli przeglądasz witrynę SSL, która nie ma łańcucha certyfikatów, do zaufanego urzędu certyfikacji, nie możesz polegać na protokole SSL w celu sprawdzenia, czy witryna jest własnością i jest zarządzana przez osobę lub organizację, która jest właścicielem domeny (jak pokazano w Twojej pasek adresu przeglądarki).

Nowoczesne przeglądarki internetowe wyświetlają ostrzeżenie o bezpieczeństwie podczas przeglądania stron z samopodpisanymi certyfikatami („olejek węża”), ponieważ brakuje im zaufanego łańcucha certyfikatów. Może to być denerwujące na przykład w prywatnym intranecie, ale w pewien sposób chroni ludzi przed wprowadzaniem prywatnych danych i informacji o płatnościach do witryn phishingowych.