직장에서 일반 http 또는 자체 서명 된 인증서 (로드 밸런서 관리 인터페이스, 내부 위키, 선인장 등)를 사용하는 많은 웹 인터페이스가 있습니다.
특정 VLAN / 네트워크 외부에서는 연결할 수 없습니다.
가정용으로는 cacert SSL 인증서를 사용 합니다.
고용주가 자체 서명 인증서 및 일반 http 대신 cacert SSL 인증서를 사용하도록 제안해야하는지 궁금합니다. 프로덕션에서 cacert ssl을 사용하는 사람이 있습니까? 장단점은 무엇입니까? 보안이 향상됩니까? 관리하기가 더 쉽습니까? 예상치 못한 일이 있습니까? Qualys 스캔에 영향을 줄 수 있습니까? 어떻게 설득 할 수 있습니까?
물론 공개 웹 사이트의 유료 인증서는 변경되지 않습니다.
편집하다 :
(호기심이 많음) 회사의 무료 SSL 인증서는 클래스 3이 아닌 것 같습니다. 나는 여권을 제시하고 물리적으로 cacerts에서 클래스 3을 받기 위해 참석해야했습니다. 각 클래스 1의 브라우저에 경고가 없습니까?
이 서명 자신과 일반 HTTP 및 사용하는 것보다 더 나은가요 : 어쨌든, 나는 어떤 무료 CA에 대한 같은 질문했을 왜 ?
서버 측의 관리 편의성을 위해 할 것입니다. 내가 놓친 게 있습니까?
면책 조항 : 저는 cacert 협회 회원 이 아니며 Assurer 조차도 평범한 행복한 사용자입니다.
답변
CACert와 같은 무료 인증서를 사용하는 데 아무런 문제가 없지만 그렇게하면 아무것도 얻지 못할 것이라고 조언합니다.
기본적으로 신뢰할 수있는 것은 아니지만 모든 클라이언트에 루트 인증서를 설치 / 배포해야합니다. 이는 내부 CA에서 발급 한 자체 서명 인증서 또는 인증서와 동일한 상황입니다.
내가 선호하고 사용하는 솔루션은 내부 인증 기관과 루트 인증서를 모든 도메인 컴퓨터에 대량 배포하는 것입니다. 사용하는 인증 기관을 제어하면 포털 사이트를 통하는 것보다 인증서 관리가 훨씬 쉬워집니다. 자체 CA를 사용하면 일반적으로 인증서 요청 및 해당 인증서 문제를 스크립팅하여 인증서가 필요한 모든 서버, 사이트 및 모든 항목이 환경에 배치 된 후 거의 즉시 클라이언트가 인증서를 가져오고 신뢰할 수 있도록 할 수 있습니다. IT의 노력이나 수동 작업이 없습니다.
물론, 자신의 CA를 설정하고 자동화하는 작업에 의존하지 않는다면 언급 한 것과 같은 외부 무료 인증서를 사용하면 인생을 조금 더 쉽게 만들 수 있지만 외부 루트 인증서 하나만 배포하면됩니다. 처음에 올바르게 시도하고 도메인에 내부 CA를 설정해야합니다.
답변
최신 브라우저에서도 인식되는 StartSSL의 무료 SSL 인증서를 제안합니다. CACert에 대해 인증서를 발급하는 데만 계정이 필요하다는 점을 제외하고는 아무것도 없으며, 루트 인증서를 수동으로 설치하지 않으면 해당 인증서를 다른 사람이 인식하지 못합니다.
이것은 제품 권장 사항이므로 의무 면책 조항입니다. 나는 어떤 방식 으로든 StartSSL과 관련이 없습니다. 행복한 고객입니다.
답변
자체 서명 된 일반 http를 사용하는 것보다 낫습니까? 왜 그렇습니까?
자체 서명 된 인증서는 사용자 (및 귀하)가 경고를 습관적으로 클릭하도록 훈련 시키며 이는 나쁜 습관입니다. 자체 서명 된 인증서가 불량 인증서로 교체되면 어떻게됩니까? 사용자가 또 다른 보안 대화 상자를 맹목적으로 클릭하거나 맹목적으로 클릭합니까?