it-swarm.com.de

Wäre die Verwendung eines selbstsignierten SSL-Zertifikats in diesem Szenario angemessen?

Jetzt ist mir klar, dass dieses Thema bereits in einigen Fragen besprochen wurde (speziell diese ), aber ich bin immer noch ein wenig verwirrt über die Auswirkungen der Verwendung eines selbstsignierten Zertifikats und wie ich wäre in diesem Fall betroffen. Nachdem ich verschiedene Quellen gelesen habe, bin ich immer noch ein wenig verwirrt über die genauen Details der Verwendung einer.

Das größte Problem mit einem selbstsignierten Zertifikat ist ein Man-in-the-Middle-Angriff. Selbst wenn Sie sich zu 100% sicher sind, dass Sie sich auf der richtigen Website befinden und der Website (beispielsweise Ihrem E-Mail-Server) voll und ganz vertrauen, können Sie die Verbindung abfangen und ein selbstsigniertes Zertifikat vorlegen. Sie denken, dass Sie eine sichere Verbindung mit Ihrem E-Mail-Server verwenden, aber Sie verwenden wirklich eine sichere Verbindung mit dem E-Mail-Server eines Angreifers. - SSL-Shopper

So könnte jemand mein selbstsigniertes Zertifikat mit seinem eigenen austauschen, und ich könnte es nicht erkennen? So wie diese Site es formuliert, klingt es schlimmer, ein selbstsigniertes Zertifikat zu installieren, als Ihre Site ohne Zertifikat zu verlassen.

Selbstsignierte Zertifikate können (von Natur aus) nicht widerrufen werden. Dadurch kann ein Angreifer, der bereits Zugriff auf das Überwachen und Einfügen von Daten in eine Verbindung erhalten hat, eine Identität fälschen, wenn ein privater Schlüssel kompromittiert wurde. Zertifizierungsstellen haben andererseits die Möglichkeit, ein gefährdetes Zertifikat zu widerrufen, wenn sie benachrichtigt werden, wodurch dessen weitere Verwendung verhindert wird. - Wikipedia

Bedeutet dies, dass jemand nur dann sein eigenes Zertifikat für mich austauschen kann, wenn er den privaten Schlüssel herausfindet? Ich nehme an, dies ist sicherer, aber ich bin immer noch ein wenig verwirrt darüber, was genau aus der Verwendung eines selbstsignierten Zertifikats resultiert. Ist dies das einzige Problem, das in Ihrem Browser als unangenehme Sicherheitswarnung auftaucht, wenn Sie auf die Website verwiesen werden, oder gibt es mehr?


In meinem Fall möchte ich jetzt ein SSL-Zertifikat zu einem winzigen Wordpress Blog hinzufügen, von dem ich erwarte, dass es in Kürze von niemand anderem gelesen wird. Ich habe hauptsächlich damit begonnen, mich an das Bloggen zu gewöhnen und mehr über den Verwaltungsprozess einer Website zu erfahren (z. B. was in Situationen wie dieser zu tun ist). Immer wenn ich auf die Anmeldeseite gehe und ein HTTP:// anstelle von HTTPS:// erscheint, erschaudere ich ein wenig. Das Senden meines Passworts fühlt sich an, als würde ich mein Passwort laut rufen, während Hunderte von Menschen zuhören.

Ich habe nicht vor, der Site weitere Autoren hinzuzufügen, daher bin ich die einzige Person, die sich jemals anmelden müsste. Dies ist keine Site, von der ich Seitenaufrufe abrufen möchte, oder eine Site, die E-Commerce oder andere vertrauliche Informationen wie diese verarbeitet, sondern lediglich mein Benutzername und Passwort, mit denen ich mich anmelden möchte. Eine der Bedenken (die ich bisher gesammelt habe) in Bezug auf ein selbstsigniertes Zertifikat ist, dass nichttechnische Benutzer durch die Sicherheitswarnung möglicherweise Angst haben, aber dies ist in meinem Fall kein Problem.

TL; DR : Wenn es kein Problem ist, Besucher zu verscheuchen (was in meinem Fall nicht der Fall ist), ist es akzeptabel, einen Selbstauslöser zu verwenden. signiertes Zertifikat zum Verschlüsseln des Kennworts meines Blogs Wordpress oder gibt es zusätzliche Sicherheitsprobleme, auf die ich achten sollte? Im Wesentlichen frage ich mich, ob das Hinzufügen eines selbstsignierten Zertifikats sicherer ist, als meine Anmeldeseite so zu belassen, wie sie jetzt ist, oder ob es potenziell mehr Sicherheitslücken gibt als Sans-SSL.

4
Kevin Yap

Sie können ein selbstsigniertes Zertifikat verwenden. Aus Sicht Ihres Browsers besteht der einzige Unterschied zwischen einem selbstsignierten Zertifikat und dem CA-signierten Zertifikat darin, dass Ihr Browser dem selbstsignierten Zertifikat nicht implizit vertraut, daher die Popup-Warnung.

Während der Man-in-the-Middle-Angriff ein durchaus berechtigtes Anliegen ist, ist die Qualität der tatsächlichen Sitzung und die Datenverschlüsselung nicht anders, wenn diesem Zertifikat dauerhaft oder vorübergehend pro Sitzung vertraut wird.

Wenn Sie in Ihrem Blog etwas verkaufen und Kreditkartenzahlungen akzeptieren, wird ein selbstsigniertes Zertifikat als unzureichend angesehen. Wenn Sie einfach eine Anmeldeseite verschlüsseln, die nur Sie sehen und verwenden sollen, ist Selbstsignierung in Ordnung. Wenn Sie sie jedoch generieren, setzen Sie die Schlüsselgröße auf etwas über 1024 Bit und verwenden Sie SHA über MD5, wenn Sie können.

Abgesehen davon gibt es eine Zertifizierungsstelle, die kostenlose, von der Zertifizierungsstelle signierte Zertifikate mit dem Namen StartCom ausstellt, und es gibt auch viele kostengünstige Anbieter.

3
mahnsc

ist es akzeptabel, ein selbstsigniertes Zertifikat zu verwenden, um das Passwort meines Wordpress Blogs zu verschlüsseln?

Ja. Eine gewisse Sicherheit ist besser als keine Sicherheit

"Man-in-the-Middle" kann leicht mit offenen Augen vermieden werden - überprüfen Sie die SHA-Prüfsumme des vorgelegten Zertifikats, z.

In der besten Form können Sie eine eigene Zertifizierungsstelle erstellen, ein rootCA-Zertifikat und ein Serverzertifikat ausstellen und eine vollständige vertrauenswürdige Kette (nur von Ihnen) haben. Versuchen Sie, ssl-ca bundle (c) 2000 Yeak Nai Siew im Netz zu finden

0
Lazy Badger