it-swarm.com.de

Wird die Verschlüsselung weiterhin angewendet, wenn Sie die Warnung zum SSL-Zertifikat für selbstsignierte Zertifikate ignorieren?

Würde die Kommunikation mit Geräten mit selbstsignierten Zertifikaten weiterhin verschlüsselt, wenn Sie die Warnung ignorieren und fortfahren, ohne das Zertifikat zu installieren? Müssen Sie es installieren, um die Verschlüsselung sicherzustellen, oder wird es standardmäßig verschlüsselt, wenn der Benutzer die Warnung ignoriert und fortfährt?

Ich verstehe, dass der Integritätsteil oder die Validierung des Servers oder Geräts durch eine Zertifizierungsstelle nicht angewendet wird, sondern nur wissen wollte, ob der Verschlüsselungsteil angewendet wird, wenn wir die Browserwarnung ignorieren und fortfahren.

Wenn eine Installation erforderlich ist, wird in einer Umgebung, in der Sie sich nur von einem internen Netzwerk über https usw. bei einem internen Asset anmelden, beispielsweise einem internen Portal, empfohlen, dieses selbstsignierte Zertifikat zur vertrauenswürdigen Liste hinzuzufügen, damit die Es würde eine Verschlüsselung angewendet, und MiTM-Angriffe könnten die übermittelten Anmeldeinformationen nicht sehen. In einem reinen internen Produktionssetup (vorausgesetzt, eine Zertifizierungsstelle ist noch nicht eingerichtet), was wären die Best Practices mit selbstsignierten Zertifikaten?.

20
Damien.Rick

Wenn Sie das Zertifikat ignorieren, das darauf hinweist, dass die Verschlüsselung weiterhin angewendet wird. Da es sich jedoch um eine nicht authentifizierte Verschlüsselung handelt, ist die Verschlüsselung für aktive Gegner (einen MITM-Gegner, der die durch sie fließenden Daten abfangen und ändern kann) unbrauchbar, da der aktive Gegner Ihre Verbindung einfach neu verschlüsseln kann .

Die beste Methode zur Verwendung eines selbstsignierten Zertifikats in einer Produktionsumgebung besteht darin, den Zertifikatfingerabdruck mit dem erwarteten Zertifikatfingerabdruck zu vergleichen, der über einen vertrauenswürdigen Kanal erhalten wird. Nachdem Sie den Fingerabdruck des Zertifikats überprüft haben, sollten Sie das Zertifikat anheften, indem Sie es der vertrauenswürdigen Liste hinzufügen. Wenn Sie mit vielen Zertifikaten und vielen Geräten arbeiten müssen, können Sie außerdem Ihre eigene Zertifizierungsstelle erstellen und dieses Zertifikat der Stammzertifizierungsstelle zur Liste der Stammvertrauensstellungen hinzufügen.

30
Lie Ryan

Ja, die Kommunikation ist weiterhin mit selbstsignierten Zertifikaten verschlüsselt.

Selbstsignierte Zertifikate können von Ihnen erstellt werden, sie können jedoch auch von jedem Angreifer erstellt werden. Wenn Sie darauf bestehen, selbstsignierte Zertifikate zu verwenden, würde ich Ihnen raten, das Zertifikat als vertrauenswürdig zu markieren, damit Sie eine Warnung erhalten, wenn ein aktiver Man-in-the-Middle-Angriff stattfindet.

Das Erstellen eines eigenen CA-Zertifikats ist nicht wirklich schwieriger als das Erstellen eines selbstsignierten Zertifikats und bietet den Vorteil, dass Sie jetzt und in Zukunft vertrauenswürdige Zertifikate erstellen können, indem Sie einfach Ihrem CA-Zertifikat vertrauen.

16
Sjoerd

Kryptographie hat drei Hauptsicherheitsziele:

  • Vertraulichkeit
  • Integrität
  • Authentifizierung

Das Zertifikat im TLS/SSL-Handshake wird verwendet, um die Authentifizierung bereitzustellen, d. H. Um dem Client zu garantieren, dass er mit dem beabsichtigten Server und nicht mit einem Mann in der Mitte Angreifer spricht. Durch Ignorieren einer Zertifikatwarnung wird diese Eigenschaft der Verbindung beendet.

Die Verbindung wird weiterhin durch kryptografische Mittel gesichert, um Vertraulichkeit und Integrität zu gewährleisten, d. H. Nur die anfänglichen Kommunikationspartner (wer auch immer sie sein mögen) können eine Nachricht lesen oder ändern.

5
mat

Die Verschlüsselung wird weiterhin angewendet. Das Problem bei selbstsignierten Zertifikaten besteht darin, dass Sie nicht sicher sind, dass der Server, mit dem Sie eine Verbindung herstellen, der ist, für den er sich ausgibt.

Das Problem ist nicht so sehr, dass sie selbst signiert sind, sondern dass sie nicht von einem Dritten signiert wurden, dem Sie vertrauen. Wenn Sie zu einer https-Website navigieren, überprüft Ihr Computer, ob das Zertifikat, das Sie erhalten, von einem vertrauenswürdigen Dritten signiert wurde. Wenn der Server nicht kompromittiert wurde, stellen Sie eine Verbindung über einen verschlüsselten Kanal her nd mit wem Sie sich verbinden, ist wer sie sagen, dass sie sind. Mit selbst signiert können Sie sich des zweiten Teils nicht sicher sein.

3

Lassen Sie mich nur ein MITM für Sie zeichnen.

                   ===| When you accept a self-signed cert |===
                   ===|           and get lucky            |===

+--[Your browser]--+                                         +--[Server S]--+
|  accepts cert A  |                                         | has cert A   |
|      sends       +---------------------+-------------------> has key A    |
|   POST /secret   |                     |                   | decrypts     |
|  encrypts for A  |              +------+-----+             |              |
+------------------+               pahQu:eiSh6m              |     sees     |
                                  (seen on wire)             | POST /secret |
                                                             +--------------+

                   ===| When you dismiss browser warnings |===
                   ===|       and accept whatever         |===

+--[Your browser]--+      +---[Evil Chris' server]----+      +--[Server S]--+
|  accepts cert M  |      |                           |      |              |
|      sends       |      | has cert M  |     accepts |      | has cert A   |
|   POST /secret   +--+---> has key M   |      cert A +---+--> has key A    |
|  encrypts for M  |  |   | decrypts    |  reencrypts |   |  | decrypts     |
+------------------+  |   |                     for A |   |  |              |
                      |   |         ! SEES !          |   |  |     sees     |
           +------------+ |       POST /secret        |   |  | POST /secret |
            fex5be;P[ivR  +---------------------------+   |  +--------------+
           (seen on wire)                                 |
                                                    +-----+------+
                                                     Qui8paeY]u0V
                                                    (seen on wire)

Sehen? Die Verschlüsselung ist ohne Authentifizierung nutzlos (d. H. Leicht zu besiegen).

"Echte" (nicht selbstsignierte) Zertifikate bieten Authentifizierung: Auf diese Weise kann Ihr Browser feststellen, ob er mit dem Server spricht, den der Website-/Domaininhaber kontrolliert, oder mit einem völlig anderen Computer.

Das gesagt; Ja Verschlüsselung wird weiterhin angewendet. Selbst mit einem gefälschten Zertifikat erhalten Sie immer noch Schutz vor passiv evesdropping. Im Prinzip können einige Netzwerkgeräte jedoch selbstsignierte Zertifikate erkennen und SSL MITM auf völlig passive Weise ausführen, die unsichtbar sind, bis Sie beginnen, die genauen Übereinstimmungen von Fingerabdrücken von Byte zu Byte zu überprüfen.

Richten Sie für die Verwendung im Intranet eine Zertifizierungsstelle ein und fixieren/vertrauen Sie deren Wurzeln.


Übrigens, wenn Sie immer noch der Meinung sind, dass Sie für grünes HTTPS bezahlen müssen, lesen Sie https://letsencrypt.org/ NOW.
Diese Leute, die Let's Encrypt-Autoren, die EFF, kämpfen gut um den Schutz Ihrer digitalen Rechte.
Erfahren Sie selbst mehr.

3
ulidtko

Ja, die Verschlüsselung wird angewendet. Die Warnung benachrichtigt Sie lediglich darüber, dass die Identität des Servers, an den Sie verschlüsselte Daten senden, möglicherweise nicht der ist, für den sie sich ausgeben. Daher gehen Informationen, die Sie über die verschlüsselte Verbindung senden, möglicherweise an eine nicht autorisierte Partei . Selbstsignierte Zertifikate können gefährlich sein, da jeder ein Zertifikat erstellen kann, das behauptet, jemand anderes zu sein.

Wenn Sie jedoch Eigentümer des Zertifikats sind und sicher sind, dass Ihr privater Schlüssel für das Zertifikat nicht kompromittiert wurde, oder Sie überprüfen können, ob die Person, die das Zertifikat vorgelegt hat, den privaten Schlüssel für das Zertifikat besitzt (und sicherstellen, dass dies nicht der Fall ist) kompromittiert), können Sie der Verbindung vertrauen. In diesem Fall können Sie das Zertifikat als vertrauenswürdiges Stammverzeichnis installieren, um Ihrem Computer mitzuteilen, dass Sie Verbindungen zu dem Server vertrauen, auf dem dieses Zertifikat ausgestellt ist. Dies ist nicht erforderlich, um die Verschlüsselung zu aktivieren. Die Verschlüsselung wird jedoch weiterhin angewendet, wenn nur die Warnung ignoriert wird.

0
LunarGuardian

Die Verschlüsselung wird weiterhin durchgeführt. Es ist jedoch meistens nutzlos .

TLS soll sicherstellen, dass die Verbindung zwischen den Endpunkten sicher ist. Dazu ist es wichtig, dass sich die Endpunkte gegenseitig identifizieren können. Da es für jeden Endpunkt unpraktisch ist, ein Geheimnis mit jeder anderen Site zu teilen, wird ein vertrauenswürdiger Dritter (Zertifizierungsstellen) verwendet, um den Besitz jedes (asymmetrischen) Geheimnisses zu überprüfen.

Wenn Sie in der Warnung auf "Ja, schon weitermachen, wen interessiert das?" Klicken, umgehen Sie diese Überprüfung und haben absolut keine Ahnung, wer sich am anderen Ende befindet.

Um es mit anderen Worten auszudrücken:

Wenn sich jemand jemals erfolgreich als die Site ausgibt, an die Sie Ihre privaten Daten senden möchten , wird nur diese bestimmte Warnung angezeigt . Ignoriere es nicht.

Stattdessen sollten Sie das bestimmte selbstsignierte Zertifikat als "vertrauenswürdiges Zertifikat" auf den Client-Computern installieren oder, noch besser, die andere Endverwendung LE-Zertifikate anstelle von selbstsignierten Zertifikaten verwenden.

0
Bass