SSL은 기본적으로 자체 서명 된 "스네이크 오일"인증서를 생성합니다 (예 :) /etc/ssl/certs/ssl-cert-snakeoil.pem. 에 따라 위키 백과 , 뱀 기름은 사기 또는 가짜로 간주되는 암호화 방법 또는 제품입니다. 이 인증서에 대해 가짜가 있습니까? 물론, 그들은 알려진 인증 기관에 의해 서명되지 않았지만, 인증서 자체는 여전히 다른 인증서만큼 좋은 인증서 일 수 있습니다. 예를 들어, 서버의 공개 키를 모든 클라이언트에 안전하게 직접 배포하고있을 수 있습니다. 이것을 가정하면, 생성 된 인증서에 뱀 기름이 가치있는 것이 있습니까? 아니면 이름이 오도됩니까?
답변:
Remeber SSL은 두 가지 중요한 기능을 제공합니다
자체 생성 된 SSL 인증서는 암호화 된 트래픽을 허용하거나 유효한 SSL 인증서를 말하는 것처럼 1.을 제공합니다.
그러나 자체 생성 된 SSL 인증서는 귀하를 신뢰하는 사람들에게만 신뢰를 줄 수 있습니다. 신뢰할 수있는 타사에서 SSL 인증서를 생성하는 이유는 2 번을 제공하기위한 것입니다. 브라우저는 인증서를 신뢰하고 사용자를 신뢰합니다. 직접 생성 한 경우 www.microsoft.com이라고 주장 할 수 있으며 누군가 신뢰할 수있는 것으로 간주 할 수 있습니다.
또한 의견에서 지적했듯이 이것이 서버에 대해 누군가가 자체 서명 한 인증서를 신뢰해서는 안되는 이유는 브라우저가 동일한 서버가 서명 한 미래의 인증서를 분명히 신뢰한다는 것입니다.
이것이 자체 생성이 뱀 오일 인증서 인 이유입니다.
업데이트 : Caddy 와 같은 최신 웹 서버와 결합 된 LetsEncrypt 서비스는 TLS 인증서를 가져오고 사용하는 데 거의 모든 어려움을 겪기 때문에 더 이상 뱀 오일 인증서가 필요하지 않습니다!
자체 서명 된 인증서는 표준 인증서와 동일한 방식으로 통신을 암호화합니다. 따라서 암호화는 문제가되지 않습니다.
인증서를 사용하여 신원을 확인할 수도 있습니다. 작동 방식은 서버에 안전하게 연결할 때 해당 서버가 사용자 또는 브라우저에 인증서를 제시 한 다음 서버 또는 서버의 ID 주장을 신뢰할 수 있는지 여부를 결정하는 것입니다.
인증서는 일반적으로 인증 기관이라고하는 다른 "상위"인증서로 서명 할 수 있습니다. 따라서 서버 인증서가 귀하 또는 브라우저가 신뢰하는 CA에 의해 서명 된 경우 ID는 유효한 것으로 간주됩니다.
대부분의 주요 브라우저에는 Verisign 및 기타 잘 알려진 CA에서 자동으로 신뢰하는 여러 루트 인증서가 제공됩니다.
자체 서명 된 인증서를 사용하면 타사 CA가 서명하지 않고 인증서를 만든 동일한 엔터티에 의해 서명되므로 인증서를 생성 한 사람을 제외하고 다른 사람이 자신의 신원을 확인할 수 없습니다. 자신의 ID 카드를 인쇄하여 신원 확인을 위해 귀하에게 제공하는 사람과 같습니다. 인증서를 생성하거나 직접 작성한 사람을 알고 / 신뢰할 경우, 브라우저 경고에도 불구하고 반드시 문제가되지는 않습니다.
Wikipedia는 또한 "뱀 오일은 원래 사기성 건강 제품 또는 입증되지 않은 의약품을 지칭하는 표현이지만 의심 스럽거나 검증 할 수없는 품질이나 혜택을 가진 모든 제품을 지칭하는 표현"이라고 말합니다.
이 맥락에서 중요한 것은 검증 할 수없는 품질입니다. 신뢰할 수있는 인증 기관에 대한 인증서 체인이없는 SSL 사이트를 탐색하는 경우 SSL을 사용하여 도메인을 소유 한 개인이나 조직이 사이트를 소유하고 운영하는지 확인할 수 없습니다 ( 브라우저의 URL 표시 줄).
최신 웹 브라우저에는 신뢰할 수있는 인증서 체인이 없기 때문에 자체 서명 된 ( "스네이크 오일") 인증서로 사이트를 탐색 할 때 보안 경고가 표시됩니다. 예를 들어 개인 인트라넷에서는 성 가실 수 있지만 개인 정보 및 결제 정보가 피싱 사이트에 입력되는 것을 방지 할 수 있습니다.