자체 서명 된 SSL 인증서를 사용하는 것은 좋지 않습니까?

SSL 인증서는 특히 다른 하위 도메인을 보호해야하는 경우 개인에게 꽤 비쌉니다. 본인의 주요 초점은 연결을 보호하고 본인을 인증하지 않는 것이므로 자체 서명 된 인증서 사용을 고려하고 있습니다.

그러나 여러 브라우저에서 이러한 인증서를 발견하면 불쾌한 경고가 표시됩니다. 자체 서명 된 인증서 (예 : 소규모 웹 응용 프로그램 또는 소규모 웹 사이트의 관리 페이지) 사용을 권장하지 않습니까? 아니면 어떤 경우에는 괜찮습니까?

일반적으로 자체 서명 된 인증서를 사용하는 것은 좋지 않습니다. 그렇게하면 인증서가 잘못되었다는 경고를받을 때 사람들이 사이트를 떠날 위험이 있습니다. 더 중요한 것은, 누군가가 당신 대신 자신의 자체 서명 인증서를 사용하는 곳에서 누군가가 주사 공격을 할 위험이 크다는 것입니다. 방문자는 더 잘 알지 못합니다.

자세한 내용은 http://www.sslshopper.com/article-when-are-self-signed-certificates-acceptable.html 기사를 확인하십시오 .

RandomBen이 말했듯이, 자체 서명 된 인증서는 일반적으로 그가 설명한 이유로 눈살을 찌푸립니다. 그러나 웹 사이트에 민감한 데이터를 제출해야하는 사람들이 작고 제한적이라면 모두 기술적으로 유능하며 모든 사람들과 의사 소통 할 수 있습니다. 이 경우 각 사람에게 인증서 세부 정보를 제공 한 다음 사이트를 방문 할 때 인증서를 수동으로 확인하고 필요한 경우 보안 예외를 추가 할 수 있습니다.

극단적 인 예로서, 내 개인 VPS에는 관리 하위 도메인이 있으며이 도메인은 본인 만 액세스 할 수 있습니다. 연결을 보호하는 데 사용되는 서버 인증서가 서버에 설치 한 것과 동일한 지 수동으로 확인할 수 있기 때문에 자체 서명 된 인증서로 해당 도메인을 보호하는 데 아무런 문제가 없습니다.

자체 서명 된 인증서가 작동하지 않거나 "실제"인증서를 원하는 경우 Internet Security Research Group에서 시작하고 주요 인터넷 회사에서 지원하는 Let 's Encrypt 프로젝트를 권장 합니다. 비용이 들지 않습니다. 사용하는 확인 프로세스가 완전히 자동화되어 실제로 ACME 프로토콜 ( 현재 사용중인 Caddy 등)을 지원하는 웹 서버가 자체적으로 인증서를 얻을 수 있기 때문에이를 수행 할 수 있습니다. 하자의 암호화는 확인하지 않습니다 당신, 당신은 당신이 말하는 사람입니다. 웹 서버가 주장하는 도메인의 콘텐츠를 제공 할 수 있는지 확인합니다. Let 's Encrypt는 모든 주요 브라우저에서 지원되지만 검증이 최소라는 것은 잘 알려져 있으므로 전자 상거래 사이트 또는 사람들이 민감한 정보를 제출할 장소와 같은 것을 실행하는 경우에는 비용을 지불해야합니다. 더 높은 수준의 유효성 검사가 포함 된 인증서

검증 비용을 지불하고 싶지 않지만 더 이상은 지불하지 않으려는 사람들을 위해 StartCom 의 무료 StartSSL 인증서를 추천했습니다 . StartCom은 2016 년 WoSign에 의해 비밀리에 인수되었으며 이후 여러 도메인에 대해 불법 인증서를 발급했습니다. 결과적으로 주요 브라우저는 StartCom 인증서에 대한 지원을 제거했습니다. (내가 아는 한, IE는 결코 그들을 지원하지 않았습니다.) 어쨌든 Let 's Encrypt가 훨씬 편리합니다.

그것은 것입니다 하지 사용 자체 서명 된 인증서 나쁜 관행. 자체 서명 인증서는 CA 서명 인증서를 사용하는 것이 타당하지 않은 실용적인 목적을 많이 가지고 있습니다.

예를 들어 많은 서버에서 암호가없는 로그인을 설정했습니다. 이 서버는 내가 자주 연결하는 서버이며 때로는 여러 개의 SSH 연결을 열어 두어야하므로 매번 사용자 이름과 비밀번호를 입력하기가 번거 롭습니다.

대신 각 클라이언트 컴퓨터 (사무실의 워크 스테이션, 랩톱 및 홈 워크 스테이션)에서 생성하는 자체 서명 된 SSL 인증서를 사용합니다. 이러한 종류의 설정을 통해 생산성에 영향을주지 않으면 서 각 서버마다 상당히 길고 안전하며 고유 한 암호를 사용할 수 있습니다. 또한 각 인증서에 대해 공개 키를 설치할 수있는 서버에 직접 액세스 할 수 있으므로 CA 서명 인증서를 사용할 필요가 없습니다.

내가 할 수 나는 우리 회사의 내부 용 모든 인증서에 서명 할 수있는 내 자신의 루트 CA를 설정하고,이 방법 난 단지 각 서버에 하나의 공개 키를 설치해야합니다. 그러나 우리 조직은 실제로이를 필요로하는 규모로 성장하지 않았으며 보안 HTTP의 목적 상 이는 자체 서명 인증서를 갖는 것과 동일합니다.

마찬가지로 자체 서명 된 인증서는 전자 메일 연결, PGP 서명 및 서버 간 연결에 자주 사용되므로 공개 키를 사전 교환하기가 쉽지 않습니다. 이러한 경우 대부분 체인의 어느 시점에서든 손상 될 수있는 인증서 체인을 사용하는 것보다 실제로 더 안전합니다.

여러 개의 하위 도메인을 보호하는 경우 보안중인 하위 도메인 수 에 따라 와일드 카드 인증서 를 사용하여 도메인 당 하나를 구입하는 것보다 훨씬 저렴할 수 있습니다. 예를 들어, 4 개의 도메인을 사용하면 RapidSSL에서 와일드 카드가 개별 인증서보다 저렴 해집니다.