Domanda:
Dove ottenere un certificato SSL per il sito web personale?
pootzko
2010-12-15 21:58:26 UTC
view on stackexchange narkive permalink

Vorrei utilizzare https per accedere alla mia pagina web personale (che è su hosting condiviso). Quindi sono andato su Google e ho iniziato a cercare soluzioni. Alla fine ho scoperto che avevo bisogno di un certificato SSL per farlo (pensavo che fosse tutto qualcosa che si abilita automaticamente per ogni sito web, non chiedermi perché).

Poi sono andato al sito del mio provider di hosting e ho scoperto i prezzi di questi certificati ... Ma non ho bisogno di qualcosa del genere per il mio blog ... Ho anche scoperto che i certificati possono essere autofirmati o ottenuti gratuitamente da alcune autorità di certificazione.

Quello che mi chiedo è: come dovrei affrontarlo?
Dato che sono l'unico ad accedere lì - dovrei generare il mio certificato? O ne hai uno gratuito da qualche CA? Se sì, quale CA? cacert forse? Rimarrà tutto trasparente in questo modo o inizierò a ricevere avvisi sul certificato personalizzato e non verificato? Posso fidarmi di una soluzione come questa?

Ha senso provare a fare qualcosa del genere se utilizzo l'hosting condiviso? Voglio dire, da quello che ho letto, questo certificato dovrebbe essere installato sul server e non solo messo da qualche parte nella mia cartella di hosting (come pensavo avrebbe funzionato) .. e il provider di hosting non lo farà per libero immagino perché non è nel loro interesse (in ogni caso ho chiesto loro e sto aspettando una risposta) ...

Dovrei semplicemente lasciarlo cadere, o c'è qualcosa che posso fare da solo ?

Non esattamente duplicati, poiché questa è una situazione specifica, ma controlla queste domande per ulteriori informazioni: http://security.stackexchange.com/q/90/33 e http://security.stackexchange.com/q/146 / 33
Sei risposte:
#1
+38
jhulst
2010-12-16 00:37:13 UTC
view on stackexchange narkive permalink

Mi piace usare StartCom per un certificato gratuito. Fino alla metà del 2016, era riconosciuto nella maggior parte dei principali browser ed è migliore rispetto all'utilizzo di un certificato autofirmato (nessuna richiesta di errore per gli utenti).

EDIT 2016 : i principali fornitori di browser come Mozilla, Apple e Google hanno annunciato che (e i loro browser) non si fidano più di StartCom come certificato autorità, a causa di un comportamento impreciso recentemente scoperto da parte dell'autorità di certificazione (vedere i collegamenti nei nomi dei fornitori per i loro annunci in merito e il motivo).

Modifica 2017 : Let's Encrypt è ora un'ottima opzione per uso personale e sembra essere accettata anche più ampiamente di StartSSL. Gli svantaggi di Let's Encrypt sono la validità relativamente breve del certificato (3 mesi), ma ciò non è eccessivamente oneroso se sei in grado di sfruttare il rinnovo automatico che offrono attraverso alcuni dei loro strumenti.

+1 - L'unico browser che ho incontrato che non supportava i certificati di StartCom è quello su Android, anche se sembra essere stato corretto anche in questi giorni.
Mi piace (e uso) anche StartCom. Il browser web Sony Playstation3 è l'unico browser che ho incontrato che non si fida di esso.
Java SE 6.0 non si fida nemmeno dei certificati StartCom, non ho controllato 7.0 ma non credo sia cambiato nulla.
Sebbene mi piaccia l'idea dei certificati SSL gratuiti, dobbiamo tenere a mente i limiti di questi protocolli di convalida molto economici. Validano il controllo del sito solo nel momento in cui viene generato il certificato; non controllano con altre CA i certificati emessi in precedenza. Un utente malintenzionato MITM può agire come il tuo sito Web durante la generazione di un nuovo certificato per il quale ha una chiave perché il validatore ovviamente non utilizzerà HTTPS per confermare la proprietà. Se l'aggressore può sedersi di fronte alla CA, anche la verifica dell'email e del DNS può essere sovvertita.
Ho downvoted perché anche se questa risposta offre una soluzione pratica, risponde solo a un sottoinsieme di tutte le cose giustificate che OP ha chiesto
#2
+11
Bradley Kreider
2010-12-16 22:38:48 UTC
view on stackexchange narkive permalink

Uno degli unici motivi per cui acquisti certificati SSL (e non acquisti chiavi rsa / dsa) è per le relazioni di fiducia.

Se puoi importare in modo sicuro un certificato SSL autofirmato nel tuo browser e installare il certificato SSL sul tuo server web, non c'è motivo di coinvolgere nessun altro.

Vedi la descrizione completa di SSL da parte di AviD per maggiori informazioni. Cosa fornisce SSL:

  * Cripta il canale * Applica il controllo di integrità * Fornisce l'autenticazione  

Puoi ottenere tutto 3 di questi, se utilizzi certificati autofirmati, ma devi installare in modo sicuro il certificato sui tuoi endpoint per ottenere la terza funzionalità.

#3
+7
Rory McCune
2010-12-16 03:42:37 UTC
view on stackexchange narkive permalink

Una cosa che dovrai esaminare è se sarai in grado di avere SSL sul tuo hosting condiviso. Se non hai un indirizzo IP univoco (ad esempio con un piano VPS), far funzionare SSL sarà complicato.

Tradizionalmente SSL viene gestito in base all'IP e non in base al nome host, quindi dove ti trovi hosting virtuale basato su nome (la maggior parte dei piani di web hosting di fascia bassa) non è possibile assegnare certificati univoci a ciascun sito. Ora è possibile con SNI, ma dovresti verificare che la tua società di hosting e i browser lo supportino.

Il problema con SNI è che WinXp e alcuni browser per dispositivi mobili non lo supportano, comunque se OP vuole SSL solo per il suo backoffice dovrebbe andare avanti se il provider di hosting condiviso lo supporta.
#4
+7
pootzko
2016-12-09 22:40:46 UTC
view on stackexchange narkive permalink

Da poco tempo, è anche possibile ottenere un certificato gratuito da Let's Encrypt, che è una CA gratuita, automatizzata e aperta.

#5
+4
Andy Smith
2010-12-18 05:20:43 UTC
view on stackexchange narkive permalink

CACert, come hai menzionato, è utile per i certificati SSL ea volte è un po 'più utile rispetto all'utilizzo di certificati autofirmati, perché ci sono parecchie persone ora che hanno il Certificato CA CACert installato nei loro browser e sono abbastanza grandi nel creare una rete fisica di fiducia.

#6
+3
Matt Garrison
2010-12-15 23:01:43 UTC
view on stackexchange narkive permalink

I provider di hosting condiviso dovranno installare il certificato per te. Sebbene tu possa creare un certificato autofirmato, non ho idea se un provider condiviso ne installerà uno. Forniscono lo stesso livello di sicurezza, ma causano la visualizzazione di un avviso nei browser poiché non sono registrati presso un'autorità di certificazione.

Se si dispone di un VPS o di un VPS gestito, è possibile installare un firmato cert te stesso. Puoi chiamare il tuo provider o vedere se accetterà un certificato di terze parti più economico (quello di goDaddy costa $ 12).

Se utilizzi questo accesso solo per scopi amministrativi (aggiunta di contenuto a un blog o qualcosa) e hai accesso SSH al tuo provider, puoi eseguire il tunneling SSH nell'host e accedere al sito da localhost, impedendo la trasmissione delle credenziali su Internet.

"Forniscono lo stesso livello di sicurezza" questo non è accurato. Fornisce lo stesso livello di protezione contro le * intercettazioni *, ma non è la stessa cosa. In particolare, i certificati autofirmati non forniscono * autenticazione * (nel caso generale). Vedi la mia risposta [qui] (http://security.stackexchange.com/q/5/33).
Questo è un punto interessante sui certificati autofirmati e sull'autenticazione. Tuttavia in questo caso sembra che pootzko stia cercando un certificato per il proprio login, in quel caso se crea una CA e un certificato autofirmato e importa la radice nel suo browser, allora ha quell'autenticazione. Concordo per la maggior parte delle app esterne (Internet) che i certificati autofirmati non sono una buona opzione, ma per le applicazioni interne / personali penso che possano fornire tanto quanto uno acquistato.
@Rory, è vero, probabilmente. Ecco perché non l'ho posta come una vera risposta (o voto negativo), ma ho sentito che il chiarimento dovrebbe essere in atto per il prossimo spettatore ...


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...