LINUX.ORG.RU
ФорумAdmin

Расскажите об ssl-сертификатах

 , ,


0

2

Доброго дня! Хочу немного теории почерпнуть от более опытных людей. Никаких задач в этот раз решать не нужно. =) Хочу узнать об использовании ssl-сертификатов для для сайта/почтового сервера/openvpn сервера. Сертификаты создаются парой и требуются для проверки принимающей стороны и обеспечения канала шифрации. Это как я понял. В linux есть утилиты для генерации различного рода публичных и приватных ключей. (rsa/dsa и прочее). Но в то же время существуют удостоверяющие центры, где можно заказать для организации ssl-сертификаты. И вот этот момент мне не ясен. Вопрос 1. В каких случаях я могу использовать самостоятельно сгенерированные сертификаты и когда их нужно приобретать. Вопрос 2. Если можете на конкретном примере рассказать как правильно и законно поступить исходя из первого вопроса, если я например хочу сделать: - доступ на свой сайт по защищенному соединению - обмен почтовыми сообщениями по ssl (свой почтовый сервер) - vpn-соединение (openvpn, свой сервер) Т.е. нужно ли приобретать сертификаты, в каком количестве, можно/нельзя использовать самосгенерированные и почему? Спасибо!


тащите скорее дробовик — эти твари забаненные вгугле нас нашли!

slackwarrior ★★★★★
()

Если у тебя паблик сайт - надо покупать, поскольку у юзеров в ОС/браузере есть корневые сертификаты только определенных, «доверенных» УЦ. Если у тебя корпорация - разворачивай свой УЦ, устанавливай всем юзерам корневой сертификат этого УЦ в хранилище сертификатов доверенных УЦ и тогда корп сайтам можешь выдавать сертификаты этого УЦ. Если ты Неуловимый Джо, можешь сделать себе упрощенный УЦ и в админки своих сервисов напихать сертификатов, которые будут работать только у тебя.

af5 ★★★★★
()

1) Если сайт выставлен в интернет - сертификат лучше подписывать авторизованным центром, иначе будет высвечиваться ошибка, что проверить поставщика сертификата невозможно и сайт потенциально небезопасен. Если сайт локальный в рамках твоего локалхоста/твоей конторы - можно и самоподписной (ошибка появляться все равно будет, но в рамках локалхоста это не так критично).

2) Доступ на сайт - в пункте 1. Обмен почтовыми сообщениями - покупать, иначе сторонние почтовые службы будут давать отлуп. VPN-соединение - в целом, не важно, но купленный сертификат всегда лучше самоподписного.

Т.е. нужно ли приобретать сертификаты, в каком количестве, можно/нельзя использовать самосгенерированные и почему?

Один домен - один сертификат. Есть вариант wildcard-сертификатов (*.pornosite.tld), но они стоят заметно дороже.

К слову, в 2017 покупать сертификат необязательно - есть Let's Encrypt, который делает сертификаты бесплатно. С января собираются сделать еще бесплатные вайлдкарды.

l0stparadise ★★★★★
()
Ответ на: комментарий от l0stparadise

Если сайт выставлен в интернет - сертификат лучше подписывать авторизованным центром, иначе будет высвечиваться ошибка.

Генеришь свой рутовый сертификат и дабавляешь его в доверенные центры.
Внутри корпоративные сайтики все так работают, чтобы данные не палить.
Если хочешь, чтобы люди на автомате не закрывали вкладку, то конечно лучше реальный сертификат, а если хочешь рили секюрность, чтобы АНБ, ФСБ, Васян из соседнего подьезда не словили твои пароли, то лучше самоподписной.

TomBOY ★★
()
Ответ на: комментарий от l0stparadise

Самый полезный ответ. Спасибо!

kerby
() автор топика
Ответ на: комментарий от TomBOY

а если хочешь рили секюрность, чтобы АНБ, ФСБ, Васян из соседнего подьезда не словили твои пароли, то лучше самоподписной.

Чем лучше?

MaZy ★★★★★
()
Ответ на: комментарий от l0stparadise

VPN-соединение - в целом, не важно, но купленный сертификат всегда лучше самоподписного.

Чем простите лучше?

anc ★★★★★
()
Ответ на: комментарий от MaZy

Контролем над своим CA. Если паранойя твоя спит спокойно - тогда ничем

Pinkbyte ★★★★★
()
Ответ на: комментарий от l0stparadise

VPN-соединение - в целом, не важно, но купленный сертификат всегда лучше самоподписного.

Вот тут я не согласен. В случае VPN надо контролировать CA.

Radjah ★★★★★
()
Ответ на: комментарий от l0stparadise
 Обмен почтовыми сообщениями - покупать, иначе сторонние 
почтовые службы будут давать отлуп.

Вот тут пож поподробнее. У меня почтовик 4 года на самоподписанном. Случаев отлупа другими сервисами типа майлру и т д не наблюдалось.

Bootmen ☆☆☆
()
Ответ на: комментарий от Bootmen

А мейлру умеет давать отлупы? :D

Ну у меня пару лет назад была проблема, что гугл отказывался принимать почту. Уже не помню, пытался ли я как-то решить проблему другими способами, но тогда как раз let's encrypt выкатили и я радостно все переделал на их сертификаты, взлетело с полпинка.

l0stparadise ★★★★★
()
Ответ на: комментарий от l0stparadise

Есть почтовый сервер на «самодельном» сертификате. Письма ходят норм.

kerby
() автор топика
Ответ на: комментарий от l0stparadise

А мейлру умеет давать отлупы?

А вообще хорошо было бы заставить ВСЕХ иметь нормальный сертификат. Без всяких исключений. Племя спамерюг значительно тогда сократилось бы.

Bootmen ☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.