เป็นความคิดที่ดีหรือไม่ที่จะใช้ใบรับรอง cacert SSL แทนการเซ็นชื่อด้วยตนเองในการผลิต

ที่ทำงานฉันมีเว็บอินเตอร์เฟสมากมายที่ใช้ http ธรรมดาหรือใบรับรองที่ลงชื่อด้วยตนเอง (อินเตอร์เฟสการจัดการบาลานเซอร์โหลด, วิกิภายใน, cacti, ... )

ไม่สามารถเข้าถึงได้จาก vlans / เครือข่ายภายนอกที่เฉพาะเจาะจง

สำหรับการใช้งานที่บ้านฉันใช้ใบรับรองcacert SSL

ฉันสงสัยว่าฉันควรแนะนำให้นายจ้างของฉันใช้ใบรับรอง SSL ของ cacert แทนที่จะเป็นใบรับรองที่ลงชื่อด้วยตนเองและ http ธรรมดา ใครใช้ cacert ssl ในการผลิต? อะไรคือข้อดี / ข้อเสีย? ปรับปรุงความปลอดภัยหรือไม่ จัดการง่ายกว่าไหม? มีอะไรที่คาดไม่ถึง? มันจะส่งผลกระทบต่อการสแกนที่มีคุณสมบัติ? ฉันจะโน้มน้าวพวกเขาอย่างไร

แน่นอนใบรับรองที่ชำระเงินสำหรับเว็บไซต์สาธารณะจะยังคงไม่เปลี่ยนแปลง

แก้ไข:

(อยากรู้อยากเห็น) ใบรับรอง SSL ฟรีจาก บริษัท ดูเหมือนจะไม่ได้เป็นชั้น 3 ฉันต้องแสดงหนังสือเดินทางของฉันและนำเสนอทางร่างกายเพื่อรับชั้น 3 จาก cacerts ไม่มีคำเตือนในเบราว์เซอร์สำหรับแต่ละคลาส 1 หรือไม่

อย่างไรก็ตามฉันมีคำถามเดียวกันเกี่ยวกับ CA ฟรี: มันดีกว่าการใช้ http ที่ลงชื่อด้วยตนเองและ http ธรรมดาและทำไม ?

ฉันจะทำเพื่อความสะดวกในการจัดการฝั่งเซิร์ฟเวอร์ อะไรที่ฉันพลาด

คำเตือน : ฉันไม่ได้เป็นสมาชิกสมาคม cacertไม่ใช่ Assurer เพียงแค่ผู้ใช้ที่มีความสุขปกติ

ฉันอยากจะแนะนำว่าในขณะที่ไม่มีอะไรผิดปกติกับการใช้ certs ฟรีเช่นจาก CACert คุณอาจไม่ได้รับอะไรเลยเช่นกัน

เนื่องจากสิ่งเหล่านี้ไม่ได้รับความไว้วางใจจากค่าเริ่มต้นคุณยังคงต้องติดตั้ง / ปรับใช้ใบรับรองหลักให้กับลูกค้าทั้งหมดของคุณซึ่งเป็นสถานการณ์เดียวกันกับที่คุณอยู่ในใบรับรองแบบลงชื่อด้วยตนเองหรือใบรับรองที่ออกโดย CA ภายใน

โซลูชันที่ฉันชอบ (และใช้) เป็นผู้ออกใบรับรองภายในและการปรับใช้ใบรับรองหลักสำหรับเครื่องโดเมนทั้งหมด การควบคุมหน่วยงานผู้ออกใบรับรองที่คุณใช้ทำให้การจัดการใบรับรองเป็นเรื่องง่ายกว่าแม้ผ่านทางพอร์ทัลไซต์ ด้วย CA ของคุณเองโดยทั่วไปคุณสามารถสคริปต์คำขอใบรับรองและปัญหาใบรับรองที่เกี่ยวข้องเพื่อให้เซิร์ฟเวอร์ไซต์และสิ่งใด ๆ ที่จำเป็นต้องใช้ใบรับรองของคุณสามารถรับใบรับรองโดยอัตโนมัติและได้รับความไว้วางใจจากลูกค้าของคุณเกือบจะทันทีหลังจากถูกนำเข้าสู่สภาพแวดล้อมของคุณ ไม่มีความพยายามหรืองานที่ต้องทำด้วยมือโดยฝ่ายไอที

แน่นอนถ้าคุณไม่ได้ตั้งค่าและตั้งค่า CA ของคุณเองโดยอัตโนมัติแล้วการใช้ฟรีภายนอกเช่นเดียวกับที่คุณกล่าวถึงจะทำให้ชีวิตของคุณง่ายขึ้นเพียงแค่ปรับใช้ใบรับรองหลักภายนอก ... แต่ คุณน่าจะลองทำถูกต้องในครั้งแรกและตั้งค่า CA ภายในสำหรับโดเมนของคุณ

ฉันขอแนะนำใบรับรอง SSL ฟรีจาก StartSSL ซึ่งเบราว์เซอร์สมัยใหม่รู้จักเช่นกัน ฉันไม่ได้ทำอะไรกับ CACert ยกเว้นว่ามันจะไม่ทำอะไรนอกจากเป็นบัญชีที่จะออกใบรับรองและทุกคนจะไม่รู้จัก certs เว้นแต่คุณจะติดตั้งใบรับรอง root ด้วยตนเอง

_{ข้อจำกัดความรับผิดชอบเนื่องจากเป็นคำแนะนำผลิตภัณฑ์: ฉันไม่ได้เกี่ยวข้องกับ StartSSL แต่อย่างใด เพียงแค่ลูกค้ามีความสุข}

มันจะดีกว่าการใช้ http ที่ลงชื่อด้วยตนเองและธรรมดาและทำไม

ใบรับรองที่ลงนามเองจะฝึกอบรมผู้ใช้ของคุณ (และคุณ) ให้คลิกผ่านคำเตือนที่เกิดขึ้นเป็นประจำซึ่งเป็นนิสัยที่ไม่ดี จะทำอย่างไรถ้าใบรับรองที่ลงนามด้วยตนเองนั้นถูกแทนที่ด้วยใบรับรองอันธพาล ผู้ใช้ของคุณจะสังเกตเห็นหรือพวกเขาจะคลิกผ่านการโต้ตอบความปลอดภัยอีกหรือไม่?