ใบรับรองน้ำมันงูเริ่มต้นของ SSL เป็นน้ำมันงูแท้ๆหรือไม่เมื่อเทียบกับการเป็นใบรับรองที่ซื่อสัตย์ต่อแท้ [ปิด]

SSL สร้างลงนามด้วยตนเอง "น้ำมันงู" /etc/ssl/certs/ssl-cert-snakeoil.pemใบรับรองโดยค่าเริ่มต้นตัวอย่างเช่นที่ ตามวิกิพีเดียน้ำมันงูเป็นวิธีการเข้ารหัสหรือผลิตภัณฑ์ที่ถือว่าเป็นการหลอกลวงหรือหลอกลวง มีอะไรแปลกใหม่เกี่ยวกับใบรับรองเหล่านี้หรือไม่ แน่นอนว่าพวกเขาไม่ได้ลงนามโดยผู้ออกใบรับรองที่รู้จัก แต่ใบรับรองเองอาจยังคงเป็นใบรับรองของแท้และอื่น ๆ ตัวอย่างเช่นฉันอาจแจกจ่ายกุญแจสาธารณะของเซิร์ฟเวอร์ให้กับลูกค้าของฉันด้วยตนเองอย่างปลอดภัย สมมติว่ามีงูน้ำมันคุ้มค่าของใบรับรองที่สร้างขึ้นหรือมีชื่อที่ทำให้เข้าใจผิด?

Remeber SSL ทำหน้าที่สองอย่างที่สำคัญมาก

1. การสื่อสารที่ปลอดภัย
2. วางใจ

ใบรับรอง SSL ที่สร้างขึ้นด้วยตนเองจะให้คุณ 1. ซึ่งอนุญาตการรับส่งข้อมูลเข้ารหัสหรือตามที่คุณพูดว่าใบรับรอง SSL ที่ถูกต้อง

อย่างไรก็ตามใบรับรอง SSL ที่สร้างขึ้นด้วยตนเองสามารถมอบความไว้วางใจให้กับผู้ที่ไว้วางใจคุณเท่านั้น เหตุผลที่ใบรับรอง SSL ถูกสร้างขึ้นโดยบุคคลที่สามที่เชื่อถือได้คือการให้หมายเลข 2 เบราว์เซอร์ของคุณเชื่อถือและพวกเขาเชื่อใจคุณ หากคุณสร้างขึ้นด้วยตัวคุณเองคุณอาจอ้างว่าเป็น www.microsoft.com และหากมีคนเชื่อใจคุณก็จะเป็นเช่นนั้น

นี่คือเหตุผลที่คุณไม่ควรเชื่อถือใบรับรองที่ลงชื่อด้วยตนเองของ someones สำหรับเบราว์เซอร์ของคุณจากนั้นเบราว์เซอร์ของคุณจะเชื่อถือใบรับรองในอนาคตใด ๆ ที่ลงชื่อโดยเซิร์ฟเวอร์เดียวกัน

นี่คือเหตุผลที่สร้างตัวเองเป็น certs น้ำมันงู

อัปเดต: บริการLetsEncryptประกอบกับเว็บเซิร์ฟเวอร์ที่ทันสมัยเช่นแคดดี้ใช้ความยากลำบากเกือบทั้งหมดในการรับและใช้ TLS certs ดังนั้นจึงไม่จำเป็นต้องใช้น้ำมันงูอีกต่อไป!

ใบรับรองที่ลงนามเองจะเข้ารหัสการสื่อสารของคุณเช่นเดียวกับใบรับรองมาตรฐาน ดังนั้นการเข้ารหัสจึงไม่เป็นปัญหา

ใบรับรองยังสามารถใช้เพื่อยืนยันตัวตน มันควรจะทำงานอย่างไรเมื่อคุณเชื่อมต่อกับเซิร์ฟเวอร์อย่างปลอดภัยเซิร์ฟเวอร์นั้นจะแสดงใบรับรองให้คุณหรือเบราว์เซอร์ของคุณจากนั้นคุณหรือเบราว์เซอร์ของคุณจะตัดสินใจว่าคุณสามารถเชื่อถือการยืนยันตัวตนของเซิร์ฟเวอร์ได้หรือไม่

ใบรับรองสามารถลงนามโดยใบรับรอง "ระดับสูงกว่า" อื่น ๆ โดยทั่วไปเรียกว่าหน่วยงานออกใบรับรอง ดังนั้นหากใบรับรองของเซิร์ฟเวอร์ได้รับการลงนามโดย CA ที่คุณหรือเบราว์เซอร์ของคุณเชื่อถือได้ข้อมูลประจำตัวนั้นจะถือว่าถูกต้อง

เบราว์เซอร์หลักส่วนใหญ่จะมีใบรับรองรูทจำนวนหนึ่งที่พวกเขาเชื่อถือโดยอัตโนมัติจาก Verisign และ CA อื่น ๆ ที่เป็นที่รู้จัก

ด้วยใบรับรองที่ลงนามเองเนื่องจากไม่ได้ลงนามโดย CA บุคคลที่สาม แต่เป็นเอนทิตีเดียวกันที่สร้างใบรับรองคุณไม่สามารถพึ่งพาใครในการตรวจสอบตัวตนได้ยกเว้นบุคคลที่สร้างใบรับรอง มันเทียบเท่ากับคนที่พิมพ์บัตรประจำตัวของพวกเขาและมอบให้คุณเพื่อตรวจสอบตัวตน นี่ไม่ใช่ปัญหาที่ไม่จำเป็นแม้ว่าจะมีคำเตือนของเบราว์เซอร์ก็ตามหากคุณรู้จัก / เชื่อถือว่าใครเป็นผู้สร้างใบรับรองหรือทำด้วยตัวเอง

วิกิพีเดียยังกล่าวอีกว่า: "น้ำมันงูเป็นสำนวนที่ แต่เดิมอ้างถึงผลิตภัณฑ์เพื่อสุขภาพที่มีการฉ้อฉลหรือยาที่ไม่ผ่านการพิสูจน์ แต่ได้อ้างอิงถึงผลิตภัณฑ์ใด ๆ ที่มีคุณภาพหรือผลประโยชน์ที่น่าสงสัย

คุณภาพที่พิสูจน์ไม่ได้ซึ่งมีความสำคัญในบริบทนี้ หากคุณเรียกดูไซต์ SSL ที่ไม่มีห่วงโซ่ใบรับรองไปยังผู้ออกใบรับรองที่เชื่อถือได้คุณไม่สามารถพึ่งพา SSL เพื่อยืนยันว่าไซต์นั้นเป็นเจ้าของและดำเนินการโดยบุคคลหรือองค์กรที่เป็นเจ้าของโดเมน (ดังที่แสดงใน แถบ URL ของเบราว์เซอร์)

เว็บเบราว์เซอร์ที่ทันสมัยแสดงคำเตือนความปลอดภัยเมื่อเรียกดูไซต์ด้วยใบรับรองที่ลงนามด้วยตนเอง ("งูน้ำมัน") เพราะไม่มีเชนใบรับรองที่เชื่อถือได้นี้ สิ่งนี้อาจสร้างความรำคาญให้กับอินทราเน็ตส่วนตัว แต่จะมีวิธีการในการปกป้องผู้คนจากการป้อนข้อมูลส่วนตัวและข้อมูลการชำระเงินลงในไซต์ฟิชชิ่ง