Sind Zertifikate für Intranet-SSL nützlich?

Habe ich wurde beauftragt mit der Entwicklung einer intranet-Schnittstelle für die Kommandozeilen-software, und jetzt bin ich bei der recherche Sicherheits-Optionen. Unser Programm für die Kommandozeile fertig ist, aber ich habe nicht angefangen zu schreiben, das web-interface. Ich weiß nicht genau, was die Anforderungen an die Sicherheit sind für potentielle Kunden, obwohl ich glaube, dass ssh ist in der Regel akzeptabel für die command-line-interface. Mit diesem im Verstand, bitte ich um Hilfe bei der Entwicklung ein Menü von Möglichkeiten mit Ihren jeweiligen vor - /Nachteile. Irgendwann können wir uns die Freigabe unser web-Schnittstelle zum internet, so bin ich bereit zu prüfen, mehr Sicherheit als derzeit notwendig, wenn es einfach und/oder kostenlos.

Habe ich auch viel Lesen, und mein vorläufiges Fazit ist, dass SSL-Sicherheit ohne Zertifikat ist der beste Ansatz, nicht weil weniger Sicherheit ist nicht akzeptabel, aber da SSL ist der standard, und da es scheint nicht zu schwierig einzurichten. Ich, eine Sicherheit, die nicht-Experten, wäre nicht die Notwendigkeit zu erklären, warum weniger Sicherheit akzeptabel ist, um die Sicherheit von nicht-Experten. Ich könnte ein upgrade für meine Anwendung zu verwenden, die ein Zertifikat in der Zukunft, wenn nötig.

Hier ist eine Liste der SSL-Sicherheit im Zusammenhang mit Entscheidungen, sortiert durch meine Wahrnehmung von Sicherheits-Ebene mit meinen Kommentaren. Welchen Schutz brauche ich?

  1. Ohne SSL. Dies könnte akzeptabel sein, wenn unsere Kunden nicht besorgt über Ihre Mitarbeiter sehen/ändern der anderen Daten. Ihre Mitarbeiter möchten vielleicht teilen Sie die Ergebnisse mit einander sowieso, und die ich verwenden könnte, IP-basierte Zugriffskontrolle und/oder Passwörter für die Sicherheit.

  2. SSL ohne Zertifikat. Dieser verschlüsselt die Kommunikation, die zumindest schützt die Daten vor dem Lesen durch unbefugte Mitarbeiter. Mit einem Passwort, das ist das gleiche Sicherheitsniveau wie ssh auf der Kommandozeile, richtig? Ich brauche nicht zu befürchten, man-in-the-middle-Angriffe in einem intranet, richtig? Ein con für dieses Vorgehen wäre, wenn es lädt der browser Warnmeldungen.

  3. SSL mit selbst signierten Zertifikat. Was bedeutet das mir, dass kein Zertifikat gibt mir? Wenn der DNS kann verändert werden, unangemessen, dann kann der Kunde dann meine Anwendung ist die am wenigsten Ihrer Anliegen. Formuliert eine weitere Möglichkeit, wenn die DNS verändern kann, dann denke ich ssh wäre gefährdet zu werden.

  4. SSL mit einer lokalen Zertifizierungsstelle. OpenSSL ermöglicht es mir, meine eigenen Certificate Authority. Was hat dies mir geben, dass ein selbst-signiertes Zertifikat nicht? Ich gehe davon aus, dass auf einer LAN, es ist weniger wichtig für die server überprüft werden.

  5. SSL mit einer externen Zertifikat-Autorität. Gibt es überhaupt einen Grund diesen Weg zu gehen für ein intranet? Ich fand einige "intranet-Zertifikate" zum Verkauf online - - aber es ist nicht klar, was Sie bieten sind ich kann nicht selbst tun.

Referenz, diese Seite könnte hilfreich sein für den Vergleich Zertifikate:

http://httpd.apache.org/docs/trunk/ssl/ssl_faq.html#aboutcerts

[update]

Hier einen Artikel über die Risiken und Regeln, um eine interne Zertifikat von einer öffentlichen ZERTIFIZIERUNGSSTELLE.

InformationsquelleAutor der Frage amos | 2014-01-03

Schreibe einen Kommentar