Sind Zertifikate für Intranet-SSL nützlich?
Habe ich wurde beauftragt mit der Entwicklung einer intranet-Schnittstelle für die Kommandozeilen-software, und jetzt bin ich bei der recherche Sicherheits-Optionen. Unser Programm für die Kommandozeile fertig ist, aber ich habe nicht angefangen zu schreiben, das web-interface. Ich weiß nicht genau, was die Anforderungen an die Sicherheit sind für potentielle Kunden, obwohl ich glaube, dass ssh
ist in der Regel akzeptabel für die command-line-interface. Mit diesem im Verstand, bitte ich um Hilfe bei der Entwicklung ein Menü von Möglichkeiten mit Ihren jeweiligen vor - /Nachteile. Irgendwann können wir uns die Freigabe unser web-Schnittstelle zum internet, so bin ich bereit zu prüfen, mehr Sicherheit als derzeit notwendig, wenn es einfach und/oder kostenlos.
Habe ich auch viel Lesen, und mein vorläufiges Fazit ist, dass SSL-Sicherheit ohne Zertifikat ist der beste Ansatz, nicht weil weniger Sicherheit ist nicht akzeptabel, aber da SSL ist der standard, und da es scheint nicht zu schwierig einzurichten. Ich, eine Sicherheit, die nicht-Experten, wäre nicht die Notwendigkeit zu erklären, warum weniger Sicherheit akzeptabel ist, um die Sicherheit von nicht-Experten. Ich könnte ein upgrade für meine Anwendung zu verwenden, die ein Zertifikat in der Zukunft, wenn nötig.
Hier ist eine Liste der SSL-Sicherheit im Zusammenhang mit Entscheidungen, sortiert durch meine Wahrnehmung von Sicherheits-Ebene mit meinen Kommentaren. Welchen Schutz brauche ich?
-
Ohne SSL. Dies könnte akzeptabel sein, wenn unsere Kunden nicht besorgt über Ihre Mitarbeiter sehen/ändern der anderen Daten. Ihre Mitarbeiter möchten vielleicht teilen Sie die Ergebnisse mit einander sowieso, und die ich verwenden könnte, IP-basierte Zugriffskontrolle und/oder Passwörter für die Sicherheit.
-
SSL ohne Zertifikat. Dieser verschlüsselt die Kommunikation, die zumindest schützt die Daten vor dem Lesen durch unbefugte Mitarbeiter. Mit einem Passwort, das ist das gleiche Sicherheitsniveau wie
ssh
auf der Kommandozeile, richtig? Ich brauche nicht zu befürchten, man-in-the-middle-Angriffe in einem intranet, richtig? Ein con für dieses Vorgehen wäre, wenn es lädt der browser Warnmeldungen. -
SSL mit selbst signierten Zertifikat. Was bedeutet das mir, dass kein Zertifikat gibt mir? Wenn der DNS kann verändert werden, unangemessen, dann kann der Kunde dann meine Anwendung ist die am wenigsten Ihrer Anliegen. Formuliert eine weitere Möglichkeit, wenn die DNS verändern kann, dann denke ich
ssh
wäre gefährdet zu werden. -
SSL mit einer lokalen Zertifizierungsstelle. OpenSSL ermöglicht es mir, meine eigenen Certificate Authority. Was hat dies mir geben, dass ein selbst-signiertes Zertifikat nicht? Ich gehe davon aus, dass auf einer LAN, es ist weniger wichtig für die server überprüft werden.
-
SSL mit einer externen Zertifikat-Autorität. Gibt es überhaupt einen Grund diesen Weg zu gehen für ein intranet? Ich fand einige "intranet-Zertifikate" zum Verkauf online - - aber es ist nicht klar, was Sie bieten sind ich kann nicht selbst tun.
Referenz, diese Seite könnte hilfreich sein für den Vergleich Zertifikate:
http://httpd.apache.org/docs/trunk/ssl/ssl_faq.html#aboutcerts
[update]
Hier einen Artikel über die Risiken und Regeln, um eine interne Zertifikat von einer öffentlichen ZERTIFIZIERUNGSSTELLE.
InformationsquelleAutor der Frage amos | 2014-01-03
Du musst angemeldet sein, um einen Kommentar abzugeben.
Ja, Zertifikate sind immer noch nützlich für Intranet SSL.
Es gibt einen wichtigen Unterschied zwischen SSH und SSL-without-a-Zertifikat: wenn Sie zuerst eine Verbindung zu einem server mit SSH die SSH speichert die server-fingerprint. Wenn Sie dann versuchen, eine Verbindung zu dem, was der SSH-client glaubt, dass es die gleiche Maschine, sondern bekommt wieder einen anderen Fingerabdruck hat, ist es warnt Sie, es könnte jemand sein, der das abfangen Ihrer Kommunikation.
SSL-without-a-Zertifikat, auf der anderen Seite, speichert nicht den server-fingerprint. Ihre Kommunikation wird immer noch verschlüsselt, aber wenn jemand irgendwie entführt den DNS-server wie Sie bereits erwähnt, oder, als Rushyo Notentut ARP-poisoning oder etwas ähnliches, Sie wäre in der Lage, eine man-in-the-middle-Angriff. SSH, wie bereits erwähnt, würde (vorausgesetzt, Sie hatten mit dem richtigen server verbunden einige Zeit in der Vergangenheit) beachten Sie, dass der Fingerabdruck sich geändert hatte und Sie warnen.
Ein selbst-signiertes Zertifikat wäre vergleichbar mit der Sicherheit von SSH. Ein Mann in der Mitte könnte dazu führen, dass die eigene selbst-signiertes Zertifikat, aber so lange, wie Sie Ihre Anwendungen konfiguriert sind, um nur akzeptieren dass selbst-signiertes Zertifikat haben, erhalten Sie eine Warnmeldung ähnlich der, die SSH wird Ihnen.
Einer lokalen Zertifizierungsstelle gibt Ihnen Sicherheit ähnlich wie bei selbst-signierten Zertifikaten, der aber möglicherweise mehr skalierbar. Sollten Sie mehrere Server betreiben, jeder kann sich sein eigenes Zertifikat, sondern ein client benötigt nur die top-level-glauben alle. Wenn ein server kompromittiert ist, Sie können den Widerruf seines Zertifikats, anstatt Sie zu ändern, jedes server-Zertifikat.
Ich glaube nicht, dass eine externe Zertifizierungsstelle hat keine Vorteile, außer eventuell weniger Konfiguration, wenn Ihre Maschinen bereits die Zertifizierungsstelle vertrauenswürdig ist.
Schließlich, ich weiß nicht genug über die zwei-Faktor-Authentifizierung zu bewerten, aber für die meisten Anwendungen, die SSL-sollte ausreichend sein.
Disclaimer: ich bin kein security-Experte.
InformationsquelleAutor der Antwort icktoofay
Vorteil ist, dass Sie nicht brauchen, um zu lernen, wie die Einrichtung eigener Certificate Authority, wenn Sie brauchen, um zu verwalten eine anständige Zahl von Zertifikaten und/oder Maschinen. Ein solches Zertifikat würde sich schon trauen, die von allen Browsern ohne Sie benötigen, um installieren Sie Ihre eigenen Zertifikate in den trusted-store.
Jedochdas ist eigentlich weniger sicher, weil jemand könnte kaufen ein Zertifikat für eine andere intranet-und verwenden Sie es auf Ihrem Netzwerk. Aus diesem Grund, SSL-Anbietern nicht mehr bieten diesen service an. Weitere Informationen finden Sie unter: https://www.godaddy.com/help/phasing-out-intranet-names-and-ip-addresses-in-ssls-6935
Wenn Sie nur ein sehr kleines intranet, dann würde ich empfehlen die Verwendung eines selbstsignierten Zertifikats, und fügen Sie einfach jede selbst-signiertes Zertifikat auf jedem computer ist trusted Shop.
Jedoch, wird es schnell unpraktisch, installieren Sie ein neues Zertifikat auf jedem computer in Ihrem intranet, Wann immer Sie wollen hinzufügen, um einen neuen computer. An diesem Punkt, den Sie einrichten möchten Ihre eigene Certificate Authority, so dass Sie brauchen nur zu installieren, ein einzelnes CA-Zertifikat in jedem computer ist trusted Shop.
InformationsquelleAutor der Antwort geofflee