it-swarm-es.com

Para un servidor de intranet, ¿compraría un certificado SSL o usaría un certificado autofirmado?

Tenemos un servicio web que utiliza su aplicación y los desarrolladores requieren conexiones https al servicio web. Dado que se trata de un servicio web interno, ¿utilizaría un certificado autofirmado?

18
Aaron Fischer

En lugar de un certificado autofirmado, crearía una CA raíz local y luego generaría el certificado SSL a partir de eso, asegurándome de que todos los sistemas internos tengan una copia de la clave pública de la CA raíz.

Las claves generadas de esta manera tienen muchos usos fuera de HTTPS simple, también se pueden usar para OpenVPN, POP3S, SMTPS, etc., incluso para cuentas SMIME individuales.

Tener una única CA raíz para su organización es mucho mejor que tener que pagar un rescate por las CA reconocidas que le cobrarán por todos y cada uno de los servidores para los que desea un certificado y se atreverán a cobrarle una "tarifa de licencia" si lo desea. para poner el mismo certificado en varios servidores en un clúster con equilibrio de carga.

23
Alnitak

pruebe CAcert . son gratis, solo necesitas tener instalado el root. un paso por encima de tener certificados autofirmados.

3
Darren Kopp

Si el costo es un problema y está centrado en Windows, como sugiere el Sr. Denny, vaya con Microsoft Certificate Services e implemente los certificados como parte del GPO de dominio predeterminado. Es probable que necesite tres sistemas, pero luego pueden ser máquinas virtuales. Necesitará la CA raíz, que solo debe usarse para emitir los certificados para las CA intermedias. Debe tener una CA intermedia como CA empresarial y luego la tercera como CA "independiente" para que pueda emitir certificados para activos que no pertenecen al dominio.

Si tiene muchos clientes y es lo suficientemente grande, puede considerar tener una raíz de una de las soluciones de terceros y emitir sus propios certificados de una CA que obtenga su certificado de dicho tercero. De esa manera, no tiene que implementar el certificado de CA. Por ejemplo, existe una solución de GeoTrust .

3
K. Brian Kelley

Por el bajo precio de certificados de inicio, como rapidssl, probablemente compraría uno de estos, al menos si solo necesita una cantidad mínima de ellos. Creo que vale la pena pagar una pequeña tarifa para evitar que se les pida a los usuarios que acepten el certificado autofirmado que no es de confianza, ya que siempre causa algunos problemas con los usuarios no técnicos.

2
Sam Cogan

Suponiendo que es un dominio de Windows para sus equipos de escritorio, configure una CA de Windows internamente en la que todos los equipos de la empresa confiarán automáticamente a través de AD. De esta manera, puede emitir certificados para las aplicaciones internas que necesite sin tener que comprar un certificado.

2
mrdenny

Por lo general, sí, usaría un certificado PEM autofirmado para tales cosas. Sin embargo, ¿qué tan sensible es el sitio en su intranet? Existen buenas prácticas a seguir con respecto a la máquina que realmente firma los certificados ... y otras, que pueden aplicarse o no en su caso.

Además, ¿cómo se configuraría una tienda CA interna para los usuarios? Una vez que acepte un certificado, sabrá si cambia ... lo que me lleva de vuelta a las buenas prácticas que involucran a la máquina que realmente los firma (es decir, firmar, luego desenchufarlo).

Es útil tener su propia CA interna, si la administra correctamente. Proporcione más información.

1
Tim Post

El problema con un certificado autofirmado es que los clientes generalmente arrojarán advertencias acerca de que no está verificado. Dependiendo de la configuración de seguridad, algunos pueden bloquearlo por completo.

Si esto es puramente una necesidad interna, ¿por qué incluso usar https instalado de http?

Personalmente, me quedaría con http o compraría un certificado barato (no son tan caros).

0
cletus