Vraag Waarom zouden we zelfgetekende SSL-certificaten niet gebruiken in de productie? [Gesloten]


Er staat hier niet om dat te doen:

https://www.digitalocean.com/community/tutorials/how-to-set-up-a-postfix-e-mail-server-with-dovecot

Mijn vraag is: waarom niet?

Ook, nog een vraag, hoe zorg je ervoor dat een certificaat alleen leesbaar is voor de root gebruiker?


1
2017-07-19 16:21


oorsprong


Een veel betere plaats om dit soort vragen te stellen is security.stackexchange.com. Maar zorg ervoor dat u controleert of zij al antwoorden op soortgelijke vragen hebben. - Steffen Ullrich


antwoorden:


Certificaten zijn een middel om vertrouwen te vestigen. Er zijn een aantal ondertekenaars van certificaten die worden vertrouwd door browsers en andere hulpprogramma's die SSL / TLS-certificaten gebruiken. Wanneer een versleutelde verbinding tot stand wordt gebracht, controleren zij of het verstrekbewijs is ondertekend door een vertrouwd certificaat.

Een zelfondertekend certificaat is niet ondertekend door een vertrouwde ondertekenaar en is niet vertrouwd. Veel tools zullen u vragen of u het certificaat toch wilt accepteren. Mensen leren dergelijke certificaten te accepteren, laat ze open voor de mens in de middelste aanvallen.

Als u geen certificaat van een vertrouwde certificeringsinstantie wilt ontvangen, kunt u uw eigen certificeringsinstantie (CA) maken. U moet echter uw openbare CA-certificaat distribueren naar uw klanten en hen vragen het te installeren in de juiste trustopslag (s).

Er zijn gevallen, zoals VPN's, waar u wellicht uw eigen CA wilt hebben. Diensten zoals IMAP, POP en HTTP zijn zelden dergelijke gevallen.


0
2017-07-19 19:33