SSL-Zertifikate bieten zwei Möglichkeiten: Verschlüsselung und Authentifizierung. Für die Verschlüsselung reicht jedes SSL-Zertifikat aus. Sie können ein selbstsigniertes Zertifikat verwenden, das Sie kostenlos erstellen können und das eine verschlüsselte Kommunikation zwischen Ihrem Server und einem Client ermöglicht.

Das Problem ist, dass ein Angreifer, da keine Authentifizierung vorliegt, einfach ein eigenes Zertifikat erstellen und behaupten kann, der Server zu sein, zu dem Sie eine Verbindung herstellen möchten. Ihr Browser würde den Unterschied nicht kennen und über eine verschlüsselte Verbindung eine Verbindung zum Angreifer herstellen. Der Angreifer könnte dann eine Verbindung zum realen Server herstellen und Ihre gesamte Kommunikation überwachen.

Um dieses Problem zu vermeiden, sind auch SSL-Zertifikate erforderlich Authentifizierung bereitzustellen und das bedeutet, dass jemand Domain-Besitz und Identitätsinformationen überprüfen muss. Die Richtlinien müssen verwaltet und Systeme ausgeführt werden, um mit verlorenen Schlüsseln umgehen zu können. Es müssen auch Beziehungen zu Browserherstellern aufgebaut werden, um die Stammschlüssel für die Zertifizierungsstellen in die Anwendungen zu übertragen. Dies alles hat Kosten und daher werden diese Kosten an diejenigen weitergegeben, die SSL-Zertifikate von einer Zertifizierungsstelle kaufen.

Als Gegenleistung für diese Kosten überprüft die Zertifizierungsstelle die Identität der Organisation und Domäne, die sie ausstellen Zertifikat an. In unserem ursprünglichen Fall kann der Angreifer möglicherweise zwischen dem Client und dem Server wechseln, aber er kann den Client nicht dazu bringen, eine Verbindung zu seinem SSL-Zertifikat herzustellen, da es nicht vertrauenswürdig ist und der Client eine Verbindung mit dem echten SSL herstellt Zertifikat, dann verhindert die Verschlüsselung, dass der Angreifer überwachen kann, was passiert.

In jüngerer Zeit ist der Dienst Let's Encrypt erschienen und bietet eine begrenzte Auswahl an kostenlosen Zertifikaten. Sie können dies aus drei Hauptgründen tun:

Erstens haben sie großzügige Sponsoren, die ihre Betriebskosten tragen. Der Mangel an Verschlüsselung und Vertrauen im Internet ist in den letzten Jahren zu einem wachsenden Problem geworden, da Angreifer zunehmend leistungsfähiger geworden sind. Dieser Bedarf und die Kosten für den Umgang mit dem mangelnden Vertrauen im Internet haben dazu geführt, dass Let's Encrypt Finanzmittel erhalten kann.

Zweitens bieten sie ein äußerst begrenztes Portfolio an Zertifikatoptionen. Ihnen fehlen die Möglichkeiten zur Handhabung von EV-Zertifikaten oder sogar zur Validierung der Identität. Sie bieten nur eine Domänenvalidierung und aufgrund der automatisierten Überprüfung nur extrem kurze Gültigkeitszeiträume.

Drittens haben sie ihre Kosten drastisch begrenzt, indem sie Menschen aus der Gleichung herausgeschnitten haben. Anstatt eine herkömmliche Validierung durchzuführen, funktioniert Let's Encrypt ausschließlich mit der automatisierten Validierung auf Domänenebene über das ACME-Protokoll. Dies ist gut genug, um ein geringes Maß an Vertrauen zu schaffen, dass der Domänenserver von derselben Person ausgeführt wird, die den Domänennamen kontrolliert, aber für nichts anderes.

Dies ist zwar eine kostenlose Option, es sei denn Sie sind sich der Identität des Website-Betreibers sicher. Sie ist bei weitem nicht so gut oder vertrauenswürdig wie Zertifikate, die von bezahlten Zertifizierungsstellen erhältlich sind, die vor der Ausstellung von Zertifikaten eine weitere Identitätsprüfung durchführen (obwohl sie den von anderen angebotenen domänenvalidierten Zertifikaten gleichwertig sind Zertifizierungsstellen, von denen einige ähnliche automatisierte kostenlose oder kostengünstige Optionen anbieten, jedoch mit noch größeren Einschränkungen bei den angebotenen Zertifikaten.)

Wenn Sie Ihr SSL-Zertifikat selbst generieren, funktioniert HTTPS / SSL, aber ein Browser gibt eine Warnung aus, in der der Benutzer aufgefordert wird, der Site nicht zu vertrauen. Es kann nicht festgestellt werden, ob die Website, auf die Ihre Besucher zugreifen, wirklich die ist, die sie ist. Sie benötigen also eine Authentifizierung von einer Stammzertifizierungsstelle, um dieses Problem zu vermeiden. Um diese Authentifizierung zu erhalten, müssen Sie bezahlen.
Aber jetzt ändern sich die Dinge. Sie können das Projekt Let's Encrypt erkunden. Ziel ist es, eine kostenlose Zertifizierungsstelle bereitzustellen. Es werden legitime Zertifikate generiert, denen ein erheblicher Prozentsatz der Browser vertraut.

Sie können sicherlich Ihr eigenes SSL-Zertifikat erstellen. Gebühren sind nicht für die Erzeugung von ihnen; Vielmehr muss jemand anderes sagen, dass er Ihrem Zertifikat vertraut.

Die Vorlage eines Zertifikats hat keine Bedeutung, sondern die damit verbundene Vertrauenskette hat Bedeutung. Sie kennen mich nicht und wenn ich Ihnen ein Zertifikat geben würde, das besagt, dass ich Bob Smith von www.google.com bin, würden Sie mir entweder vertrauen (Dummkopf!) Oder nicht. Wenn ich Ihnen ein ähnliches Zertifikat geben würde, das das Vertrauen von beispielsweise Verisign trägt, wenn Sie ihnen vertrauen, würden Sie dieses Vertrauen auf mich ausdehnen. Verisign wird dies nicht kostenlos tun, da sie administrative Anforderungen haben, bevor sie mir genug vertrauen, um dieses Vertrauen an Sie weiterzuleiten.

Schauen Sie sich Let's Encrypt https://letsencrypt.org an (derzeit in der Beta). Let's Encrypt ist eine gemeinnützige Organisation, die SSL-Zertifikate kostenlos ausgibt. Ihr Ziel ist die weit verbreitete Einführung der TLS-Sicherheit und die Linderung der Zertifikatskonfiguration durch die automatische Konfiguration und Erneuerung. Ich habe diesen Service noch nicht genutzt, aber er klingt vielversprechend und wird von mehreren großen Technologieunternehmen (Google, Cisco, Mozilla, Facebook) gesponsert.

Sie stellen nur DV-Zertifikate (Domain Validated) aus, aber das ist es Alles, was für die meisten kleinen Websites benötigt wird.

Für jedermann, auch für Unternehmen: https://community.letsencrypt.org/t/are-they-limitations-on-who-can-use-lets-encrypt/687

“Die einzige Einschränkung besteht darin, dass Ihre Anwendungsfälle in das Angebot passen: Domain-Validierungszertifikate für Benutzer, die nachweisen können, dass sie Eigentümer einer Domain und eines privaten Schlüssels sind Eine beliebige Anzahl dieser im Zertifikat enthaltenen Domänen. Also: Keine Wildcard-Zertifikate, keine OV-Zertifikate (Organisation validiert) oder EV-Zertifikate (Extended Validation). Das ist alles." „Kommerzielle Benutzer können Let's Encrypt gerne für kommerzielle und gewinnorientierte Zwecke verwenden. Dies ist eine beabsichtigte Verwendung; Wir haben nicht den Wunsch, die Nutzung unserer Dienste auf gemeinnützige oder nichtkommerzielle Zwecke zu beschränken. “ „Es ist erwähnenswert, dass dies darauf zurückzuführen ist, dass unser Hauptziel darin besteht, die Benutzer der Website zu schützen, nicht unbedingt den Betreibern der Website. Wenn wir die Ausgabe auf gemeinnützige oder nichtkommerzielle Websites beschränken, können wir eine große Anzahl von Benutzern nicht schützen, die keine Kontrolle darüber haben, ob Websites TLS verwenden oder nicht, und in der Regel nicht gut über den TLS-Status informiert sind. “

Von Browsern als vertrauenswürdig eingestuft: Zertifikate werden von IdenTrust zur Annahme kreuzsigniert, bis LE eine eigene Stammzertifizierungsstelle erhält, der von Browsern als vertrauenswürdig eingestuft wird. https://letsencrypt.org/certificates/

“Unser Intermediate ist von ISRG Root X1 signiert. Da wir jedoch eine sehr neue Zertifizierungsstelle sind, ist ISRG Root X1 noch nicht vertrauenswürdig die meisten Browser. Um sofort ein breites Vertrauen zu haben, wird unser Intermediate auch von einer anderen Zertifizierungsstelle, IdenTrust, signiert, deren Root bereits in allen gängigen Browsern vertrauenswürdig ist. Insbesondere hat IdenTrust unser Intermediate mit seiner DST-Stammzertifizierungsstelle X3 gegenseitig signiert. “

Verschlüsseln Sie auf der offiziellen Google Chrome-Website https://www.chromium.org/Home / chrom-security / Markierung-http-als-nicht sicher

Wenn Sie SSL öffentlich verwenden möchten und der Browser einen vertrauenswürdigen Status für ein Stammzertifizierungsstellenzertifikat anzeigen soll, müssen Sie eine vertrauenswürdige Zertifizierungsstelle verwenden, um Ihr Zertifikat zu signieren. Hier kommen VeriSign, GoDaddy usw. ins Spiel. Die Verwaltung einer vertrauenswürdigen Stammzertifizierungsstelle ist recht teuer. Sie benötigen Infrastruktur, Auditing, Personal usw., um Zertifikate bereitzustellen, und dann müssen Sie die Browser-Anbieter bezahlen, um sie im Browser zu speichern, z. B. etwa 250.000 US-Dollar für den Internet Explorer, obwohl diese Zahl schon eine Weile her ist.

Wenn Ihre SSL-Zertifikate nach innen gerichtet sind, können Sie Ihre eigene Zertifizierungsstelle erstellen, Ihre eigenen Zertifikate mit OpenSSL erstellen und diese dann an Ihre Unternehmensbenutzer weiterleiten. Dies ist viel billiger, aber nicht gerade kostenlos, da Sie noch Infrastruktur, Personal usw. benötigen, um es zu warten.

Lassen Sie uns sinnvoll darüber sprechen. Das SSL-Zertifikat dient dazu, eine Vertrauensstellung zwischen den Parteien herzustellen, und die Zertifizierungsstellen wie Verisign und Comodo sind vertrauenswürdige Drittanbieter (TTP), denen Erstanbieter (Benutzer) und Zweitanbieter (Webserver) vertrauen. Daher versprechen beide Parteien implizit, diesen Drittanbietern zu vertrauen, und Browser-Anbieter oder -Organisationen haben die Zertifikate explizit auf ihre eigenen Browser angewendet.

Dies bedeutet, dass die Zertifizierungsstellen von Drittanbietern ihr Vertrauen gekauft haben, indem sie dafür bezahlt haben, ein vertrauenswürdiger Dritter zu sein. Das "Bezahlen" bedeutet, dass sie ihre Infrastrukturen und Systeme investiert haben, um sie sicher zu machen. Wenn sie kompromittiert werden, können sie bankrott sein, da ihnen Dritte nicht mehr "vertrauen" würden.

Das ist also ihr Geschäftsmodell, sodass das SSL-Zertifikat nicht kostenlos sein kann. Natürlich haben einige Leute eine Gerechtigkeit wie " https://letsencrypt.org/", die ein kostenloses Zertifikat zur Verfügung stellt. Aber ich glaube, dass Root-Zertifizierungsstellen ihre Infrastruktur investieren müssen. und Systeme, um es sicherer zu machen, so dass das Geschäftsmodell davon vernünftig ist.