Apakah sertifikat minyak ular default SSL benar-benar minyak ular dan bukan sertifikat jujur-untuk-baik yang asli? [Tutup]

12

SSL menghasilkan sertifikat "minyak ular" yang ditandatangani sendiri secara default, misalnya di /etc/ssl/certs/ssl-cert-snakeoil.pem. Sesuai Wikipedia , minyak ular adalah metode kriptografi atau produk yang dianggap curang atau palsu. Apakah ada yang palsu tentang sertifikat ini? Tentu, mereka tidak ditandatangani oleh otoritas sertifikat yang dikenal, tetapi sertifikat itu sendiri masih bisa berupa sertifikat asli dan yang lainnya. Misalnya, saya mungkin mendistribusikan kunci publik server saya ke semua klien saya secara pribadi. Dengan asumsi ini, apakah ada minyak ular yang layak untuk sertifikat yang dihasilkan, atau apakah namanya menyesatkan?

Prateek
sumber

Jawaban:

10

Remeber SSL melayani dua fungsi yang sangat penting

  1. Komunikasi yang aman
  2. Kepercayaan

Setiap sertifikat SSL yang dibuat sendiri memberi Anda 1. yang memungkinkan lalu lintas terenkripsi atau seperti yang Anda katakan sertifikat SSL yang valid.

Namun sertifikat SSL yang dihasilkan sendiri hanya dapat memberikan Kepercayaan kepada orang-orang yang mempercayai Anda. Alasan sertifikasi SSL dibuat oleh pihak ketiga yang tepercaya adalah untuk memberikan nomor 2. Browser Anda mempercayai mereka dan mereka mempercayai Anda. Jika Anda membuatnya sendiri, Anda bisa mengklaim sebagai www.microsoft.com dan jika seseorang memercayai Anda, itu akan menjadi www.microsoft.com.

Juga seperti yang ditunjukkan dalam komentar ini adalah mengapa Anda tidak harus mempercayai seseorang yang menandatangani sertifikat sendiri untuk server mereka karena browser Anda tampaknya akan mempercayai sertifikat masa depan yang ditandatangani oleh server yang sama.

Inilah sebabnya mengapa diproduksi sendiri adalah sertifikat minyak ular.

Pembaruan: Layanan LetsEncrypt digabungkan dengan server web modern seperti Caddy mengambil hampir semua kesulitan untuk mendapatkan dan menggunakan sertifikat TLS, jadi tidak perlu lagi sertifikat minyak ular lagi!

Toby Allen
sumber
2
"Jika Anda menghasilkannya sendiri, Anda dapat mengklaim sebagai www.microsoft.com" - yang juga merupakan alasan mengapa seseorang tidak boleh mempercayai sertifikat root yang ditandatangani sendiri oleh seseorang (saat itu setiap sertifikat yang dibuat dengan root yang sama di kemudian hari, akan menjadi dipercaya juga).
Arjan
tetapi bagaimana sertifikat SSL yang dibuat sendiri dibedakan dari sertifikat minyak ular? Bukankah sertifikat yang diproduksi sendiri, pada dasarnya, adalah sertifikat minyak ular? Apa perbedaan antara sebuah sertifikat minyak ular dan para sertifikat minyak ular?
Thufir
4

Sertifikat yang ditandatangani sendiri akan mengenkripsi komunikasi Anda sama seperti yang standar. Jadi enkripsi bukan masalahnya.

Sertifikat juga dapat digunakan untuk memverifikasi identitas. Bagaimana seharusnya bekerja adalah bahwa ketika Anda terhubung dengan aman ke server, server itu menyajikan sertifikatnya kepada Anda atau browser Anda, dan kemudian Anda atau browser Anda memutuskan apakah Anda dapat mempercayai pernyataan identitas server.

Sertifikat dapat ditandatangani oleh sertifikat "tingkat lebih tinggi" lainnya, biasanya disebut otoritas sertifikasi. Jadi, jika sertifikat server ditandatangani oleh CA yang Anda atau browser Anda percayai, identitas tersebut dianggap sah.

Sebagian besar browser utama memiliki sejumlah sertifikat root yang mereka percayai secara otomatis, dari Verisign dan CA terkenal lainnya.

Dengan sertifikat yang ditandatangani sendiri, karena tidak ditandatangani oleh CA pihak ketiga tetapi entitas yang sama yang membuat sertifikat, Anda tidak dapat bergantung pada orang lain untuk memverifikasi identitas kecuali orang yang menghasilkan sertifikat. Itu setara dengan seseorang yang mencetak kartu identitas mereka sendiri dan memberikannya kepada Anda untuk memverifikasi identitas. Ini bukan masalah, meskipun ada peringatan browser, jika Anda tahu / percaya siapa yang membuat sertifikat atau melakukannya sendiri.

LawrenceC
sumber
2

Wikipedia juga mengatakan: "Minyak ular adalah ekspresi yang awalnya merujuk pada produk kesehatan yang curang atau obat yang tidak terbukti tetapi telah merujuk pada produk apa pun dengan kualitas atau manfaat yang dipertanyakan atau tidak dapat diverifikasi".

Kualitas yang tidak dapat diverifikasi yang penting dalam konteks ini. Jika Anda menjelajahi situs SSL yang tidak memiliki rantai sertifikat ke Otoritas Sertifikat tepercaya maka Anda tidak dapat mengandalkan SSL untuk memverifikasi bahwa situs tersebut dimiliki dan dioperasikan oleh orang atau organisasi yang memiliki domain (seperti yang ditampilkan di Anda bilah url browser).

Browser web modern menampilkan peringatan keamanan saat menelusuri situs dengan sertifikat yang ditandatangani sendiri ("minyak ular") karena mereka tidak memiliki rantai sertifikat tepercaya ini. Ini bisa mengganggu pada Intranet pribadi, misalnya, tetapi tidak dengan cara apa pun melindungi orang dari memasukkan data pribadi dan informasi pembayaran ke situs phishing.

John Ball
sumber