SSL menghasilkan sertifikat "minyak ular" yang ditandatangani sendiri secara default, misalnya di /etc/ssl/certs/ssl-cert-snakeoil.pem
. Sesuai Wikipedia , minyak ular adalah metode kriptografi atau produk yang dianggap curang atau palsu. Apakah ada yang palsu tentang sertifikat ini? Tentu, mereka tidak ditandatangani oleh otoritas sertifikat yang dikenal, tetapi sertifikat itu sendiri masih bisa berupa sertifikat asli dan yang lainnya. Misalnya, saya mungkin mendistribusikan kunci publik server saya ke semua klien saya secara pribadi. Dengan asumsi ini, apakah ada minyak ular yang layak untuk sertifikat yang dihasilkan, atau apakah namanya menyesatkan?
sumber
Sertifikat yang ditandatangani sendiri akan mengenkripsi komunikasi Anda sama seperti yang standar. Jadi enkripsi bukan masalahnya.
Sertifikat juga dapat digunakan untuk memverifikasi identitas. Bagaimana seharusnya bekerja adalah bahwa ketika Anda terhubung dengan aman ke server, server itu menyajikan sertifikatnya kepada Anda atau browser Anda, dan kemudian Anda atau browser Anda memutuskan apakah Anda dapat mempercayai pernyataan identitas server.
Sertifikat dapat ditandatangani oleh sertifikat "tingkat lebih tinggi" lainnya, biasanya disebut otoritas sertifikasi. Jadi, jika sertifikat server ditandatangani oleh CA yang Anda atau browser Anda percayai, identitas tersebut dianggap sah.
Sebagian besar browser utama memiliki sejumlah sertifikat root yang mereka percayai secara otomatis, dari Verisign dan CA terkenal lainnya.
Dengan sertifikat yang ditandatangani sendiri, karena tidak ditandatangani oleh CA pihak ketiga tetapi entitas yang sama yang membuat sertifikat, Anda tidak dapat bergantung pada orang lain untuk memverifikasi identitas kecuali orang yang menghasilkan sertifikat. Itu setara dengan seseorang yang mencetak kartu identitas mereka sendiri dan memberikannya kepada Anda untuk memverifikasi identitas. Ini bukan masalah, meskipun ada peringatan browser, jika Anda tahu / percaya siapa yang membuat sertifikat atau melakukannya sendiri.
sumber
Wikipedia juga mengatakan: "Minyak ular adalah ekspresi yang awalnya merujuk pada produk kesehatan yang curang atau obat yang tidak terbukti tetapi telah merujuk pada produk apa pun dengan kualitas atau manfaat yang dipertanyakan atau tidak dapat diverifikasi".
Kualitas yang tidak dapat diverifikasi yang penting dalam konteks ini. Jika Anda menjelajahi situs SSL yang tidak memiliki rantai sertifikat ke Otoritas Sertifikat tepercaya maka Anda tidak dapat mengandalkan SSL untuk memverifikasi bahwa situs tersebut dimiliki dan dioperasikan oleh orang atau organisasi yang memiliki domain (seperti yang ditampilkan di Anda bilah url browser).
Browser web modern menampilkan peringatan keamanan saat menelusuri situs dengan sertifikat yang ditandatangani sendiri ("minyak ular") karena mereka tidak memiliki rantai sertifikat tepercaya ini. Ini bisa mengganggu pada Intranet pribadi, misalnya, tetapi tidak dengan cara apa pun melindungi orang dari memasukkan data pribadi dan informasi pembayaran ke situs phishing.
sumber