¿Hay alguna diferencia entre un certificado autofirmado y uno firmado por su propia CA?

11

Necesitamos usar SSL en nuestra red interna para algunas aplicaciones confidenciales, y necesito saber si hay una diferencia entre un certificado autofirmado y uno firmado por una CA de Windows Server que configuramos. ¿Necesitamos configurar una CA?

security  ssl-certificate 
Max Schmeling
fuente

Respuestas:

10

A corto plazo para un solo servicio, no hay mucha diferencia.

Si decide que necesita configurar más servicios que usan SSL, puede encontrar que configurar una CA hubiera sido una mejor opción.

Si configura una CA, debería poder hacer que sus clientes confíen en la CA y, por lo tanto, en cualquier certificado que firme. Una vez que CA está arriba, agregar servicios adicionales es fácil. Con muchos certificados autofirmados, un usuario tendrá que aceptar cada certificado por separado.

¿Estás diciendo que tienes una CA de Windows? Si ya tienes uno, lo usaría. Si aún no tiene uno, estaría tentado a usar un sistema liviano como TinyCA que podría ejecutar en una VM o fuera de Linux en un disco USB.

Zoredache
fuente
¡Increíble! Esa es exactamente la información que estaba buscando.
Max Schmeling
2

Un certificado puede contener información sobre los usos para los que está autorizado, por ejemplo, si se permite su uso para firmar otros certificados de clave pública o si se trata de un certificado de CA. Algunas implementaciones pueden verificar ese tipo de información y negarse a honrar un certificado para ciertos fines sin la información correcta

Los ejemplos de estos datos adicionales incluyen:

  • La extensión "Uso de clave" (OID 2.5.29.15), que podría especificar si este certificado está permitido o no para la firma de certificados clave.
  • La extensión "Restricciones básicas" (OID 2.5.29.19), que especifica si se trata o no de un certificado de CA.

Si está creando su propio certificado autofirmado, y desea usarlo como un certificado CA, y desea aumentar sus posibilidades de que sea aceptado por cualquier software con el que lo usará, probablemente debería asegurarse contiene valores configurados correctamente para esas dos extensiones que mencioné anteriormente.

Si omite esas dos extensiones, muchas implementaciones aún podrían honrarlo como un certificado de CA, pero algunas implementaciones podrían no hacerlo.

Spiff
fuente
0

Si desea firmar sus propios certificados, necesitará una CA (ya sea suya o oficial). Sin embargo, no necesita enviar su CA a los usuarios a menos que planee firmar varios certificados y desee que sus usuarios solo tengan que aceptar uno (es decir, si instalan su CA, todos los certificados que emita serán aceptados). Sería mejor impulsar la CA a largo plazo.

Arrendajo
fuente
-1

¿No son lo mismo? Un certificado emitido por su propia CA interna está "autofirmado", lo que significa que no fue emitido por una CA externa, ¿verdad?

joeqwerty
fuente
No. La propiedad "autofirmada" no tiene nada que ver con CA externas versus internas. De hecho, los certificados raíz de todas las CA externas están autofirmados. Simplemente vaya a cualquier sitio web SSL, como google mail, y examine cada certificado en la cadena de certificados.
presidente James Moveon Polk el
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.