如果您忽略警告并在不安装证书的情况下继续操作,是否仍会在与使用自签名证书的设备的通信中应用加密?您是否需要安装它以确保加密,或者当用户忽略警告并继续时默认加密?
我了解完整性部分或由 CA 验证服务器或设备未应用,但只是想知道如果我们忽略浏览器警告并继续,是否会应用加密部分。
如果需要安装,在您仅通过 https 等从内部网络登录到仅限内部资产的环境中,假设是内部门户,是否建议将该自签名证书添加到受信任列表中,以便将应用加密,中间人攻击将无法看到发送过来的凭据。在纯内部生产设置(假设尚未设置 CA)中,自签名证书的最佳实践是什么。
如果您忽略证书警告仍然应用加密,但由于它是未经身份验证的加密,加密对活动对手(可以拦截和修改通过它的数据的 MITM 对手)毫无用处,因为活动对手可以重新加密您的连接.
在生产环境中使用自签名证书的最佳实践是将证书指纹与通过可信渠道获得的预期证书指纹进行比较。验证证书指纹后,您应该通过将证书添加到受信任列表来固定证书。此外,如果您需要使用大量证书和大量设备,您可以创建自己的证书颁发机构并将该根 CA 证书添加到根信任列表中。
是的,通信仍然使用自签名证书进行加密。
自签名证书可以由您制作,但也可以由任何攻击者制作。如果您坚持使用自签名证书,我建议您将证书标记为受信任,以便在发生活动的中间人攻击时收到警告。
创建您自己的 CA 证书并不比创建自签名证书更难,而且您现在和将来只需信任您的 CA 证书就可以创建受信任的证书。
密码学具有三个主要的安全目标:
TLS/SSL 握手中的证书用于提供身份验证,即保证客户端他正在与预期的服务器对话,而不是中间人攻击者。忽略证书警告将终止连接的此属性。
连接仍将通过加密手段保护以提供机密性和完整性,即只有初始通信伙伴(无论他们可能是谁)能够读取或修改消息。
仍然应用加密,自签名证书的问题是您无法保证所连接的服务器就是它所说的服务器。
问题不在于它们是自签名的,而在于它们不是由您信任的第三方签名的。当您浏览到 https 网站时,您的计算机会检查您获得的证书是否已由您信任的第三方签署,这意味着除非服务器受到威胁,否则您正在通过加密通道连接以及您是谁连接到的是他们所说的人。自签名后,您无法确定第二部分。