¿Qué tipo de certificado TLS debo usar para un sistema interno?

3

Tengo un sistema que no está conectado a la red pública. Este sistema se utiliza para abrir puertas dentro de un edificio. Abarca una red Wifi abierta donde los usuarios pueden abrir un sitio web específico e ingresar credenciales para abrir las puertas. Se utiliza un certificado TLS para asegurar la conexión entre el sitio web y el navegador. No tengo control sobre las máquinas de los usuarios finales. Lo más probable es que se conecten con dispositivos Android (algunos también tienen iPhones o PC normales). Ahora el antiguo certificado expira y estoy pensando en cuál podría ser la mejor solución a prueba de futuro:

  1. Certificado de Startcom CA : esta es la solución existente que teníamos. Sin embargo, varios navegadores ya no confían en esta CA. Así que espero que varios usuarios no tengan fácil acceso al sitio web.
  2. Certificado de Vamos a encriptar CA : esto requeriría que alguien recupere el certificado, vaya físicamente al hardware y cambie el certificado. Esto parece muy propenso a errores. Es bastante esfuerzo hacer esto y espero que la gente se olvide de esto.
  3. Certificado de CAcert CA : esta podría ser una solución posible. Aquí tendríamos que enseñar a los usuarios cómo importar el certificado raíz de CAcert y esto funcionaría.
  4. Comprar un certificado de una entidad emisora de certificados: también es una solución posible, pero la organización es bastante pequeña y no puede esforzarse para pagar esta cantidad de dinero para obtener un certificado.
  5. Crear un certificado autofirmado: esto también es factible, pero no sé cómo los navegadores manejarán este tipo de certificados en el futuro.

Entonces, ¿cuál es tu recomendación? ¿Qué tipo de certificado recomendaría y cuál es el mejor en términos de experiencia de usuario?

    
pregunta qbi 21.05.2017 - 11:45
fuente

2 respuestas

1

Los certificados autofirmados no deben usarse directamente en TLS, pero no hay nada de malo en crear una CA privada. Simplemente proporciona el certificado raíz a todos los clientes internos y todo funcionará bien exactamente como lo haría con los certificados pagados. La única diferencia es que los certificados raíz conocidos están precargados en los navegadores, mientras que usted tendrá que distribuir el suyo.

openssl contiene todo lo que se necesita para una CA, pero puede probar interfaces más fáciles como xca

    
respondido por el Serge Ballesta 25.05.2017 - 16:00
fuente
0

Compre un certificado adecuado de una CA conocida, que probablemente se admita dentro de los almacenes raíz de los dispositivos que se están conectando. Si el riesgo de perder la clave privada del certificado no es una preocupación, vaya con quien le ofrezca la vida útil más larga del certificado.

No instalaría / configuraría un certificado autofirmado. Esto ofrece poca o ninguna protección real. Sí, el tráfico se cifraría, pero no está realmente autenticado. Esto significa que un atacante podría Man-in-the-middle el tráfico y falsificar su propio certificado autofirmado, haciendo que sea inútil tener uno en primer lugar.

    
respondido por el ISMSDEV 25.05.2017 - 14:59
fuente

Lea otras preguntas en las etiquetas