¿Los certificados autofirmados no funcionan a través de Internet?

6

Mis certificados autofirmados no funcionan a través de Internet. ¿Cuáles pueden ser los problemas?

Aquí están los detalles de configuración:

  1. Tengo una máquina virtual de Windows en Azure con IIS y un certificado autofirmado para HTTPS. Las cosas están funcionando bien. El sitio se está abriendo sin problemas. NOTA: También tengo el dominio de configuración para poder acceder a esta información a través de Internet.

  2. Cuando intento acceder al sitio web basado en HTTPS desde mi computadora portátil personal, aparece un mensaje de error: This connection is not trusted .

En caso de error anterior en el navegador, tengo que aceptar la configuración para navegar en el sitio en modo no seguro y solo así puedo acceder a los datos. Pero esto no es lo que quiero.

Quiero acceder a los datos solo en modo seguro.

¿Cómo es esto posible utilizando certificados autofirmados?

    
pregunta Vipin Tanwar 03.08.2015 - 10:08
fuente

4 respuestas

2

Una posible solución para usted es instalar su certificado autofirmado como CA de confianza en su computadora portátil.

Consulte, enlace

Esto solucionará el problema que está describiendo (solo en esa computadora portátil y solo para los navegadores / otro software que usa raíces confiables para el sistema operativo, es decir, Firefox aún mostrará la advertencia, porque usa su propia CA raíz de confianza). / p>

Sin embargo, esto no funcionará en producción. Cada uno de sus visitantes tendría que agregar su certificado autofirmado como CA de confianza para evitar la advertencia del navegador. Hacerlo sería un grave riesgo para la seguridad.

    
respondido por el bayotop 03.08.2015 - 10:41
fuente
18

Incluso si ve un mensaje que dice que la conexión no es confiable, no significa que no sea una conexión HTTPS .

Para mostrar o no dichos mensajes de error, los navegadores intentan validar los certificados con los siguientes criterios:

  • ¿El nombre común del certificado coincide con el nombre de dominio ingresado en la barra de URL?
  • ¿La fecha actual entre la fecha de inicio de validez y la fecha de finalización de validez?
  • ¿El certificado está firmado por una Autoridad de Certificación (CA) bien conocida? (Esto es algo que no tiene con un certificado autofirmado)
  • ¿Se ha revocado el certificado? (No estoy seguro de que todos los navegadores validen este punto)

También hay otros mecanismos, pero olvidémoslos por ahora.

En su caso, si desea evitar este mensaje de error (lo que no significa que no navegue por su sitio web en HTTPS), puede:

  • Recuerda tu elección con Firefox (y no debes ser advertido nuevamente)
  • Firme su certificado con su propia CA e instale su CA como de confianza en Windows y Firefox (hay un artículo bastante bueno here , pero no está actualizado debido al uso de la firma SHA1 en lugar de SHA2)
  • Obtenga un certificado válido firmado por una CA conocida ( StartSSL , por ejemplo, que es gratis)
respondido por el Jyo de Lys 03.08.2015 - 11:01
fuente
12

El mensaje de error que recibió es el comportamiento normal de los navegadores cuando se trata de certificados autofirmados porque su certificado autofirmado no puede decir quién es realmente el destinatario de los datos (su servidor) (confianza), por lo que recibió el mensaje. Preguntándole si está seguro de que confía en su sitio web (serever). De todos modos, ya que su navegador no puede verificar que se está conectando a su servidor (correcto / real) dado que cualquier atacante puede crear un certificado autofirmado y lanzar un ataque Man-in-the-middle.

Para resolver su problema, agregue una excepción a la regla de conexión según el navegador que esté usando para acceder a su sitio web.

    
respondido por el user45139 03.08.2015 - 10:47
fuente
2

Https es http a través de TLS / SSL. TLS proporciona tres cosas:

  1. cifrado de datos
  2. Autenticación del servidor (el servidor es quien dicen ser)
  3. Autenticación del cliente (el cliente es quien dice ser)

Para lograr 1) un certificado autofirmado es suficiente, pero para 2) necesita un certificado firmado por una entidad de certificación conocida por el cliente (su navegador). Desafortunadamente, todos los navegadores actuales siempre requieren 1) y 2) para https y, por lo tanto, no aceptan certificados autofirmados (al menos no sin dar advertencias de miedo y hacer que los usuarios se desplacen para ver la página) , aunque para muchas situaciones solo 1) podría ser suficiente.

Si solo usted o un pequeño grupo bajo su control tendrá acceso al sitio, puede instalar su certificado autofirmado en cada navegador como un certificado raíz de confianza. Básicamente te conviertes en tu propia autoridad de certificación.

Si extraños accederán a este sitio, no tiene más remedio que obtener su certificado firmado por una autoridad de certificados conocida. Afortunadamente, hay autoridades de certificación que lo harán de forma gratuita, como StartSSL .

Tenga en cuenta que hay un movimiento hacia " encriptación oportunista ", que resolvería este problema y podría permite https usando un certificado autofirmado. Sin embargo, pasará un tiempo antes de que el soporte para esto sea un lugar común, si alguna vez sucede. Firefox lo implementó , pero posteriormente lo deshabilitó Debido a problemas de seguridad. Vea también episodio 502 del podcast Security Now si está interesado en los detalles.

    
respondido por el Pepijn Schmitz 03.08.2015 - 14:04
fuente

Lea otras preguntas en las etiquetas