Сертификат CA рекомендовать или нет для блога, содержащего сайт?
Я создаю простой блог-сайт с использованием Apache и следую инструкциям, чтобы включить SSL / TLS на моем сервере: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html
Для целей данного веб-сайта наилучшей практикой будет получение доверенного сертификата CA.
Разве не имеет смысла действие по включению SSL / TLS на Сервере и использованию самозаверяющего сертификата вместо использования только HTTP или SSL / TLS без CA?
Любая обратная связь будет благодарна, чтобы получить больше понимания.
3 ответа
Да, правильный сертификат, подписанный CA, является наилучшей практикой. Самозаверяющие сертификаты должны использоваться только в очень ограниченной среде, например, для целей разработки.
К счастью, вы можете просто использовать https://letsencrypt.org/, это бесплатно, просто в использовании и с момента его появления больше нет оправдания не шифровать или использовать только подписанные сертификаты.
Некоторое объяснение: подписанные сертификаты имеют двойное назначение - помимо шифрования, они также должны показывать, что служба является законной и что объект, на котором работает служба, контролирует домен (на более высоких уровнях проверки она также включает проверенную идентификацию владелец сертификата, например, что центр сертификации подтвердил, что сертификат действительно был создан от имени существующей компании Example Inc.).
Отсутствие сертификата, подписанного доверенным центром сертификации, приведет к тому, что (все?) Браузеры прямо отклонят соединение со строгим предупреждением. Заставлять своих пользователей создавать исключения для вашего сайта считается плохой практикой, потому что большинство пользователей должны только узнать, что, если они видят такого рода предупреждения, они не должны продолжать, поскольку что-то очень неправильно - их не следует учить игнорировать это.
Важно, чтобы ваш блог был зашифрован с помощью доверенного сертификата CA SSL вместо самоподписанных сертификатов.
SSL обеспечивает целостность, аутентичность и безопасность данных для вашего блога и помогает защитить сайт от атак типа "злоумышленник в середине" и подслушивания, поэтому хакеры не могут изменять контент. Сертификаты, подписанные CA, предлагают 2048-битный ключ шифрования промышленного стандарта и подтверждают ваш контроль над доменом, чтобы доказать надежность сайта.
Google объявил
По этим причинам в течение последних нескольких месяцев мы проводили тесты с учетом того, используют ли сайты безопасные зашифрованные соединения в качестве сигнала в наших алгоритмах ранжирования поиска. Мы видим положительные результаты, поэтому мы начинаем использовать HTTPS в качестве сигнала ранжирования. Пока это только очень легкий сигнал, затрагивающий менее 1% глобальных запросов и несущий меньший вес, чем другие сигналы, такие как высококачественный контент, в то время как мы даем веб-мастерам время для перехода на HTTPS. Но со временем мы можем решить усилить его, потому что мы хотели бы призвать всех владельцев веб-сайтов перейти с HTTP на HTTPS, чтобы обеспечить всем безопасность в Интернете.
Источник: https://security.googleblog.com/2014/08/https-as-ranking-signal_6.html
Самоподписанные против CA подписанные сертификаты SSL
Когда мы говорим о безопасности, оба сертификата обеспечивают одинаковую защиту и шифрование для вашего сайта, и ваша общая информация будет надежно защищена в Интернете. Разница между обоими сертификатами заключается в доверии клиентов.
CA - это лицо, которое проверяет веб-сайт и / или права собственности перед выпуском цифрового сертификата для вашего веб-сайта. Это означает, что обработка аутентификации сторонними организациями, а также отдельные сертификаты CA распознаются всеми браузерами и обнаруживают безопасные признаки - зеленый замок и HTTPS://, поэтому ваши пользователи могут легко заметить, что сайт безопасен и надежен.
Самозаверяющий сертификат генерируется самостоятельно, когда процесс проверки отсутствует, это означает, что существует серьезный вопрос честности веб-сайта. Браузеры не поддерживают самозаверяющие сертификаты и встречают ваши веб-страницы с предупреждением.
Подробнее о риске, связанном с самоподписанным сертификатом: https://www.ssl2buy.com/wiki/self-signed-certificate-vs-trusted-ca-signed-certificate/
С точки зрения безопасности оба сертификата могут быть созданы для обеспечения безопасности и обеспечения HTTPS-соединения. Основным отличием является "доверие". Сертификат от доверенного центра сертификации означает, что ваш сайт защищен, так как он сертифицирован надежным источником. CA, как Comodo, проверяет владение доменом и данные о бизнесе перед выдачей сертификата.
Самостоятельно подписанный сертификат может использоваться веб-разработчиками при работе на защищенном веб-сайте; они могут проверить сайт, используя самозаверяющий сертификат безопасности SSL. Самозаверяющий сертификат - это как самопроверкаемый документ или водительские права, которые нельзя использовать ни в одном юридическом процессе или проверке. Для любой юридической работы вам необходим сертификат, подтвержденный юридическим органом.
Таким образом, сертификат SSL от доверенного CA будет идеальным решением, поскольку HTTPS теперь является фактором рейтинга Google наряду с веб-безопасностью. А для блога вы можете принять проверенный SSL домена, который предлагается по низкой цене от многих CA.