Ich bin ein .net-Entwickler und arbeite derzeit daran, das asp.net-Projekt von http auf https zu migrieren.
Ich habe einige Tutorials durchgearbeitet und frage mich, ob ich etwas verpasst habe.
Bis jetzt:
Ich habe CA auf dem Server installiert und konfiguriert. Der CA-Dienst läuft einwandfrei, aber ich bin mir nicht ganz sicher, ob er von außen zugänglich sein muss. Ich habe einen localhost/certsrv laufen, um die Zertifikatsanforderungen zu übermitteln. Später melde ich mich beim Server an und bestätige/lehne die Anforderungen ab.
Auf demselben Server habe ich einen IIS konfiguriert. Das vom CA-Dienst generierte Zertifikat bestätigt. Die anonyme Authentifizierung aktiviert und das im Klartext zu sendende Passwort festgelegt.
Ich bin mir nicht 100%ig sicher, wie das Zertifikat funktioniert. Verstehe ich das richtig?
- Ich melde mich auf der Website an: https\someaddress.domain\site
- Da dieser Website ein Zertifikat zugeordnet ist, wird ein Fenster mit dem Hinweis angezeigt, dass es sich um ein unbekanntes Zertifikat handelt.
- Ich bestätige, dass ich die Website ansehen möchte und der Browser leitet mich auf diese Website weiter.
Wie verbessert dies die Sicherheit beim Übertragen von Daten zwischen Browser und Webserver?
Antwort1
Da hast du recht. Das Problem mit einem selbstsignierten Zertifikat ist, dass es sich nicht um eine Signaturstelle handelt, die standardmäßig in Ihrem vertrauenswürdigen Stammverzeichnis enthalten ist (daher die Meldung, dass es sich nicht um einen bekannten Anbieter handelt). Für manche Leute ist das kein Problem (OWA fällt mir da ein). Damit Unternehmen jedoch Transaktionen im Internet durchführen können, benötigen Sie ein Zertifikat von einer bekannten Stelle (Verisign, GeoTrust usw.), damit eine HTTPS-Verbindung einfach zustande kommt und der Benutzer nicht dazu aufgefordert wird.
Und was die Verbesserung der Sicherheit angeht: Ja, das tut es. Es verschlüsselt den Datenverkehr vom Browser des Benutzers zu Ihrem Server.
Die CA muss von außen nicht sichtbar sein.
Auch bei selbstsignierten Zertifikaten gibt es einige Dinge zu beachten. Da der Browser bei jedem Besuch der Site um Erlaubnis bittet, es sei denn, Sie installieren es im Stammverzeichnis, ist es ziemlich einfach, Ihren Benutzern ein falsches Sicherheitsgefühl zu suggerieren. Was ich meine, ist, dass sie diese Nachricht bei jedem Besuch Ihrer Site erhalten. Ein wenig ARP-Poisoning und die Veröffentlichung eines gefälschten Zertifikats ist ziemlich einfach und ab diesem Zeitpunkt gehört Ihre „verschlüsselte“ Verbindung.