Я разработчик .net и в настоящее время работаю над переводом проекта asp.net с http на https.
Я проработал несколько руководств и теперь думаю, не упустил ли я что-нибудь важное.
До сих пор:
Я установил и настроил CA на сервере. Служба CA работает нормально, но я не совсем уверен, нужно ли, чтобы она была доступна извне? У меня запущен localhost/certsrv для отправки запросов на сертификаты. Позже я захожу на сервер и подтверждаю/отклоняю запросы.
На этом же сервере я настроил IIS. Подтвердил сертификат, который был сгенерирован службой CA. Включил анонимную аутентификацию и установил отправку пароля открытым текстом.
Я не на 100% понимаю, как работает сертификат. Я правильно понимаю?
- Я захожу на сайт: https\someaddress.domain\site
- С этим веб-сайтом связан сертификат, поэтому появляется окно с сообщением о том, что это неизвестный сертификат.
- Я подтверждаю, что хочу просмотреть веб-сайт, и браузер перенаправляет меня на этот веб-сайт.
Как это повышает безопасность при передаче данных между браузером и веб-сервером?
решение1
Вы правы. Проблема с самоподписанным сертификатом в том, что он не является центром подписи, который включен в ваш доверенный корень по умолчанию (отсюда и сообщение, что это неизвестный поставщик). Для некоторых людей это не проблема (на ум приходит OWA). Однако для предприятий, чтобы проводить транзакции в Интернете, вам понадобится сертификат от известного центра (Verisign, GeoTrust и т. д.), чтобы соединение HTTPS просто происходило, а пользователю не предлагалось его сделать.
А что касается улучшения безопасности, то да, черт возьми. Он шифрует трафик от браузера пользователя до вашего сервера.
CA не обязательно должен быть виден снаружи.
Есть несколько вещей, которые следует помнить и о самоподписанных сертификатах. Поскольку браузер запрашивает разрешение, если вы не установите его в корне, каждый раз, когда вы посещаете сайт, довольно легко ввести ваших пользователей в ложное чувство безопасности. Я имею в виду, что поскольку они будут получать это сообщение каждый раз, когда они посещают ваш сайт, сделать небольшое отравление arp и опубликовать поддельный сертификат довольно легко, и в этот момент ваше «зашифрованное» соединение становится собственностью.