Les certificats sont utiles pour l'intranet SSL?

J'ai été chargé du développement d'un intranet de l'interface de ligne de commande du logiciel, et maintenant je suis à la recherche d'options de sécurité. Notre application en ligne de commande est terminé, mais je n'ai pas commencé à écrire l'interface web. Je ne sais pas exactement ce que les exigences de sécurité pour les clients potentiels, même si je crois ssh est généralement acceptable pour l'interface de ligne de commande. Avec cela à l'esprit, je suis en demandant de l'aide pour l'élaboration d'un menu de choix avec leurs avantages/inconvénients. Un jour, on peut envisager la libération de notre interface web pour l'internet, donc je suis prêt à envisager plus en sécurité qu'à l'heure actuelle nécessaire si c'est facile et/ou gratuit.

J'ai fait beaucoup de lecture, et ma conclusion provisoire est que le système de sécurité SSL avec aucun certificat n'est la meilleure approche, non pas parce que moins de sécurité est inacceptable, mais parce que le protocole SSL est la norme, et parce qu'il ne semble pas être difficile à mettre en place. J', une sécurité non-expert, n'aurait pas besoin d'expliquer pourquoi moins de sécurité est acceptable pour la sécurité des non-experts. J'ai pu mettre à jour mon application pour utiliser un certificat à l'avenir si nécessaire.

Voici une liste de SSL de sécurité liés à des choix, triés par ma perception du niveau de sécurité avec mes commentaires. Quel est le niveau de protection dont j'ai besoin?

  1. Pas de SSL. Cela peut être acceptable si nos clients ne sont pas inquiets au sujet de leurs employés de voir/modifier des uns et des autres données. Leurs employés souhaitez partager des résultats les uns avec les autres de toute façon, et j'ai pu utiliser la propriété intellectuelle de contrôle d'accès et/ou le mot de passe pour plus de sécurité.

  2. Faire SSL sans certificat. Ce chiffre la communication, qui protège la lecture des données par les employés non autorisés. À l'aide d'un mot de passe, c'est le même niveau de sécurité que ssh sur la ligne de commande, non? Je n'ai pas besoin de vous soucier de man-in-the-middle attaques dans un intranet, à droite? Un inconvénient de cette approche serait si il y avait beaucoup de navigateur messages d'avertissement.

  3. Faire SSL avec un certificat auto-signé. Qu'est-ce qu'elle me donne pas de certificat donne moi? Si le DNS peut être changé de façon inappropriée, le client alors ma demande est le cadet de leurs soucis. Formulé d'une autre manière, si le DNS peut changer, alors je pense que ssh seraient trop vulnérables.

  4. Faire SSL auprès d'une Autorité de certification locale. OpenSSL me permet de faire mon propre Autorité de certification. Qu'est-ce qu'elle me donne un certificat auto-signé n'est pas? Je pars du principe que sur un réseau local, c'est moins important pour que le serveur puisse être vérifiée.

  5. Faire SSL avec un Certificat d'Autorité. Est-il toujours une raison d'aller dans cette voie pour un intranet? J'ai trouvé quelques "intranet certificats pour la vente en ligne, mais il n'est pas clair ce qu'ils t'offre, je ne peux pas faire moi-même.

Pour référence, cette page peut être utile pour comparer les certificats:

http://httpd.apache.org/docs/trunk/ssl/ssl_faq.html#aboutcerts

[mise à jour]

Voici un article portant sur les risques et les règles d'obtention d'un certificat interne à partir d'une autorité de certification publique.

  • Je pourrais peut-être ajouter le mot "comment" au début du titre.
  • Ridicule de fermeture. La question n'est pas "trop grands". Il a un mot de réponse oui/non. Le vote pour la rouvrir.
  • "Trop large" semble mal, mais ce n'est probablement pas la programmation, peut-être ServerFault territoire? De toute façon:
  • 2: n'est habituellement pas possible; il y a quelques SSL suites de chiffrement qui n'utilisent pas de serveur certs, mais ils sont largement appliqués dans la nature. 3: comme avec ssh l'hypothèse est que si vous voulez le faire en toute sécurité, vous devez pré-distribuer les bonnes certs/clés pour chaque serveur. 4: plus facile à gérer que 3 mais là encore, l'hypothèse serait vous le feriez dans le déploiement de votre autorité de certification interne pour toutes vos machines via bon canal de distribution. 5: vous utilisez une autorité de certification externe si elles peuvent fournir ce service à un coût moins cher que votre entreprise employant quelqu'un de suffisamment compétent pour le faire en interne.
InformationsquelleAutor amos | 2014-01-03