我的任务是为命令行软件开发intranet接口,现在我正在研究安全选项。我们的命令行应用程序已经完成,但我还没有开始编写web界面。我不知道潜在客户的安全要求是什么,尽管我相信ssh对于命令行接口来说是可以接受的。考虑到这一点,我请求帮助开发一个包含相关利弊的菜单。总有一天,我们可能会考虑将我们的网络界面发布到互联网上,所以如果它简单和/或免费,我愿意考虑比目前更安全的问题。
我已经读了很多书,我的初步结论是,没有证书的SSL安全性是最好的方法,不是因为安全性低是不可接受的,而是因为SSL是标准,而且它似乎不难设置。I、 非安全专家不需要解释为什么非安全专家可以接受较低的安全性。如果有必要,我可以在将来升级我的应用程序以使用证书。
以下是与SSL相关的安全选择列表,根据我对安全级别的看法和我的评论进行排序。我需要什么级别的保护?
-
无SSL如果我们的客户不担心他们的员工看到/更改彼此的数据,这可能是可以接受的。他们的员工可能无论如何都想互相分享结果,为了安全起见,我可以使用基于IP的访问控制和/或密码。
-
在没有证书的情况下执行SSL这会对通信进行加密,至少可以保护数据不被未经授权的员工读取。使用密码,这与命令行上的
ssh具有相同的安全级别,对吧?我不需要担心内部网中的中间人攻击,对吧?这种方法的缺点是如果有大量的浏览器警告消息。 -
使用自签名证书执行SSL这给了我什么,而没有证书给我什么?如果DNS可以被不适当地更改,那么客户和我的应用程序是他们最不关心的。换句话说,如果DNS可以更改,那么我认为
ssh也会受到攻击。 -
使用本地证书颁发机构执行SSLOpenSSL允许我创建自己的证书颁发机构。这给了我什么,而自签名证书没有?我假设在局域网上,验证服务器不那么重要。
-
使用外部证书颁发机构执行SSL有没有理由走这条路来建立内部网?我在网上找到了一些"内部网证书",但不清楚他们提供的是什么,我自己做不到。
为了参考,此页面可能有助于比较证书:
http://httpd.apache.org/docs/trunk/ssl/ssl_faq.html#aboutcerts
[更新]
这是一篇讨论从公共CA获得内部证书的风险和规则的文章。
是的,证书对Intranet SSL仍然有用。
SSH和没有证书的SSL-之间有一个重要区别:当您第一次使用SSH连接到服务器时,SSH会存储服务器的指纹。如果您尝试连接到SSH客户端认为是同一台机器,但得到了不同的指纹,它会提醒您可能有人在拦截您的通信。
另一方面,没有证书的SSL-不存储服务器的指纹。你的通信仍然会被加密,但如果有人像你提到的那样以某种方式劫持了DNS服务器,或者,正如Rushyo所指出的,进行ARP中毒或类似的事情,他们将能够进行中间人攻击。正如前面提到的,SSH(假设您在过去某个时间连接到了正确的服务器)会注意到指纹发生了变化并向您发出警报。
自签名证书的安全性可以与SSH相媲美。中间的人可以生成他们自己的自签名证书,但只要您的应用程序配置为仅接受自签名证书的,您就应该收到与SSH将向您发出的警报类似的警报。
本地证书颁发机构为您提供类似于自签名证书的安全性,但可能更具可扩展性。如果您有多个服务器,每个服务器都可以有自己的证书,但客户端只需要顶级证书就可以信任所有服务器。如果服务器被破坏,您可以吊销其证书,而不必更改每个服务器的证书。
我认为外部证书颁发机构没有任何优势,除了如果您的计算机已经信任证书颁发机构,则可能配置更少之外。
最后,我对双因素身份验证的了解还不足以对其进行评估,但对于大多数应用程序来说,SSL应该已经足够了。
免责声明:我不是安全专家
- 使用外部证书颁发机构执行SSL。有没有理由走这条路建立内联网?我在网上找到了一些"内部网证书",但不清楚他们提供的是什么,我自己做不到
好处是,如果您需要管理大量证书和/或机器,则无需学习如何设置自己的证书颁发机构。这样的证书已经被所有浏览器信任,而无需将自己的证书安装到受信任的存储中。
但是,这实际上不太安全,因为有人可以为不同的intranet购买证书并在您的网络上使用。因此,SSL供应商不再提供此服务。有关详细信息,请参阅:https://www.godaddy.com/help/phasing-out-intranet-names-and-ip-addresses-in-ssls-6935
如果您只有一个非常小的intranet,那么我建议您使用自签名证书,然后将每个自签名证书添加到每台计算机的可信存储中。
但是,每当您想添加新计算机时,在intranet中的每台计算机上安装新证书很快就会变得不切实际。此时,您需要设置自己的证书颁发机构,以便只需要在每台计算机的受信任存储中安装一个CA证书。