Temos um serviço da web que nosso aplicativo usa e os desenvolvedores exigem conexões https para o serviço da web. Como este é um serviço da web interno, você usaria um certificado autoassinado?
Temos um serviço da web que nosso aplicativo usa e os desenvolvedores exigem conexões https para o serviço da web. Como este é um serviço da web interno, você usaria um certificado autoassinado?
Respostas:
Em vez de um certificado autoassinado, eu criaria uma CA raiz local e depois geraria o certificado SSL a partir disso, garantindo que todos os sistemas internos tenham uma cópia da chave pública da CA raiz.
As chaves geradas dessa maneira têm muitos usos fora do HTTPS comum, elas também podem ser usadas para OpenVPN, POP3S, SMTPS etc., mesmo para contas SMIME individuais.
Ter uma única CA raiz para sua organização é muito melhor do que ser resgatado pelas CAs reconhecidas, que cobrarão todos os servidores para os quais você deseja um certificado e se atreverão a cobrar uma "taxa de licença", se desejar colocar o mesmo certificado em vários servidores em um cluster com balanceamento de carga.
tente CAcert . eles são gratuitos, você só precisa ter o root instalado. uma etapa acima de ter certificados autoassinados.
Se o custo é um problema e você está no Windows, como o Sr. Denny sugere, vá com o Microsoft Certificate Services e implante os certificados como parte do GPO de domínio padrão. Você provavelmente precisará de três sistemas, mas poderá ser VMs. Você precisará da CA raiz, que deve ser usada apenas para emitir os certificados para as CAs intermediárias. Você deve ter uma autoridade de certificação intermediária como a autoridade de certificação corporativa e a terceira como autoridade de certificação "autônoma" para poder emitir certificados para ativos que não sejam de domínio.
Se você tem muitos clientes e é grande o suficiente, pode ter uma raiz de uma das soluções de terceiros e emitir seus próprios certificados de uma CA que obtém o certificado desse terceiro. Dessa forma, você não precisa implantar o certificado da CA. Por exemplo, existe uma solução da GeoTrust .
Pelo baixo preço dos certificados para iniciantes, como o rapidssl, eu provavelmente compraria um deles, pelo menos se você precisar apenas de um mínimo deles. Eu acho que vale a pequena taxa para impedir que os usuários aceitem o certificado autoassinado não confiável, pois sempre causa alguns problemas com usuários não técnicos.
Supondo que você seja um domínio do Windows para suas áreas de trabalho, configure uma CA do Windows internamente, a qual será automaticamente confiável por todos os computadores da empresa via AD. Dessa forma, você pode emitir certificados para todos os aplicativos internos de que precisa, sem precisar adquirir um certificado.
Normalmente, sim, eu usaria um certificado PEM autoassinado para essas coisas. No entanto, qual a sensibilidade do site na sua intranet? Existem boas práticas a serem seguidas em relação à máquina que realmente assina os certificados. E outras que podem ou não ser aplicadas a você.
Além disso, como um armazenamento CA interno seria configurado para os usuários? Depois de aceitar um certificado, você saberá se ele muda .. o que me traz de volta às boas práticas que envolvem a máquina que os assina (ou seja, assine e desconecte-o).
É útil ter sua própria CA interna, se você a gerenciar corretamente. Forneça mais informações.
O problema com um certificado autoassinado é que os clientes geralmente emitem avisos sobre a verificação não verificada. Dependendo das configurações de segurança, alguns podem bloqueá-lo completamente.
Se isso é puramente uma necessidade interna, por que usar https instaed de http?
Pessoalmente, eu ficaria com o http ou compraria um certificado barato (eles não são tão caros).