Os certificados SSL gratuitos são seguros?

11

Como é que alguns certificados SSL são gratuitos? O que isso significa? Eles são seguros ou não?

https security-certificate

— aneuryzm
fonte

5

A única razão pela qual as empresas cobram pelos certificados SSL é que elas investem tempo e esforço na criação do certificado e esperam ser pagas pelo seu trabalho (com lucro, é claro). Mas eles não precisam cobrar se não quiserem, como qualquer provedor de serviços gratuito pode fazer. O que importa com os certificados SSL é se os principais fabricantes de navegadores reconhecem os emissores de certificados como confiáveis ou não. Se o fizerem, o navegador exibirá o site como seguro, como seria de qualquer outro provedor reconhecido. Caso contrário, qualquer usuário que tentar acessar uma página da Web protegida pelo certificado não reconhecido receberá um aviso informando que o certificado não é reconhecido e avisando-o para não prosseguir.

Portanto, a verdadeira questão é: "quais ofertas gratuitas são reconhecidas pelos principais fabricantes de navegadores como autoritativas"?

— John Conde
fonte

Em outras palavras, eles são certificados seguros, mas não "verificados" de um provedor de certificado emissor, pois é um certificado criado por si mesmo. Me faz pensar por que o servidor da web não pode verificar o certificado. Mas, novamente, eu acho que eles não fariam $ $ $ $ $ $ $ $ $ eles, não é?

— Talvi Watia

É o seu navegador que determina a validade do certificado que o servidor apresenta. Um certificado autoassinado criará uma conexão segura, mas não validará se o servidor pertence à pessoa que afirma ser, é para isso que servem as autoridades de certificação e eles cobram pelo processo de verificação e certificação dos certificados o servidor está apresentando.

— Danivovich 07/09/10

2

@Talvi: Boa piada! ... espere, isso foi uma piada, certo? O certificado é usado para verificar a identidade do servidor, entre outras coisas. Pedir um certificado é como perguntar a identificação de alguém: "Qual é o seu nome? Joe Blow. Você pode me mostrar alguma identificação? Claro." Então o cara pega um pedaço de papel, escreve "Joe Blow" e entrega para você. Aqui está o meu ID. Então você olha para ele e diz: "Ah, tudo bem. Se estiver em um pedaço de papel, deve ser verdade ... Um servidor produzindo seu próprio certificado é praticamente a mesma coisa." Você é o servidor certo para meu banco? "" Sim. Estes não são os dróides que você procura "

— Sylver

2

@Sylver Que alternativa você acha que existe? É apenas uma questão de onde você está confiando: "Qual é o seu nome? Joe Blow. Você pode me mostrar uma identificação? Claro." O cara apresenta seu amigo, Very Sign, que pega um pouco de papel, escreve "Joe Blow" e entrega a você. Aqui está o meu ID. Então você olha para ele e diz: "Ah, tudo bem. Se estiver em um pedaço de papel, deve ser verdade ... As propriedades de identificação de um certificado são realmente apenas um benefício adicional da técnica de criptografia. Vá e verifique que assina o certificado para verisign.com

— robertc

1

@robert: Exatamente, exceto que a Veri Sign não é amiga de Joe Blow. A Verisign é uma empresa regulamentada cujo principal negócio é atestar a identidade das pessoas. Um passaporte ou carteira de identidade é apenas uma peça sofisticada de impressão em papel sofisticado, mas aceitamos porque acreditamos que foi emitido por uma agência confiável que verificou a identidade do solicitante, porque há sérias penalidades por falsificação e porque não é fácil falsificar em primeiro lugar. Para obter um certificado da Verisign, eles primeiro verificarão se você é legítimo. ...

— Sylver 12/09

4

Dê uma olhada na Wikipedia para uma boa comparação dos serviços SSL. Parece que a startcom possui um serviço de certificação SSL gratuito, reconhecido pelo IE, FF e Safari.

Eu suspeito que existem outros serviços semelhantes por aí. O principal problema é encontrar provedores suportados por navegadores modernos. Ter um navegador avisando o usuário que o certificado não é confiável é pior do que não ter um certificado, do ponto de vista da conversão e vendas.

— Sylver
fonte

Red Hat certificados não são mais a confiança de principais navegadores: certificado startssl dá SEC_ERROR_REVOKED_CERTIFICATE no Firefox e ERR_CERT_AUTHORITY_INVALID no Chrome

— Stephen Ostermiller

O site da Wikipedia é excluído. Você pode adicionar um novo lá?

— Léo Léopold Hertz 준영

0

A infraestrutura de chave pública depende de um terceiro confiável que verificará e poderá endossar sua identidade.

Quando você paga uma autoridade de certificação importante como a Verisign por um certificado, está pagando por sua reputação como um terceiro respeitável e confiável que pode endossar a validade de sua identidade e seu certificado. Do ponto de vista prático, isso significa que os principais navegadores vêm pré-configurados para confiar nos certificados assinados por essas autoridades.

Posso criar um certificado para você de graça, mas será relativamente inútil, porque ninguém sabe quem eu sou e, portanto, meu endosso não lhes dá nenhuma confiança.

— lukecyca
fonte

0

Até as principais autoridades de certificação como verisign, globalsign e COMODO oferecem uma versão gratuita do período do certificado SSL, porque elas nos dão a chance de confiar e avaliar seu produto.

— Marca
fonte