web-dev-qa-db-fra.com

Le chiffrement est-il toujours appliqué si vous ignorez l'avertissement de certificat SSL pour les certificats auto-signés?

Le chiffrement serait-il toujours appliqué lors de la communication avec les appareils à l'aide de certificats auto-signés si vous ignorez l'avertissement et continuez sans installer le certificat? Auriez-vous besoin de l'installer pour garantir le chiffrement ou le chiffrera-t-il par défaut lorsque l'utilisateur ignore l'avertissement et continue?

Je comprends que la partie intégrité ou la validation du serveur ou du périphérique par une autorité de certification n'est pas appliquée, mais je voulais juste savoir si la partie chiffrement serait appliquée si nous ignorions l'avertissement du navigateur et continuions.

Si l'installation est requise, dans un environnement où vous vous connectez uniquement à partir d'un réseau interne à un actif uniquement interne via https, etc. disons un portail interne, serait-il recommandé d'ajouter ce certificat auto-signé à la liste de confiance afin que le le chiffrement serait appliqué et les attaques MiTM ne pourraient pas voir les informations d'identification envoyées. Dans une configuration de production purement interne (en supposant qu'une autorité de certification n'est pas encore configurée), quelles seraient les meilleures pratiques avec les certificats auto-signés.

tlsauthenticationcertificatesman-in-the-middleself-signed
20
Damien.Rick

Si vous ignorez le certificat avertissant que le chiffrement est toujours appliqué, mais parce qu'il s'agit d'un chiffrement non authentifié, le chiffrement est inutile contre un adversaire actif (un adversaire MITM qui peut intercepter et modifier les données qui le traversent), car l'adversaire actif peut simplement rechiffrer votre connexion .

La meilleure pratique pour utiliser un certificat auto-signé dans un environnement de production consiste à comparer l'empreinte digitale du certificat avec l'empreinte digitale du certificat attendue obtenue via un canal fiable. Après avoir vérifié l'empreinte digitale du certificat, vous devez ensuite épingler le certificat en l'ajoutant à la liste de confiance. De plus, si vous devez travailler avec de nombreux certificats et de nombreux appareils, vous pouvez créer votre propre autorité de certification et ajouter ce certificat d'autorité de certification racine à la liste d'approbation racine.

30
Lie Ryan

Oui, la communication est toujours cryptée avec des certificats auto-signés.

Vous pouvez créer des certificats auto-signés, mais ils peuvent également être créés par n'importe quel attaquant. Si vous insistez pour utiliser des certificats auto-signés, je vous conseillerais de marquer le certificat comme approuvé, afin que vous obteniez un avertissement si une attaque active de type intermédiaire se produit.

La création de votre propre certificat CA n'est pas vraiment plus difficile que la création d'un certificat auto-signé, et présente l'avantage que vous pouvez créer des certificats approuvés maintenant et à l'avenir en faisant simplement confiance à votre certificat CA.

16
Sjoerd

La cryptographie a trois objectifs de sécurité principaux:

  • Confidentialité
  • Intégrité
  • Authentification

Le certificat de la négociation TLS/SSL est utilisé pour fournir une authentification, c'est-à-dire pour garantir au client qu'il parle au serveur prévu et non à un homme au milie attaquant. Ignorer un avertissement de certificat supprimera cette propriété de la connexion.

La connexion sera toujours sécurisée par des moyens cryptographiques pour assurer la confidentialité et l'intégrité, c'est-à-dire que seuls les partenaires de communication initiaux (quels qu'ils soient) peuvent lire ou modifier un message.

5
mat

Le chiffrement est toujours appliqué, le problème avec les certificats auto-signés est que vous n'avez aucune assurance que le serveur auquel vous vous connectez est bien celui qu'il dit être.

Le problème n'est pas tant qu'ils sont auto-signés, c'est qu'ils ne sont pas signés par un tiers en qui vous avez confiance. Lorsque vous accédez à un site Web https, votre ordinateur vérifie que le certificat qui vous a été remis a été signé par un tiers de confiance, ce qui signifie qu'à moins qu'il n'y ait un compromis du serveur, vous vous connectez via un canal crypté et à qui vous vous connectez est qui ils disent être. Avec l'auto-signature, vous ne pouvez pas être sûr de la deuxième partie.

3
Jonathan Widdicombe

Permettez-moi de dessiner un MITM pour vous.

                   ===| When you accept a self-signed cert |===
                   ===|           and get lucky            |===

+--[Your browser]--+                                         +--[Server S]--+
|  accepts cert A  |                                         | has cert A   |
|      sends       +---------------------+-------------------> has key A    |
|   POST /secret   |                     |                   | decrypts     |
|  encrypts for A  |              +------+-----+             |              |
+------------------+               pahQu:eiSh6m              |     sees     |
                                  (seen on wire)             | POST /secret |
                                                             +--------------+

                   ===| When you dismiss browser warnings |===
                   ===|       and accept whatever         |===

+--[Your browser]--+      +---[Evil Chris' server]----+      +--[Server S]--+
|  accepts cert M  |      |                           |      |              |
|      sends       |      | has cert M  |     accepts |      | has cert A   |
|   POST /secret   +--+---> has key M   |      cert A +---+--> has key A    |
|  encrypts for M  |  |   | decrypts    |  reencrypts |   |  | decrypts     |
+------------------+  |   |                     for A |   |  |              |
                      |   |         ! SEES !          |   |  |     sees     |
           +------------+ |       POST /secret        |   |  | POST /secret |
            fex5be;P[ivR  +---------------------------+   |  +--------------+
           (seen on wire)                                 |
                                                    +-----+------+
                                                     Qui8paeY]u0V
                                                    (seen on wire)

Voir? Le cryptage est un peu inutile (c'est-à-dire facilement vaincu) sans authentification.

Les certificats "réels" (non auto-signés) fournissent une authentification: un moyen pour votre navigateur de savoir s'il parle au serveur contrôlé par le propriétaire du site Web/domaine ou à une machine totalement différente.

Cela dit; oui le cryptage est toujours appliqué. Même avec un faux certificat, vous bénéficiez toujours d'une protection contre passive evesdropping. Cependant, en principe, certains périphériques réseau peuvent détecter les certificats auto-signés et exécuter SSL MITM de manière totalement passive, invisible jusqu'à ce que vous commenciez à vérifier les correspondances exactes d'octet à octet des empreintes digitales.

Pour une utilisation intranet, configurez une autorité de certification et épinglez/faites confiance à ses racines.

Au fait, si vous pensez toujours que vous devez payer pour le HTTPS vert - consultez https://letsencrypt.org/ MAINTENANT.
Ces gars, les auteurs de Let's Encrypt, l'EFF, se battent bien pour protéger vos droits numériques.
Apprenez-en plus par vous-même.

3
ulidtko

Oui, le cryptage est appliqué. L'avertissement vous informe simplement que identité du serveur auquel vous envoyez des données cryptées peut ne pas être celui qu'il prétend être, ainsi les informations que vous envoyez via la connexion cryptée peuvent être transmises à une partie non autorisée . Les certificats auto-signés peuvent être dangereux à accepter car n'importe qui peut en générer un prétendant être quelqu'un d'autre.

Cependant, si vous êtes le propriétaire du certificat et êtes sûr que votre clé privée du certificat n'a pas été compromise, ou vous pouvez valider que la personne qui a présenté le certificat détient la clé privée du certificat (en vous assurant également qu'elle ne l'a pas été) compromis), vous pouvez alors faire confiance à la connexion, auquel cas vous pouvez installer le certificat en tant que racine de confiance pour indiquer à votre ordinateur que vous faites confiance aux connexions au serveur présentant ce certificat. Cependant, cela n'est pas nécessaire pour activer le cryptage, le cryptage est toujours appliqué en ignorant simplement l'avertissement.

0
LunarGuardian

Le cryptage se produira toujours. Il est surtout inutile cependant.

TLS vise à garantir que la connexion entre les points de terminaison est sécurisée. Pour que cela se produise, il est essentiel que les points d'extrémité puissent s'identifier. Comme il est impossible pour chaque point de terminaison de partager un secret avec tous les autres sites, un tiers de confiance (autorités de certification) est utilisé pour vérifier la propriété de chaque secret (asymétrique).

Lorsque vous cliquez sur "Oui, continuez déjà, peu importe" dans l'alerte, vous contournez cette vérification et vous n'avez absolument aucune idée de qui est à l'autre bout.

Pour le dire autrement:

Si quelqu'un usurpe avec succès le site auquel vous allez envoyer vos données privées, cet avertissement particulier est le seul que vous verrez . Ne l'ignorez pas.

Au lieu de cela, vous devez installer le certificat auto-signé particulier en tant que "certificat de confiance" sur les machines clientes, ou mieux encore, avoir l'autre utilisation finale certificats LE au lieu de celles auto-signées.

0
Bass