Мне поручено разработать интерфейс интрасети для программного обеспечения командной строки, и теперь я изучаю параметры безопасности. Наше приложение командной строки завершено, но я не начал писать веб-интерфейс. Я не знаю точно, что требования безопасности для потенциальных клиентов, хотя я считаю, что ssh
, как правило, приемлемо для интерфейса командной строки. Имея это в виду, я прошу помочь разработать меню вариантов с их связанными плюсами/минусами. В какой-то день мы можем рассмотреть вопрос о выпуске нашего веб-интерфейса в Интернет, поэтому я готов рассмотреть вопрос о большей безопасности, чем в настоящее время, если это легко и/или бесплатно.Являются ли сертификаты полезными для интранета SSL?
Я делал много чтения, и мой предварительный вывод заключается в том, что безопасность SSL без сертификата - лучший подход, а не потому, что меньшая безопасность неприемлема, а потому, что SSL является стандартом и потому, что он не появляется быть сложным в настройке. Я, эксперт по безопасности, не должен будет объяснять, почему меньше безопасности приемлемо для неспециалистов безопасности. В случае необходимости я мог бы обновить свое приложение, чтобы использовать сертификат в будущем.
Вот список вариантов безопасности, связанных с SSL, отсортированных по моему восприятию уровня безопасности с моими комментариями. Какой уровень защиты мне нужен?
Нет SSL. Это может быть приемлемо, если наши клиенты не беспокоятся о том, что их сотрудники видят/изменяют данные друг друга. Их сотрудники, возможно, захотят поделиться результатами друг с другом в любом случае, и я мог бы использовать управление доступом на основе IP и/или пароли для обеспечения безопасности.
У протокола SSL нет сертификата. Это шифрует сообщение, которое, по меньшей мере, защищает данные от чтения неавторизованными сотрудниками. Используя пароль, это тот же уровень безопасности, что и
ssh
в командной строке, не так ли? Мне не нужно беспокоиться о атаках «человек-в-середине» в интранете, не так ли? Кон таким подходом было бы, если бы были загружены предупреждающие сообщения браузера.Выполнение SSL с самозаверяющим сертификатом. Что это дает мне, что сертификат не дает? Если DNS можно изменить ненадлежащим образом, тогда клиент, то мое приложение является наименьшей из их проблем. Иными словами, если DNS может измениться, тогда я думаю, что
ssh
тоже будет уязвим.Выполнение SSL с местным центром сертификации. OpenSSL позволяет мне создать собственный центр сертификации. Что это дает мне, что самозаверяющий сертификат нет? Я предполагаю, что в локальной сети это менее важно для проверки сервера.
Содержит ли SSL с внешним центром сертификации. Есть ли причина поехать по этому маршруту для интрасети? Я нашел несколько «сертификатов интрасети» для продажи в Интернете, но неясно, что они предлагают, я не могу сделать сам.
Для справки, эта страница может быть полезна для сравнения сертификатов:
http://httpd.apache.org/docs/trunk/ssl/ssl_faq.html#aboutcerts
[обновление]
Here's статья обсуждает риски и правила получения внутреннего сертификата из общественный центр сертификации.
Возможно, я мог бы добавить слово «как» в начале заголовка. – amos
Смешное закрытие. Вопрос не «слишком широк». Он имеет ответ «один раз» да/нет. Голосование для повторного открытия. – EJP
«Слишком широкий» кажется неправильным, но это, вероятно, не программирование, может быть, серверная область? Во всяком случае: – bobince