Что такое самоподписанный сертификат?

Самоподписанный сертификат TLS/SSL подписывается не общедоступным доверенным центром сертификации (CA), а разработчиком или компанией, ответственными за веб-сайт; поскольку такие сертификаты не подписываются общедоступными доверенными CA, они обычно считаются небезопасными для общедоступных приложений и веб-сайтов.

Роль общедоступного CA заключается в том, чтобы гарантировать действительность информации, включенной в сертификат, особенно что касается права владения и (или) контроля доменных имен, связанных с сертификатом, в случае TLS/SSL. Таким образом, использование самоподписанных сертификатов эквивалентно использованию учетных данных, которые не были выпущены действительным органом.

Выражение «самоподписанные сертификаты» обычно относится к сертификатам TLS/SSL, которые были созданы автономно, без какой-либо связи с корневым или промежуточным сертификатом. Это может также относиться к другим сертификатам цифровой подписи X.509, таким как S/MIME, подпись кода и подпись документа.

Характер самоподписанных сертификатов подразумевает, что информация в сертификате не была проверена доверенной стороной (общедоступным CA) и такие сертификаты будут вызывать предупреждение безопасности. Веб-браузеры и операционные системы будут обнаруживать и отмечать сертификаты, которые не были подписаны общедоступным доверенным CA, поскольку они представляют угрозу безопасности для пользователя. Сертификат получен не от доверенной стороны, поэтому это может быть работа злоумышленника, развертывающего атаку через посредника.

Эти предупреждающие сообщения отпугивают пользователей, опасающихся, что их личные или финансовые данные могут оказаться под угрозой при взаимодействии с вашим веб-сайтом.

По своей структуре самоподписанные сертификаты, будь то для TLS/SSL, S/MIME, подписи документов или подписи кода, могут иметь любой срок действия, потому что они не подпадают ни под какие правила. Однако для них будет необходимо выполнить продление и повторное развертывание до истечения срока их действия. Чем дольше срок действия, тем выше риск забыть о существовании сертификата и дате истечения срока его действия.

В отличие от самоподписанных сертификатов общедоступные доверенные сертификаты TLS/SSL не могут быть выпущены на срок более 13 месяцев. До 2015 года максимально допустимый срок действия составлял пять лет, но постепенно он был сокращен до 1 года. Это относится к сертификатам расширенной проверки (EV) и проверки организации (OV) TLS/SSL.

Использовать самоподписанный сертификат — значит предпочесть продолжение без поддержки доверенного центра сертификации, чтобы гарантировать действительность данных сертификата. По умолчанию веб-браузеры и операционные системы никогда не доверяют самоподписанным сертификатам. Каждый пользователь может обойти предупреждение о безопасности, вручную утверждая каждый самоподписанный сертификат, с которым он сталкивается, на каждом устройстве, которое он использует в каждом конкретном случае. Предупреждающие сообщения четко указывают на то, что самоподписанные сертификаты могут представлять угрозу для безопасности, поэтому пользователи вряд ли будут продолжать работу.

Самоподписанные сертификаты TLS/SSL помечены браузерами, поскольку они не выпускаются доверенными CA, поэтому нет никакой гарантии, что сертификат является законным. В браузере отображается предупреждение о том, что сертификат веб-сайта не выпущен доверенным CA, поэтому не гарантируется безопасность соединения.

Предупреждения безопасности от браузеров и операционных систем будут удерживать конечного пользователя от использования веб-сайта или приложения, поскольку у него будет возникать чувство ненадежности и небезопасности. Поэтому самоподписанные сертификаты обычно используются только для сред тестирования или внутренних сетей с низким уровнем риска.

Самоподписанные сертификаты TLS/SSL безопасны в среде тестирования, и вы можете использовать их, пока ожидаете выпуска сертификатов общедоступным CA. Но их использование в производственной среде значительно снизит трафик на ваш веб-сайт или ваше приложение и приведет к отсутствию доверия со стороны пользователей.

Некоторые организации могут счесть интересным использование самоподписанных сертификатов TLS/SSL, поскольку они могут создаваться бесплатно; однако эти организации часто не задумываются о рисках доверия и сохранении самоподписанных сертификатов. Их продление, в частности, может привести к большим скрытым расходам.

Самоподписанный сертификат TLS/SSL подписывается собственным закрытым ключом и не привязан ни к одному промежуточному или корневому CA. Самоподписанные сертификаты создаются, выпускаются и подписываются компанией или разработчиком, ответственными за ведение веб-сайта, который должен содержать подпись. Хотя это может быть определенным способом снижения затрат на сертификаты для внутренних веб-сайтов, это никогда не будет хорошей идеей для общедоступных веб-сайтов и приложений.

Скомпрометированные закрытые ключи могут представлять серьезную угрозу для инфраструктуры организации. Вы можете сообщить о скомпрометированных сертификатах соответствующему центру сертификации, и эти сертификаты будут немедленно отозваны. Но для самоподписанных сертификатов не будет никакого доверенного механизма отзыва.

Кроме того, организации часто не следят за своими самоподписанными сертификатами, в результате чего просроченные или скомпрометированные сертификаты остаются незамеченными или упущенными из виду. Такие скомпрометированные сертификаты являются шлюзами для получения доступа к сети со стороны злоумышленников и запуска атак продвинутых и сложных вредоносных программ, атак через посредника (MITM), фишинговых атак и бот-сетей.

Отсутствие гарантии и технической поддержки

Общедоступные центры сертификации предлагают поддержку, экспертные знания и инструменты управления для своих сертификатов. Но для самоподписанных сертификатов поддержка, экспертные знания или инструменты управления не предоставляются, поскольку эти сертификаты создаются собственными силами. Чтобы держать их под контролем, требуются людские и финансовые ресурсы.

Отсутствие видимости и контроля

Организации используют тысячи цифровых сертификатов, выпущенных как частными, так и общедоступными CA, и отслеживать каждый из этих сертификатов вручную весьма сложно. Знание того, сколько сертификатов насчитывается, кто ими владеет, где они находятся и где хранятся закрытые ключи, имеет решающее значение для усиления киберзащиты.

Организации, использующие бесчисленное множество самоподписанных сертификатов, в конечном итоге часто сталкиваются с размытой видимостью в инфраструктуре сертификатов. К сожалению, если в вашей организационной сети произойдет взлом, вы не узнаете, вызван ли он компрометированием самоподписанного сертификата и связанного с ним закрытого ключа.

Несоответствие требованиям безопасности

Цифровые сертификаты, выпущенные доверенными центрами сертификации, поддерживают надежные стандарты, в то время как самоподписанные сертификаты генерируются собственными силами, и они очень редко соответствуют актуальным стандартам безопасности из-за отсутствия знаний и неспособности идти в ногу с передовыми практиками.

Крайне важно управлять всеми цифровыми сертификатами и ключами, существующими в корпоративной сети, а также осуществлять надлежащий контроль. Все сертификаты, выпущенные различными CA и самоподписанные, которые отвечают за функционирование внутренних и общедоступных веб-сайтов, должны быть защищены и должны подвергаться постоянному контролю.

Для внутренних служб, работающих только с локальной сетью, можно использовать самоподписанные сертификаты, но необходимо иметь строгую политику, чтобы гарантировать, что сервер выпускающего CA хорошо защищен от киберпреступников и находится в месте, которое недоступно для всех сотрудников вашей организации, и что у вас есть инструменты мониторинга и команда, отвечающая за управление имеющимися сертификатами.