Je construit un système d'achat et on m'a dit de configurer un certificat SSL sur mon serveur Web pour travailler avec les opérations bancaires.
Je suis nouveau à cela et je ne comprends pas exactement la différence entre OpenSSL (qui est libre et oppensourdique) et des certificats SSL, qui sont nécessaires pour être achetés (Thawte.com).
Je suppose OpenSSL est smth comme outil pour créer une clé (ive alrey fait ceci pour FirstData.com), mais si j'achète SSL Certificat sur Thawte.com et que je l'installe malade, mon site Web fonctionnant sur HTTPS?
Puis-je utiliser OpenSSL libre pour travailler avec des banques? Ou je dois en acheter un?
3 Réponses :
La plus grande différence entre un certificat auto-émis (avec OpenSSL) et celui que vous achetez à partir de Thawte (ou ailleurs) est celui de Trust . Si vous souhaitez que vos utilisateurs utilisent Accédez à votre site Web compatible SSL sans être invité à «Faites-vous confiance au certificat de cet émetteur?» Vous devez acheter un certificat à partir d'un autorité de certification de confiance , telle que Thawte ou l'un des autres .
Votre site Web exécutera https avec n'importe quel ancien certificat X.509, donc si vous n'avez que quelques personnes accédant à votre site SSL, vous pouvez les convaincre de faire confiance à votre certificat auto-émis et à économiser de l'argent pour le certificat.
Donc, le «https» sur les deux sites: la mine et la banque - signifie que nous avons une connexion sécurisée entre nous? Et dans le cas de FirstData, lorsque je viens de créer la clé, la chose était que le rôle clé est juste de comparer qui des données a été envoyée?
OpenSSL est un outil et une bibliothèque pouvant être utilisée pour générer des demandes de certificat (CSR), des certificats auto-signés et des certificats d'émission d'une CA (si c'est un CA, vous contrôlez bien sûr).
Il existe un certain nombre d'autorités de certification pré-approuvées intégrées à la plupart des navigateurs. Ils délivrent des certificats en signant le certificat qu'ils vous donnent (provenant de votre demande de certificat). À son tour, les certificats qu'ils émettent peuvent être vérifiés par les navigateurs de vos utilisateurs contre leur certificat (émission) de l'autorité de certification, car il est expédié avec eux par défaut.
Vous pouvez générer votre propre CA et émettre des certificats vous-même, mais le problème est que votre certificat de CA ne fonctionnera pas par défaut par défaut dans la plupart des navigateurs. Il est donc sans valeur, à moins que vos utilisateurs l'importaient explicitement (ce qui convient à la société. CAS par exemple, mais n'est pas impraticable en général). Un certificat auto-signé est un cas particulier de ceci: c'est le certificat de CA racine que vous générez ou un certificat ponctuel pour une machine donnée; De toute façon, vous devrez l'importer explicitement.
Certains CAS précédant de confiance vous permettront d'utiliser OpenSSL pour générer la demande de certificat dans le cadre de leur procédure, mais elles peuvent également proposer d'autres procédures s'appuyant sur d'autres outils. Quel outil vous utilisez ou utilisez-vous n'a pas vraiment d'importance. Ce que vous voulez, c'est un certificat émis par une CA Votre Partie distante fera confiance.
Vous pouvez vous inscrire gratuitement et générer un certificat SSL gratuit pour votre site Web, au moins pour la première année, sur startssl . Leur site affiche la maintenance du week-end maintenant, mais il sera disponible plus tard. J'ai pu obtenir un certificat SSL gratuit d'eux. Ce certificat est signé par l'autorité de certification de StartCom, qui est confiance, selon leur site . < / p>