我的公司執行SSL郵件加密，但讓我們信任自簽名證書 - 這是錯誤的嗎？

Question

當通過電子郵件客戶端連接到郵件服務器時，我們被迫使用SSL。但是，我們只有IT部門希望我們信任的自簽名證書。

什麼是真正的安全影響？

Answer 1

假設根密鑰不會泄漏，這將打破整個公司CA系統，唯一的問題是這個使用的自簽名證書是分佈式的;證書頒發機構證書通常已經存在於需要連接到服務器的任何計算機上，而此證書需要手動分發。

如果新計算機需要到服務器的連接並且沒有證書，則有沒有真正的安全如果您仍然連接並只接受證書。爲了它的任何用途，它需要已經存在於電腦。

Answer 2

這是一個比它可能出現的更復雜的問題。簡單的回答是，如果他們遵循關於保護自簽名根CA和將根部署到客戶機的最佳實踐（非常重要！），那麼除了X509 PKI通常會發生的額外風險外，沒有其他風險。

與往常一樣，較長的答案是「它取決於他們切割的角落」。以下是風險較高的情況...

貴公司不會將自簽名根直接安裝在 員工筆記本電腦上。當被問及這種疏忽時，他們說：「這是一個在異構計算環境中真實PITA的 」。這（取決於 客戶端和其他因素）強制您選擇每次啓動客戶端時通過不可信對話框單擊「繼續」 。大不了 對不對？它仍然是加密的。有一天，你在馬德里，享受房間 服務於一體的五星級酒店（如公司內的後起之秀，你 得到poshest分配）和你打開你的筆記本電腦多達得到一些 完成工作......

你總是連接到VPN，但你最後打開了郵件客戶端 讓筆記本電腦進入睡眠狀態，並且拋出同樣煩人的 警告：當您打開它時總會顯示警告。您迅速點擊對話框 ，因爲您的IT部門已接受過此類培訓。可惜的是， 這次是不同的證書。如果你直接檢查了它（你有 有攝影記憶，並且喜歡對base64 編碼的公鑰進行比較），你不會點擊它，但你現在是 匆忙，現在狡猾的酒店經理運行酒店 捕獲門戶知道您的電子郵件登錄名和密碼（p @ ssw0rd1）。

不幸的是，你在各種其他網站上使用p @ ssw0rd1，所以 你很快就會發現你的reddit，amazon甚至是stackoverflow賬戶被盜用。更糟糕的是，你的老闆收到一封來自「你」的電子郵件，其中含有淫穢的咆哮和辭職通知。所有這些都是因爲你點擊了 ，通過你之前點擊了千次 的無害對話。

當盲目點擊「不可信的證書」對話框時，這種（不太可能的）情況是可能的。用戶可以（希望）接受培訓，通過告訴他們不要點擊這些對話框並將公司CA添加到OS /瀏覽器的受信任根列表或使用可信的公共CA來避免這種情況。

Answer 3

正如其他兩個人所說的那樣，它基本上依賴於你對公司的信任程度，無論如何這是一個因素，所以它可能不是什麼大問題（儘管他們可以輕鬆地從startcom獲得免費的SSL證書，所以我不知道爲什麼他們會堅持自簽名）。

但正如Paul在他的例子中概述的那樣，如果他們讓你在計算機上安裝他們自己的根證書也很重要;如果他們沒有，並且每次都要求您點擊警告框，我會建議您發表意見，並通過電子郵件將此頁面的鏈接發送給您公司的IT部門。

Answer 4

如果您希望對此做任何事情，例如點擊接受證書的對話框，這是錯誤的。

如果他們正在正確地完成他們的工作，他們應該在內部分發證書，以便所有必需的網絡元素都已經信任它，瀏覽器，郵件用戶代理，應用程序，...

換句話說，如果你知道它，這是錯誤的。