内部安全工具应该使用自签名证书吗？

Question

我知道有一家公司在公司内部有许多内部安全工具用于不同的功能。大多数(如果不是全部的话)工具使用的是自签名证书，而不是CA签名的证书。它们要么是内部的，要么是由工具本身生成的。

我的问题是，是否存在为这些内部安全工具获得有效证书的理由？

Answer 1

如果证书无效，使用系统的用户可能会习惯于在浏览器警告中选择“继续”，从安全的角度来看，这是不可取的。任何事情都可以代理流量和拦截系统凭证。如果凭据与公司身份验证系统集成，则凭据可能非常有用。例如，如果凭据仅限于日志系统，则在以另一个个人身份登录时，有人可以选择性地清除日志。

您可以安装系统证书、安装其他公司证书或从认可CA安装证书。不应该鼓励人们忽视安全警告。

Answer 2

如果用户是熟悉安全领域的用户，那么他们可以选择永久信任第一次访问时的自签名证书(第一次使用信任，就像SSH一样)。这将防止任何中间人对他们以前连接的系统的攻击.

然而，内部攻击者(或恶意软件)可以在中间进行初始连接，并出示自己的证书.由于用户习惯于接受和信任这些自签名证书，她很可能会成功地获取凭据。

最终，这取决于组织的“风险状况”。如果这被认为是不太可能的风险(就像在大多数组织中一样)，那么自签证书就足够了。另一种方法是有效地建立一个内部证书颁发机构，该机构向服务器颁发证书，并由所有用户信任的根(或中间)证书签名。这种信任可以由Microsoft网络上的组策略(GPO)设置。

Answer 3

我的问题是，是否存在为这些内部安全工具获得有效证书的理由？

如果这些工具仅在内部使用，则不需要“真正的”证书。一个中间步骤是生成一个公司或部门范围的CA根，并将其添加到所有使用的浏览器/客户端系统中。