لماذا نثق بشهادات SSL؟

StackOverflow https://stackoverflow.com/questions/585129

  •  06-09-2019
  •  | 
  •  

سؤال

سألني صديق لي لماذا ندفع الكثير لشهادات SSL إذا كان الجميع يستطيع إصدار واحد من الناحية النظرية. لماذا الواقع؟ وكيف نحكم إذا كان القفل الصغير في المتصفح جدير بالثقة حقا؟

هل كانت مفيدة؟

المحلول

يتم تشفير الشهادات تشفيرها بشيء يسمى سلطة الشهادة (CA)، ويحتوي كل متصفح على قائمة ب CAS يثق ضمنيا. هذه CAS هي كيانات تحتوي على مجموعة من مفاتيح التشفير التي يمكن استخدامها لتوقيع أي شهادة، غالبا مقابل رسوم. أي شهادة موقعة بواسطة CA في القائمة الموثوقة ستمنح قفل على المستعرض، لأنه ثبت أن "موثوق" وينتمي إلى هذا المجال.

أنت يمكن التوقيع الذاتي على شهادة، ولكن سوف يحذرك المتصفح أن الموقع غير موثوق به، إما عن طريق إظهار مربع خطأ كبير قبل السماح بك في أيقونة قفل مكسورة.

بالإضافة إلى ذلك، حتى الشهادة الموثوقة ستقدم خطأ إذا تم استخدامها للمجال الخطأ، أو يتم تعديلها لتضمين مجال آخر. هذا مضمون لأن الشهادة تتضمن المجالات المسموح بها لاستخدامها، ولديها أيضا تشفير الاختباري / بصمات الأصابع التي تضمن سلامتها.

هذه ليست آمنة بنسبة 100٪ في الوقت الحالي، حيث أن هناك إمكانية لشهادات CA المزيفة التي تستخدم MD5، راجع هذا الرابط: http://www.phreedom.org/research/rogue-ca/. وبعد على الرغم من أنه يجب الإشارة إلى أن هذا صعب للغاية، حيث أنهم استغلوا ضعف في المرجع المصدق الحالي بالفعل، فقد تم إغلاقه الآن.

في جوهرها، نحن نثق في الشهادات بقدر ما نثق بأن مقدمي المتصفح لدينا يعرفون كيفية اختيار "السليم" CAS. هؤلاء CAS موثوق به فقط حول سمعتهم، لأن أخطاء أخطاء واحدة من الناحية النظرية ستكون ضربة قوية للغاية على جدورث بالثقة إذا تم اكتشافه.

نصائح أخرى

كا كله التجارية مذهلة. لقد اشتريت بضعة شهادات من RapidSSL.com، وكل "إثبات" مطلوبة كانت:

  1. يمكنني تلقي البريد إلى المجال.
  2. يمكنني الإجابة على هاتفي.

هذا كان هو. ضع في اعتبارك، عند الثقة في الأقفال الصغيرة في المتصفح.

أولا، بعض الخلفية على تشفير رئيسي عام / خاص قوي، والتي تعتمد SSL على:

يحتوي المفتاح على جزأين، الجزء الخاص والجزء العام. يمكن استخدام المفتاح العمومي لتشفير المواد التي تتطلب فك تشفير المفتاح الخاص. يسمح ذلك باستخدام قنوات الاتصال المفتوحة للتواصل بشكل آمن.

أحد الجوانب المهمة للتشفير الرئيسي / الخاص هو أنه يمكن استخدام المفتاح الخاص لتوقيع رسالة رقميا التي يمكن التحقق منها باستخدام المفتاح العمومي. هذا يمنح جهاز استقبال رسالة القدرة على التحقق بشكل ملموس أن الرسالة التي تلقوها تم إرسالها بواسطة المرسل (حامل المفتاح).

المفتاح لشهادات SSL هو أن مفاتيح التشفير نفسها يمكن توقيعها رقميا.

تتكون "الشهادة" من زوج مفتاح خاص / عام وكذلك البيانات الموقعة رقميا. عندما يشتري شخص ما شهادة SSL، فإنها تولد مفتاح خاص / عام وتقديم المفتاح العمومي إلى مرجع مصدق (CA) ليتم توقيعه. ينفذ CA مستوى مناسب من العناية الواجبة على مشتري شهادة SSL وتوقع الشهادة بمفتاحها الخاص. سيتم ربط شهادة SSL بموقع ويب معين أو مجموعة مواقع الويب وهي في الأساس المرجع المصدق التي تشير إلى أنهم يثقون في مالك المفتاح الخاص للشهادة أن يكون المالك المناسب لتلك المواقع الإلكترونية.

يتم تضمين شهادات الجذر (المفاتيح العامة وبيانات التعريف الأخرى) من أجل CAS الموثوق بها افتراضيا في متصفحات الشحن الرئيسية وأنظمة التشغيل (في Windows، اكتب "Certmgr.msc" في موجه تشغيل لرؤية مدير الشهادات). عند الاتصال بخادم ويب باستخدام SSL، سوف يرسل لك الخادم شهادة SSL الخاصة به بما في ذلك المفتاح العام وبيانات التعريف الأخرى، وكلها توقيعها CA. المتصفح الخاص بك قادر على التحقق من صحة الشهادة، من خلال التوقيع وشهادات الجذر المسبقة مسبقا. يؤدي هذا إلى إنشاء سلسلة من الثقة بين CA و Server Web الذي تتصل به.

لأن علينا أن نثق بشخص ما.

شهادات SSL الموثوق بها لها توقيعات للسلطات الموثوق بها. على سبيل المثال، يحتوي Verisign على صفقة مع Microsoft، أن شهادتهم مبنية في متصفحك. حتى تتمكن من الوثوق بأي صفحة مع شهادة موثوق به VeriSign.

يختار هذا الرسم حقا النقطة:

PKI

  • RA = هيئة التسجيل
  • CA = هيئة الشهادة
  • VA = هيئة التحقق من الصحة

مخطط تقريبي: ينطبق المستخدم على شهادة مع المفتاح العمومي في هيئة التسجيل (RA). هذا الأخير يؤكد هوية المستخدم إلى مرجع الشهادة (CA) التي تصدر بدورها الشهادة. يمكن للمستخدم بعد ذلك التوقيع رقميا على عقد باستخدام شهادته الجديدة. ثم يتم التحقق من هويتيته من قبل الطرف المتعاقد مع سلطة التحقق من الصحة (VA) التي تتلقى مرة أخرى معلومات حول الشهادات الصادرة من قبل مرجع الشهادة.

إذا كنت لا تستخدم أحد الأشخاص CAS المقبول سيحصلون على مربع رسالة عند الوصول إلى الموقع يتحدث عن شهادة غير موثوق بها. لن يساعد ذلك في توليد حركة المرور إلى الموقع.

يعني القفل فقط أن مالك الموقع أظهر كلفيا نوعا من الأدنى أنه هو حقا هو الذي يدعي أنه. يجب أن نحكم على بنفسك إذا كنت تثق بهذا الشخص / الموقع.

إنه مثل شخص غريب يظهر لك معرف الصورة. هل تثق به أكثر لأنك تعرف بالتأكيد اسمه هو جون دو؟ على الاغلب لا.

لكن عندما أخبرك الناس تثق بهم: "جون دو" هو رجل جيد. والدليل على أن الرجل أمامك في الواقع هو "جون دو"، مما قد تختار أن تثق به كذلك.

لماذا ا؟ لأنك تدفع لركوب شخص سمعة elses .... للتغلب عليك.

كل شيء عن ما هو التحقق من صحتك ليكون لك. على الرغم من بعض الأفلام الوثائقية التي شاهدتها مؤخرا، والركود، ما زلت أكثر عرضة للتعبير عن أمريكا الشركات عندما تؤكد هويتك بالنسبة لي، مما أنا المافيا الروسية. على الرغم من أن كلاهما يمكنه فقط إصدار الشهادات بسهولة.

المبلغ الذي تدفعه هو أساسا فقط (كم يكلفها تأمين هذه السمعة و / أو قمع أي خروقات أمنية) + (ولكن الكثير الذي يمكنهم تحمله لتحمل السوق كهامش٪).

الآن الحواجز التي تحول دون الدخول مرتفعة للغاية، حيث أن كسبها مكلفة حقا لكسب تلك الثقة، لذلك ليس هناك الكثير من المنافسة. لذلك، فإن الفرص هي السعر لن يسقط في أي وقت قريب .... ما لم تقرر سوني أو جي إلخ اللعب.

أنت تدفع ثمن شهادة بحيث عندما تذهب HTTPS (الذي يجب عليك أي شيء حساس بعض الشيء) لا يحصل عملائك على تحذيرات كبيرة والذهاب دعوة لدعمكم يقول أنك مصاب بهم و ...

القليل جدا من الأمن، والكثير من الوفاة.

إذا كان لديك إمكانية إعطاء عملائك الشهادة الخاصة بك مباشرة، فقم بذلك. لكنها حالة نادرة.

يتم بناء الشهادات على سلسلة من الثقة، وإذا دع أي شخص هو سلطة توقيع، فسنثق ضمنا إلى الجميع. انها مخيفة بعض الشيء اليوم، نظرا لأن هناك أكثر من 200 شخص ما يسمى "السلطات الموثوقة" التي تنشئ certs في متصفحك!

هناك رقم واحد مجاني أعرفه على الرغم من: أخر. وبعد يصدقون خدمة SSL مجانية، لكنها مقبولة فقط في فايرفوكس، وليس أي. (لست متأكدا من رحلات السفاري أو الأوبرا).

وأوضحت الإجابات الأخرى نظام CA. يهدف مشروع وجهات النظر إلى نشر نهج جديد في SSL، حيث يمكنك اختيار من يثق به: http://perspectives-project.org/

مرخصة بموجب: CC-BY-SA مع الإسناد
لا تنتمي إلى StackOverflow
scroll top