为什么我们信任 SSL 证书?

StackOverflow https://stackoverflow.com/questions/585129

  •  06-09-2019
  •  | 
  •  

我的一位朋友问我,如果理论上每个人都可以颁发 SSL 证书,为什么我们要花这么多钱购买 SSL 证书。确实是为什么?而我们如何判断浏览器中的小锁是否真的值得信赖呢?

有帮助吗?

解决方案

证书由证书颁发机构 (CA) 进行加密签名,每个浏览器都有一个它隐式信任的 CA 列表。这些 CA 是拥有一组加密密钥的实体,可用于签署任何证书,通常需要付费。受信任列表中的 CA 签署的任何证书都会锁定浏览器,因为它被证明是“受信任的”并且属于该域。

自签名证书,但浏览器会警告您签名者不受信任,要么在允许您进入之前显示一个大错误框,要么显示一个损坏的锁图标。

此外,即使是受信任的证书,如果用于错误的域或被修改为包含另一个域,也会给出错误。这是可以确保的,因为证书包含允许使用它的域,并且它还具有确保其完整性的加密校验和/指纹。

目前这还不是 100% 安全,因为有可能伪造使用 MD5 的 CA 证书,请参阅此链接: http://www.phreedom.org/research/rogue-ca/. 。但必须指出的是,这相当困难,因为他们利用了现有 CA 中的一个弱点,而该 CA 可能已经关闭,也可能尚未关闭。

本质上,我们信任这些证书,就像我们相信我们的浏览器提供商知道如何选择“正确的”CA 一样。这些 CA 仅凭借其声誉而受到信任,因为从理论上讲,一旦被发现,一个单一的失误就会对其可信度造成非常沉重的打击。

其他提示

整个CA业务都很棒。我从rapidssl.com 购买了几个证书,他们所需的所有“证明”是:

  1. 我可以接收到该域的邮件。
  2. 我可以接电话。

就是这样。请记住,在信任浏览器中的小锁时。

首先,在强大的公共/专用密钥密码学,是基于其SSL一些背景:

一个键具有两个部分,私处和公共部分。公钥可以用来加密需要私钥来解密材料。这允许使用开放的通信信道安全地进行通信。

公钥/私钥密码术的一个重要方面是,私钥可用于数字签名可以使用公钥来验证的消息。这给出了一个消息的接收器,以具体验证它们接收到的消息是由发送者(该键的保持器)发送的能力。

到SSL证书的关键是,加密密钥本身可以进行数字签名。

A“证书”是由一个私钥/公钥对,以及数字签名的数据。当有人买要签署他们产生私有/公共密钥,并提交公钥证书颁发机构(CA)的SSL证书。该CA进行尽职调查上的SSL证书的买家适当的水平,并签署与他们的私钥证书。 SSL证书将被绑定到特定网站或一组网站,基本上是CA,表明他们信任证书的私钥的所有者是这些网站的正确的所有者。

在根证书(公共密钥和其它元数据),用于可信CA默认在各大船浏览器和操作系统包括(在窗口中键入“certmgr.msc”到运行提示看到证书管理器)。当您使用SSL连接到Web服务器的服务器会向您发送其SSL证书包括公钥和其他元数据,所有这些由CA签署。您的浏览器能够验证证书的有效性,通过签名和预加载的根证书。这就造成了CA和您连接到Web服务器之间的信任链。

因为我们必须信任某人。

受信任的 SSL 证书具有受信任机构的签名。例如,VeriSign 与 Microsoft 达成协议,他们的证书内置在您的浏览器中。因此,您可以使用 VeriSign 可信证书信任每个页面。

这张图确实抓住了要点:

PKI

  • RA = 注册机构
  • CA = 证书颁发机构
  • VA = 验证机构

大致轮廓:用户在注册机构(RA)的公共密钥申请证书。后者确认用户对认证机构(CA)的身份,进而颁发证书。然后,用户可以使用其新证书在数字上签订合同。然后,合同方通过验证机构(VA)检查了他的身份,该方再次收到认证机构发行证书的信息。

如果您使用的不是公认的CA人之一访问该网站谈论一个不受信任的证书时,将得到一个消息框。这将不利于产生的流量的网站。

在锁仅意味着该网站所有者呈现CA一种证明,他确实是他声称自己是谁。如果你相信,人/网站,你必须对自己的判断。

这就像表示你相片ID陌生人。你信任他,更因为你肯定知道他的名字是John Doe的?可能不是。

但是,当您信任的人告诉你:“李四”是个好人。在你面前的家伙居然是“李四”的证明,可能比你选择相信他。

为什么呢?因为你付出沿着别人的声誉骑....以担保你。

它的所有关于其验证您的要求是你。尽管有一些香港专业教育学院最近观看了纪录片,以及经济衰退,我还是更容易相信美国的公司,当他们确认您的身份给我,比我的俄罗斯黑手党。虽然两者都可以很容易地颁发证书。

您支付的金额基本上是(多少费用他们来保护我们的声誉和/或抑制任何安全漏洞)+(不管他们能负担得起剜市场为裕量%)。

现在进入门槛相当高,COS它真的很贵赢得这种信任,因此不会孤单了很多的竞争。所以没准价格不会很快回落....除非索尼和GE等决定玩。

您支付证书,这样,当你去HTTPS(你做任何事都应有点敏感),你的客户没有得到大的警告和去叫你们的支持说,你已经感染了他们与人...

很少的安全性,许多FUD的。

如果您有直接给你的客户自己的证书的可能性,做到这一点。但它是一种罕见的情况。

证书是建立在信任链,如果让任何人是一个签名授权,我们将隐含信任每一个人。今天是有点吓人不过,因为有超过200个所谓的“值得信赖的权威”,其证书被内置到浏览器!

有一个免费的CA,我知道,虽然的: StartCom 。他们发出免费SSL证书,但他们只在Firefox接受,而不是IE浏览器。 (不确定的Safari或Opera)。

其他的答案已经解释的CA系统。该观点项目旨在部署一种新的方法到SSL,在这里你可以选择的人值得信赖:的http://前景项目。组织/

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top