Leistungen in der Sicherheit eines CA -signierten SSL -Zertifikats
https://stackoverflow.com/questions/9353340
-
27-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Dies ist nur eine allgemeine Frage bezüglich der Debatte zwischen selbstsignierten Zertifikaten und CA-Zertifikaten ...
Ich verstehe die Vorteile für ein CA -Zertifikat aufgrund der in den meisten Browsern generierten Warnwarnungen, aber wie profitiert ein CA -Zertifikat der tatsächlichen Sicherheit? Ich höre normalerweise die größte Bedrohung, die Angriffe in den Mitte der Mitte sind, und obwohl ich diese Bedrohung mit einem selbstsignierten Zertifikat verstehe, verstehe ich nicht, wie ein CA-Zertifikat dies verhindert. Ich weiß, dass CAS ihre eigenen Sicherheitsalgorithmen ausführt. Können nicht die gleichen Algorithmen für selbstsignierte Zertifikate verwendet werden?
Ich glaube, ich bin nur ein wenig irritiert über das große Geschäft, das sich um die Notwendigkeit von CA -Zertifikaten dreht, aber scheinbar nichts anderes an ihnen als diese vermeintlichen zusätzlichen Sicherheitskontrollen, die sie durchführen. Gibt es irgendetwas, das eine CA von einem Sicherheitspunkt für die Sichtweise bereitstellen kann, die selbstsignierte Zertifikate nicht können?
Lösung
Spoofing. Wenn die andere Partei ein selbstsigniertes Zertifikat fällt, haben Sie keine Möglichkeit, dies zu überprüfen. Um zu überprüfen, ob Sie das gültige Zertifikat erhalten haben und nicht ein gefälschtes, benötigen Sie einen Drittanbieter, der nicht leicht gefälscht werden kann. Dies erfolgt durch die Liste der Root-CA-Zertifikate (und einige Zwischenzertifikate) mit Ihrer clientseitigen Software (Windows enthält solche Zertifikate für Sie und große Browser dieselbe) und überprüfen Sie das Zertifikat, das Sie vom Server erhalten, mithilfe dieser CA-Zertifikate . Bei selbstsignierten Zertifikaten ist eine solche Überprüfung nicht möglich.
Natürlich können Sie das selbstsignierte Zertifikat mit Ihrer Kundenanwendung tragen (und dies tun einige Entwickler, insbesondere für interne Anwendungen), aber dies funktioniert nicht mit Browsern.
Andere Tipps
Der Unterschied liegt im Algorithmus, sondern ob die Leute der Zertifikatbehörde vertrauen oder nicht.
Der Punkt eines Zertifikats besteht darin, zu überprüfen, ob Sie die Verbindung zu dem herstellen, mit dem Sie beabsichtigen, die Verbindung herzustellen.
Wenn ich zu Ihnen sage: "Ich bin der richtige Server, vertraue mir dazu", können Sie mir nicht glauben (schließlich kennen Sie mich nicht).
Wenn ich Ihnen sage: "Ich bin der richtige Server und ich habe ein Zertifikat, um es zu beweisen." Wenn meine Antwort "Joe aus der Ecke" lautet, können Sie mir immer noch nicht glauben.
Aber wenn ich sage "Ich habe ein Zertifikat, und Sie können es mit Dritten bestätigen, dem Sie vertrauen", können Sie entscheiden, dass dies ein guter Identitätsnachweis ist.
Wie Sie bestätigen, worum es bei dem Standard geht (zB wie in beschrieben in RFC 5280). Aber das ist nur technischewerte. Sie können genau denselben Algorithmus für ein Zertifikat verwenden, das aus Verisign stammt und für ein Zertifikat, das Sie selbst generieren.
Die eigentliche Frage ist das Vertrauen: Vertrauen Sie, wer Ihnen den "Identitätsnachweis" gibt? Wir vertrauen auf Verisign genug, damit jeder Identitätsnachweis von jedem Browser akzeptiert wird. Sollten wir Personen vertrauen, die ihre eigenen selbstsignierten Zertifikate generieren? In einigen Fällen können wir dies tun (in diesem Fall können Sie ihre Zertifikate in Ihrem Browser manuell installieren), jedoch nicht in der Regel.
