Warum vertrauen wir SSL-Zertifikate?

StackOverflow https://stackoverflow.com/questions/585129

  •  06-09-2019
  •  | 
  •  

Frage

Ein Freund von mir fragte mich, warum wir so viel für SSL-Zertifikate zahlen, wenn jeder theoretisch einen ausgeben könnte. Warum in der Tat? Und wie beurteilen wir, ob das kleine Schloss im Browser wirklich vertrauenswürdig ist?

War es hilfreich?

Lösung

Zertifikate verschlüsselt durch etwas unterzeichnet werden eine Certificate Authority (CA) genannt, und jeder Browser eine Liste von Zertifizierungsstellen hat es implizit vertraut. Diese CAs sind Einheiten, die eine Reihe von kryptographischen Schlüsseln haben, die verwendet werden können jedes Zertifikat signieren, die oft für eine Gebühr. Jedes Zertifikat von einer Zertifizierungsstelle in der Liste vertrauenswürdiger unterzeichnet wird eine Sperre auf einem Browser geben, weil es bewiesen ist „vertrauenswürdig“ zu sein und gehört zu dieser Domäne.

Sie können ein Zertifikat selbst unterschreiben, aber der Browser wird Sie warnen, dass der Unterzeichner nicht vertrauenswürdig ist, entweder durch einen großen Fehler-Box zeigt, bevor Sie in so dass, oder ein gebrochenes Schloss-Symbol zeigt.

Darüber hinaus, auch ein vertrauenswürdiges Zertifikat einen Fehler geben, wenn es für die falsche Domain verwendet wird, oder modifiziert wird, eine andere Domäne aufzunehmen. Dies gewährleistet, da das Zertifikat die Domänen enthält es erlaubt ist, für verwendet werden, und es hat auch eine kryptografische Prüfsumme / Fingerabdruck, der seine Integrität gewährleistet.

Dies ist nicht zu 100% im Moment sicher, da es die Möglichkeit zu fälschen CA-Zertifikate, die MD5 verwenden, finden Sie auf diesen Link: http://www.phreedom.org/research/rogue-ca/ . Obwohl es hat darauf hingewiesen, dass dies ziemlich schwer ist, da sie eine Schwäche in einem bereits vorhandenen CA genutzt, die von jetzt kann oder auch nicht geschlossen worden sind.

Im Wesentlichen vertrauen wir die Zertifikate so viel wie wir hoffen, dass unsere Browser-Anbieter wissen, wie „richtige“ CAs auszuwählen. Diese CAs sind nur auf Grund ihrer guten Ruf vertraut, als ein einziger Fehltritt theoretisch ein sehr schwerer Schlag auf ihre Vertrauenswürdigkeit wäre, wenn erkannt wird.

Andere Tipps

Das ganze CA-Geschäft ist erstaunlich. Ich habe ein paar Zertifikate von rapidssl.com gekauft, und alle „Beweis“ sie erforderlich war:

  1. I Mail an die Domain erhalten könnte.
  2. Ich kann mein Telefon.

Das war es. Denken Sie daran, wenn das Vertrauen auf die kleinen Schlösser im Browser.

Zunächst einige Hintergrund auf starke öffentliche / private Key-Kryptographie, die SSL basiert auf:

Ein Schlüssel besteht aus zwei Teilen, den privaten Teil und den öffentlichen Teil. Der öffentliche Schlüssel kann verwendet werden, um Material zu verschlüsseln, die die privaten Schlüssel erfordern zu entschlüsseln. Dies ermöglicht die Verwendung offener Kommunikationskanäle sicher zu kommunizieren.

Ein wichtiger Aspekt der öffentlichen / privaten Key-Kryptographie ist, dass der private Schlüssel verwendet werden können, um eine Nachricht digital zu signieren, die mit dem öffentlichen Schlüssel überprüft werden kann. Dies gibt dem Empfänger einer Nachricht die Fähigkeit, konkret zu überprüfen, ob die Nachricht, die sie empfangen wurde durch den Absender gesendet (der Inhaber des Schlüssels).

Der Schlüssel für SSL-Zertifikate ist, dass die Verschlüsselungsschlüssel können sich digital signiert werden.

Ein „Zertifikat“ ist aus einem privaten / öffentlichen Schlüsselpaar sowie digital signierte Daten. Wenn jemand ein SSL-Zertifikat kauft sie erzeugt einen privaten / öffentlichen Schlüssel und legt den öffentlichen Schlüssel eine Zertifizierungsstelle (CA) unterzeichnet werden. Die CA führt ein angemessenes Maß an Sorgfalt auf dem Käufer des SSL-Zertifikats und signiert das Zertifikat mit seinem privaten Schlüssel. Das SSL-Zertifikat wird auf eine bestimmte Website oder eine Reihe von Websites gebunden sein und ist im Wesentlichen die CA darauf hinweist, dass sie der Besitzer des privaten Schlüssels des Zertifikats vertrauen der richtige Eigentümer dieser Websites zu sein.

Die Root-Zertifikate (öffentliche Schlüssel und andere Meta-Daten) für vertrauenswürdige Zertifizierungsstellen sind standardmäßig in großen Versand Browser und Betriebssysteme enthalten (in den Fenstern, Typ „certmgr.msc“ in einen Lauf prompt das Zertifikat-Manager zu sehen). Wenn Sie der Server auf einen Webserver mit SSL verbinden Sie ihr SSL-Zertifikat mit dem öffentlichen Schlüssel und anderen Meta-Daten senden, von denen alle von der CA signiert Ihr Browser kann die Gültigkeit des Zertifikats durch die Unterzeichnung und die vorinstallierten Root-Zertifikate überprüfen. Dies schafft eine Vertrauenskette zwischen der CA und dem Web-Server, den Sie eine Verbindung herstellen.

Da müssen wir jemanden vertrauen.

Trusted SSL-Zertifikate haben Unterschriften vertrauenswürdiger Behörden. Zum Beispiel hat VeriSign einen Deal mit Microsoft, dass ihr Zertifikat in Ihrem Browser integriert ist. So können Sie jeder Seite mit einem VeriSign vertrauenswürdigen Zertifikat vertrauen.

Diese Grafik nimmt wirklich den Punkt:

PKI

  • RA = Registration Authority
  • CA = Certification Authority
  • VA = Validation Authority
  

Grobe Beschreibung: Ein Benutzer gilt für eine   Zertifikat mit seinem öffentlichen Schlüssel an einem   Registrierungsstelle (RA). Das   Letztere bestätigt die Identität des Benutzers zu   die Zertifizierungsstelle (CA), die   wiederum stellt das Zertifikat aus. Das   Benutzer kann dann digital signieren ein   Vertrag sein neues Zertifikat.   Seine Identität wird dann durch die geprüft   Vertragspartner mit einer Validierung   Behörde (VA) empfängt, die wiederum   Informationen über ausgestellte Zertifikate   von der Zertifizierungsstelle.

Wenn Sie nicht eine der akzeptierten CAs Menschen verwenden, werden ein Meldungsfeld erhalten, wenn die Website im Gespräch über ein nicht vertrauenswürdiges Zertifikat zugreifen. Das wird nicht helfen, Besucher auf die Website zu generieren.

Die Sperre bedeutet nur, dass der Eigentümer der Website eine CA eine Art von Beweis zeigte, dass er wirklich ist, der er vorgibt zu sein. Sie müssen auf eigene Faust beurteilen, ob Sie diese Person / site vertrauen.

Es ist wie ein Fremder Sie eine Foto-ID zeigt. Haben Sie ihm mehr vertrauen, weil Sie sicher seinen Namen wissen, ist John Doe? Wahrscheinlich nicht.

Aber wenn die Leute Sie Sie vertrauen sagte: „John Doe“ ist ein guter Kerl. Der Beweis dafür, dass der Kerl vor dir tatsächlich IST „John Doe“, als man ihm auch können wählen, vertrauen.

Warum? Weil Sie zahlen jemand Elses Ruf mitfahren auf .... bürgen für Sie.

Es ist alles über deren Validierung Ihr Anspruch Sie zu sein. Trotz einiger der Dokumentarfilme in letzter Zeit Ive beobachtet und die Rezession, bin ich immer noch eher Corporate America glauben, wenn sie Ihre Identität zu bestätigen mir, als ich die russische Mafia bin. Obwohl beide können ebenso leicht Zertifikate ausstellen.

Der Betrag, den Sie zahlen, ist im Grunde nur (wie viel es ihnen kostet diesen Ruf und / oder unterdrücken jede Verletzung der Sicherheit zu sichern) + (sosehr sie sich leisten können, den Markt als Marge% Beitel).

Nun sind die Eintrittsbarrieren relativ hoch sind, cos es ist wirklich teuer, dieses Vertrauen zu verdienen, so Theres nicht viel Konkurrenz. Daher sind die Chancen der Preis nicht in absehbarer Zeit gehen fallen .... es sei denn, Sony oder GE usw. entscheiden zu spielen.

Sie zahlen für ein Zertifikat, so dass, wenn Sie gehen HTTPS (was sollten Sie für etwas ein wenig empfindlich) Ihre Kunden Ihre Unterstützung nicht groß Warnungen und gehen rufen sagen, dass Sie infiziert haben sie & al ...

Sehr wenig Sicherheit, viel FUD.

Wenn Sie die Möglichkeit haben, Ihre Kunden Ihr eigenes Zertifikat direkt zu geben, tun Sie es. Aber es ist ein seltener Fall.

Die Zertifikate werden auf einer Vertrauenskette aufgebaut, und wenn sie jemand eine Unterschriftsberechtigung sein, würden wir implizit jeden vertrauensvoll sein. Es ist ein bisschen beängstigend heute aber, da es mehr als 200 so genannte „vertrauenswürdiger“, deren Zertifikate in Ihrem Browser gebaut werden!

Es gibt eine freie CA, die ich kenne aber: StartCom . Sie geben kostenlose SSL-Zertifikate, aber sie sind nur in Firefox, IE nicht akzeptiert. (Nicht sicher Safari oder Opera).

Die anderen Antworten haben das CA-System erläutert. Die Perspektiven Projekt zielt darauf ab, einen neuen Ansatz für SSL einsetzen, wo Sie können wählen, wem sie vertrauen: http: // Perspektiven-Projekt. org /

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top