¿Por qué confiamos en los certificados SSL?

Question

Un amigo mío me preguntó por qué pagamos tanto por los certificados SSL si, en teoría, todo el mundo podría emitir uno.¿Por qué de hecho?¿Y cómo juzgamos si el pequeño candado del navegador es realmente digno de confianza?

Answer 1

Los certificados son firmados criptográficamente por algo que se llama una autoridad de certificación (CA), y cada navegador tiene una lista de entidades de certificación confía implícitamente. Estas CA son entidades que tienen un conjunto de claves criptográficas que se pueden utilizar para firmar cualquier certificado, a menudo por una tarifa. Cualquier certificado firmado por una CA en la lista de confianza le dará un bloqueo en un navegador, ya que ha demostrado ser "de confianza" y pertenece a ese dominio.

puede auto-firmar un certificado, pero el navegador le advertirá de que el firmante no es de confianza, ya sea mostrando un cuadro de error grande antes de permitir que en, o mostrando un icono de candado roto.

Además, incluso un certificado de confianza dará un error si se usa para el dominio incorrecto, o se modifica para incluir otro dominio. Esto se garantiza porque el certificado incluye los dominios que se le permite ser utilizado para, y también tiene una suma de comprobación criptográfica / huella digital que asegura su integridad.

Esto no es 100% segura por el momento, ya que existe la posibilidad de falsos certificados de CA que utilizan MD5, ver este enlace: http://www.phreedom.org/research/rogue-ca/ . A pesar de que tiene que tener en cuenta que esto es muy difícil, ya que explotan una debilidad en una entidad de certificación ya existente, que puede o no haber sido cerrado por ahora.

En esencia, confiamos en los certificados tanto como confiamos en que nuestros proveedores de navegadores saben cómo seleccionar "adecuada" AC. Sólo aquellas entidades emisoras son de confianza en virtud de su reputación, como un solo paso en falso en teoría sería un muy duro golpe en su confiabilidad si se detecta.

Answer 2

Todo el asunto CA es increíble. He comprado un par de certificados de rapidssl.com, y toda la "prueba" que requería era:

1. Me podría recibir el correo en el dominio.
2. Me podría responder a mi teléfono.

Eso fue todo. Tenga en cuenta, al confiar los pequeños bloqueos en el navegador.

Answer 3

En primer lugar, algunos antecedentes sobre / la criptografía de claves privadas público, que se basa en SSL:

Una de las claves tiene dos partes, la parte privada y la parte pública. La clave pública se puede utilizar para cifrar el material que requiere la clave privada para descifrar. Esto permite el uso de canales de comunicación abiertos para comunicarse de forma segura.

Un aspecto importante de la criptografía de clave pública / privada es que la clave privada se puede utilizar para firmar digitalmente un mensaje que puede ser verificada utilizando la clave pública. Esto le da al receptor de un mensaje de la capacidad de verificar concretamente que el mensaje que recibió fue enviado por el remitente (el titular de la clave).

La clave de los certificados SSL es que las claves de cifrado sí se pueden firmar digitalmente.

Un "certificado" se compone de un par de claves privada / pública, así como los datos firmados digitalmente. Cuando alguien compra un certificado SSL que generan una clave privada / pública y enviar la clave pública a una autoridad de certificación (CA) para ser firmado. La CA realiza un adecuado nivel de debida diligencia por el comprador del certificado SSL y firma el certificado con su clave privada. El certificado SSL se enlaza a un sitio web en particular o conjunto de sitios web y es esencialmente la CA que indica que confían en que el propietario de la clave privada del certificado sea el titular real de esos sitios web.

Los certificados raíz (claves públicas y otros meta-datos) para las CA de confianza se incluyen por defecto en los principales navegadores y sistemas operativos envío (en Windows, escriba "certmgr.msc" en la línea de carrera para ver el administrador de certificados). Cuando se conecta a un servidor web con SSL en el servidor que enviará su certificado SSL incluyendo la clave pública y otros metadatos, todo lo cual está firmado por la CA. Su navegador es capaz de verificar la validez del certificado, a través de la firma y los certificados raíz preinstalados. Esto crea una cadena de confianza entre la CA y el servidor web que se está conectando.

Answer 4

Debido a que tenemos que confiar en alguien.

certificados SSL de confianza tienen firmas de las autoridades de confianza. Por ejemplo, VeriSign tiene un acuerdo con Microsoft, que su certificado está construido en su navegador. Así que usted puede confiar en cada página con un certificado de confianza de VeriSign.

Este gráfico realmente recoge el punto:

• RA = Autoridad de Registro
• CA = Autoridad de Certificación
• VA = Autoridad de Validación

  

esbozo: Un usuario se registra para una   certificado con su clave pública a una   autoridad de registro (RA). los   éste confirma la identidad del usuario a   la autoridad de certificación (CA), que   a su vez, emite el certificado. los   usuario puede entonces firmar digitalmente un   contratación a través de su nuevo certificado.   Su identidad se comprueba por el   las partes contratantes con una validación   autoridad (VA) que recibe de nuevo   información acerca de los certificados emitidos   por la autoridad de certificación.

Answer 5

Si no está utilizando una de las personas aceptadas CAs recibirá un cuadro de mensaje cuando se accede a la página de hablar de un certificado no es de confianza. Eso no va a ayudar a generar tráfico al sitio.

El bloqueo sólo significa que el propietario del sitio mostró una CA algún tipo de prueba de que realmente es quien dice ser. Usted debe juzgar por sí mismo si confía en que la persona / sitio.

Es como un extraño que le muestra una identificación con foto. ¿Usted confía en él más porque se sabe a ciencia cierta su nombre es John Doe? Probablemente no.

Sin embargo, cuando las personas que confían en que dijeron: "John Doe" es un buen tipo. La prueba de que el individuo delante de ustedes realmente ES "John Doe", lo que podría optar por confiar en él también.

Answer 6

¿Por qué?Porque estás pagando para aprovechar la reputación de otra persona...para responder por usted.

Se trata de quién valida tu afirmación de ser tú.A pesar de algunos de los documentales que he visto últimamente y de la recesión, todavía es más probable que crea en las empresas estadounidenses cuando me confirman su identidad, que en la mafia rusa.Aunque ambos pueden emitir certificados con la misma facilidad.

La cantidad que usted paga es básicamente justa (cuánto les cuesta asegurar esa reputación y/o suprimir cualquier brecha de seguridad) + (por mucho que puedan permitirse el lujo de estafar el mercado como porcentaje de margen).

Ahora las barreras de entrada son bastante altas, porque es muy caro ganarse esa confianza, por lo que no hay mucha competencia.Por lo tanto, es probable que el precio no baje pronto...a menos que Sony o GE, etc. decidan jugar.

Answer 7

Usted paga por un certificado de manera que cuando se va HTTPS (que debería para nada un poco sensible) a sus clientes no reciben grandes advertencias e ir llame a su apoyo diciendo que ellos y otros han infectado ...

Muy poca seguridad, muchos de FUD.

Si usted tiene la posibilidad de dar a sus clientes su propio certificado directamente, lo hace. Pero es un caso raro.

Answer 8

Los certificados se basan en una cadena de confianza, y si deje que nadie sea una autoridad de firmas, que serían implícitamente confiar en todo el mundo. Es un poco de miedo hoy sin embargo, ya que hay más de 200 llamadas "autoridades de confianza", cuya certs se construyen en su navegador!

Hay una CA libre que yo sepa, sin embargo: StartCom . Emiten certificados SSL libres, pero sólo se aceptan en Firefox, IE no. (No está seguro sobre Safari u Opera).

Answer 9

Las otras respuestas han explicado la CA-sistema. El proyecto tiene como objetivo perspectivas para desplegar un nuevo enfoque para SSL, donde se puede elegir en quién confiar: http: // perspectivas en proyectos. org /