Les avantages en matière de sécurité à une autorité de certification signé certificat SSL
https://stackoverflow.com/questions/9353340
-
27-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Ceci est juste une question générale concernant le débat entre les certificats auto-signés et des certificats CA ...
Je comprends les avantages pour un certificat de CA en raison des avertissements évités générés dans la plupart des navigateurs, mais comment un avantage de certificat CA sécurité réelle? J'entends souvent la plus grande menace est attaques par-the-middle, et si je comprends cette menace à l'aide d'un certificat auto-signé, je ne comprends pas comment un certificat CA empêche. Je sais que les CA effectuent leurs propres algorithmes de sécurité ne pouvaient pas les mêmes algorithmes utilisés sur les certificats auto-signés?
Je suppose que je suis un peu irrité par les grandes entreprises tournant autour de la nécessité de certificats CA mais ne peut pas sembler trouver quoi que ce soit différent d'eux autres que ces contrôles de sécurité supplémentaires supposés qu'ils effectuent. Y at-il une autorité de certification peut fournir d'un point de vue de la sécurité que les certificats auto-signés ne peuvent pas?
La solution
Spoofing. Si l'autre partie feint une certificat auto-signé, vous avez aucun moyen de vérifier. Afin de vérifier que vous avez reçu le certificat valide et non un faux, vous devez vérifier tiers qui ne peut pas être facilement usurpée. Cela se fait en portant la liste des certificats d'autorité de certification racine (et quelques certificats intermédiaires) avec votre logiciel côté client (Windows inclut de tels certificats pour vous et les principaux navigateurs faire la même chose) et la vérification du certificat que vous recevez du serveur en utilisant les certificats de CA . Avec les certificats auto-signés cette vérification est impossible.
Bien sûr, vous pouvez porter le certificat auto-signé avec votre application client (ce qui est ce que certains développeurs font, en particulier pour les applications en interne), mais cela ne fonctionne pas avec les navigateurs.
Autres conseils
La différence est pas dans l'algorithme, il est de savoir si les gens font confiance à l'autorité de certification ou non.
Le point d'un certificat est de vérifier que vous faites le lien avec qui que ce soit que vous avez l'intention de faire le lien avec.
Si je vous dis: « Je suis le bon serveur, me faire confiance », vous pouvez choisir de ne pas me croire (après tout, vous ne me connaissez pas).
Si je vous dis: « Je suis le bon serveur, et j'ai un certificat pour le prouver », on pourrait dire « ok, et qui vous a donné ce certificat? » Si ma réponse est « Joe le coin du monde », vous pouvez toujours choisir de ne pas me croire.
Mais si je dis «j'ai un certificat, et vous pouvez le confirmer avec un tiers qui vous avez confiance », vous pouvez décider que c'est une bonne preuve d'identité.
Comment vous le confirmez est ce que la norme est tout au sujet (par exemple, comme décrit dans RFC 5280 ). Mais c'est technicités. Vous pouvez utiliser l'algorithme exact même pour un certificat de VeriSign qui a pris naissance et un certificat que vous vous générer.
La vraie question est une question de confiance: faites-vous confiance celui qui est en vous donnant la « preuve d'identité ». Nous avons confiance assez VeriSign pour permettre une preuve d'identité de leur être acceptée par tous les navigateurs. Faut-il faire confiance à des personnes qui génèrent leurs propres certificats auto-signés? Nous pourrions faire dans certains cas (dans ce cas, vous pouvez installer leurs certificats manuellement dans votre navigateur), mais pas en règle générale.
