Pourquoi faire confiance-nous des certificats SSL?

StackOverflow https://stackoverflow.com/questions/585129

  •  06-09-2019
  •  | 
  •  

Question

Un de mes amis m'a demandé pourquoi nous payons tant pour les certificats SSL si tout le monde pourrait théoriquement émettre un. Pourquoi, en effet? Et comment pouvons-nous juger si le petit cadenas dans le navigateur est vraiment digne de confiance?

Était-ce utile?

La solution

Les certificats sont signés par cryptographiquement ce qu'on appelle une autorité de certification (CA), et chaque navigateur a une liste des autorités de certification, il fait confiance implicitement. Ces autorités de certification sont des entités qui ont un jeu de clés de chiffrement qui peuvent être utilisés pour signer un certificat, souvent moyennant des frais. Tout certificat signé par une autorité de certification dans la liste de confiance donnera un verrou sur un navigateur, car il est prouvé être « de confiance » et appartient à ce domaine.

peut auto-signer un certificat, mais le navigateur vous avertit que le signataire est pas digne de confiance, que ce soit en montrant une grande boîte d'erreur avant de vous permettre, ou montrant une icône de serrure cassée.

En outre, même un certificat de confiance donnera une erreur si elle est utilisée pour le mauvais domaine, ou est modifié pour inclure un autre domaine. Ceci est assuré car le certificat comprend les domaines qu'il est autorisé à utiliser pour, et il a également une somme de contrôle / empreinte cryptographique qui garantit son intégrité.

Ce n'est pas 100% sûr à l'heure actuelle, car il y a la possibilité de certificats CA faux qui utilisent MD5, voir ce lien: http://www.phreedom.org/research/rogue-ca/ . Bien qu'il faut noter que cela est assez difficile, car ils ont exploité une faiblesse dans une CA déjà existante, qui peut ou non avoir été fermé maintenant.

En substance, nous faisons confiance aux certificats autant que nous espérons que nos fournisseurs de navigateur savent comment sélectionner CA « appropriée ». Ces CA ne sont confiance en raison de leur réputation, comme un seul faux pas serait théoriquement un coup très lourd sur leur fiabilité si elle est détectée.

Autres conseils

L'ensemble des affaires CA est incroyable. Je l'ai acheté deux certificats de rapidssl.com, et toute la « preuve » dont ils avaient besoin était:

  1. je pourrais recevoir du courrier au domaine.
  2. Je pourrais répondre mon téléphone.

C'était. Gardez à l'esprit, quand faire confiance aux petits cadenas dans le navigateur.

Tout d'abord, quelques informations sur la cryptographie à clé publique / privée forte, qui SSL est basé sur:

Une clé comporte deux parties, la partie privée et la partie publique. La clé publique peut être utilisée pour chiffrer le matériau qui nécessite la clé privée pour décrypter. Ceci permet l'utilisation de canaux de communication ouverts pour communiquer en toute sécurité.

Un aspect important de la cryptographie à clé publique / privée est que la clé privée peut être utilisé pour signer numériquement un message qui peut être vérifié à l'aide de la clé publique. Cela donne au récepteur d'un message la possibilité de vérifier concrètement que le message qu'ils ont reçu a été envoyé par l'expéditeur (le détenteur de la clé).

La clé de certificats SSL est que les clés de chiffrement elles-mêmes peuvent être signés numériquement.

Un « certificat » est composé d'une paire clé privée / publique, ainsi que des données signées numériquement. Quand quelqu'un achète un certificat SSL génèrent une clé privée / publique et soumettre la clé publique à une autorité de certification (CA) à signer. Le CA effectue un niveau de diligence raisonnable à l'acheteur du certificat SSL et signe le certificat avec sa clé privée. Le certificat SSL sera lié à un site Web particulier ou un ensemble de sites Web et est essentiellement l'autorité de certification indiquant qu'ils font confiance au propriétaire de la clé privée du certificat pour être le bon propriétaire de ces sites.

Les certificats racine (clés publiques et d'autres méta-données) pour les CA de confiance sont inclus par défaut dans les navigateurs de navigation et les systèmes d'exploitation (sous Windows, tapez « certmgr.msc » dans une course rapide pour voir le gestionnaire de certificats). Lorsque vous vous connectez à un serveur Web en utilisant SSL le serveur vous enverra son certificat SSL, y compris la clé publique et d'autres méta-données, tous qui est signé par l'autorité de certification Votre navigateur est en mesure de vérifier la validité du certificat, par la signature et les certificats racine pré-chargés. Cela crée une chaîne de confiance entre le CA et le serveur Web que vous connectez.

Parce que nous devons faire confiance à quelqu'un.

Trusted certificats SSL ont des signatures des autorités de confiance. Par exemple, VeriSign a un accord avec Microsoft, que leur certificat est construit dans votre navigateur. Ainsi, vous pouvez faire confiance à chaque page avec un certificat de confiance VeriSign.

Ce graphique prend vraiment le point:

PKI

  • RA = autorité d'enregistrement
  • CA = autorité de certification
  • VA = Validation Authority
  

esquisse: Un utilisateur fait une demande   certificat avec sa clé publique à   autorité d'enregistrement (RA). le   celui-ci confirme l'identité de l'utilisateur   l'autorité de certification (CA) qui   à son tour, délivre le certificat. le   l'utilisateur peut alors signer numériquement un   contrat en utilisant son nouveau certificat.   Son identité est alors vérifiée par la   partie contractante avec une validation   autorité (VA) qui reçoit à nouveau   informations sur les certificats émis   par l'autorité de certification.

Si vous n'utilisez pas l'une des personnes acceptées CA recevront une boîte de message lorsque vous accédez au site qui parle d'un certificat non approuvé. Cela ne va pas aider à générer du trafic vers le site.

Le verrouillage signifie seulement que le propriétaire du site a montré une autorité de certification une sorte de preuve qu'il est vraiment celui qu'il prétend être. Vous devez juger vous-même si vous faites confiance à cette personne / site.

Il est comme un étranger vous montrant une photo d'identité. Avez-vous le plus confiance parce que vous savez que son nom est John Doe? Probablement pas.

Mais quand les gens vous ont dit que vous faites confiance: « John Doe » est un bon gars. La preuve que le gars en face de vous est en réalité « John Doe », que vous pouvez choisir de lui faire confiance aussi bien.

Pourquoi? Parce que vous payez pour rouler le long de quelqu'un elses réputation .... pour se porter garant pour vous.

Son tout au sujet dont la validation de votre demande pour vous être. En dépit de quelques-uns des documentaires Ive, et ces derniers temps surveillés la récession, je suis encore plus susceptibles de croire les entreprises américaines quand ils confirment votre identité pour moi, que je suis la mafia russe. Même si les deux peuvent aussi facilement délivrer des certificats.

Le montant que vous payez est fondamentalement juste (combien il leur coûte d'obtenir cette réputation et / ou supprimer toute atteinte à la sécurité) + (mais bien qu'ils peuvent se permettre d'escroquer le marché comme une marge%).

Maintenant, les barrières à l'entrée sont très élevés, cos son très cher pour gagner cette confiance, il ne ya donc pas beaucoup de concurrence. Par conséquent, les chances sont le prix ne va pas tomber de sitôt .... à moins que Sony ou GE etc décident de jouer.

Vous payez pour un certificat de sorte que lorsque vous allez HTTPS (que vous devriez pour quoi que ce soit un peu sensible) vos clients ne reçoivent pas de grands avertissements et aller appeler votre soutien en disant que vous avez infecté les & al ...

Très peu de sécurité, beaucoup de FUD.

Si vous avez la possibilité de donner à vos clients votre propre certificat directement, faites-le. Mais il est un cas rare.

Les certificats sont construits sur une chaîne de confiance, et si laissez personne être une autorité de signature, nous serions confiance implicitement tout le monde. Il est un peu effrayant aujourd'hui cependant, car il y a plus de 200 soi-disant « autorités de confiance » dont certs sont intégrés dans votre navigateur!

Il y a un CA libre que je connaisse bien: StartCom . Ils émettent des certificats SSL libres, mais ils ne sont acceptés que dans Firefox, pas IE. (Je ne sais pas à propos de Safari ou Opera).

Les autres réponses ont expliqué le système de CA. Le projet de perspectives vise à déployer une nouvelle approche de SSL, où vous pouvez choisir à qui faire confiance: http: // perspectives projet. org /

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top