perché ci fidiamo di certificati SSL?

Question

Un mio amico mi ha chiesto perché dobbiamo pagare così tanto per i certificati SSL se tutti potessero teoricamente problema uno.Perché, infatti, si?E come facciamo a giudicare se il lucchetto nel browser è davvero affidabile?

Answer 1

I certificati sono firma crittografica da qualcosa chiamato un Certificate Authority (CA), e ogni browser ha un elenco delle CA si fida implicitamente. Questi CA sono entità che hanno una serie di chiavi di crittografia che può essere utilizzato per firmare qualsiasi certificato, spesso a pagamento. Qualsiasi certificato firmato da una CA nella lista di fiducia darà un blocco su un browser, perché è dimostrato di essere "trusted" e appartiene a quel dominio.

possono self-firmare un certificato, ma il browser vi avvertirà che il firmatario non è attendibile, sia mostrando una grande finestra di errore prima di consentire a, o mostrando l'icona di un lucchetto rotto.

In aggiunta, anche un certificato attendibile darà un errore se viene utilizzato per il dominio sbagliato, o viene modificato per includere un altro dominio. Ciò è garantito perché il certificato include i domini è consentito ad essere utilizzato per, e ha anche un crittografico checksum / impronta digitale che assicura l'integrità.

Questo non è sicuro al 100% in questo momento, in quanto v'è la possibilità di falsi certificati CA che utilizzano MD5, vedi questo link: http://www.phreedom.org/research/rogue-ca/ . Anche se va notato che questo è piuttosto difficile, come hanno sfruttato una debolezza in una CA già esistente, che può o non può essere stato chiuso da ora.

In sostanza, abbiamo fiducia i certificati tanto quanto abbiamo fiducia che i nostri fornitori di browser sanno come selezionare "corretta" Cas. Quei CA sono attendibili solo in virtù della loro reputazione, come un unico passo falso teoricamente sarebbe un colpo molto pesante sulla loro affidabilità se rilevato.

Answer 2

L'intera attività di CA è sorprendente. Ho acquistato un paio di certificati da rapidssl.com, e tutta la "prova" di cui avevano bisogno era:

1. I potrebbe ricevere la posta al dominio.
2. I potesse rispondere il mio telefono.

Questo è tutto. Tenete a mente, quando confidando le piccole serrature nel browser.

Answer 3

In primo luogo, alcuni retroscena su una forte pubblica / crittografia a chiave privata, che si basa su SSL:

Un tasto ha due parti, la parte privata e la parte pubblica. La chiave pubblica può essere utilizzata per crittografare materiale che richiede la chiave privata per decifrare. Questo permette l'utilizzo di canali di comunicazione per comunicare in sicurezza.

Un aspetto importante del / crittografia a chiave privata pubblica è che la chiave privata può essere utilizzata per firmare digitalmente un messaggio che può essere verificata utilizzando la chiave pubblica. Questo dà il destinatario di un messaggio la possibilità di verificare concretamente che il messaggio ricevuto è stato inviato dal mittente (il titolare della chiave).

La chiave per i certificati SSL è che le chiavi di crittografia stessi possono essere firmati digitalmente.

Un "certificato" è composto da una coppia di chiavi pubblica / privata, nonché i dati con firma digitale. Quando qualcuno acquista un certificato SSL generano una chiave privata / pubblica e presentare la chiave pubblica ad una Certification Authority (CA) per essere firmato. Il CA esegue un adeguato livello di due diligence sul compratore del certificato SSL e firma il certificato con la propria chiave privata. Il certificato SSL sarà legato ad un particolare sito web o un insieme di siti web ed è essenzialmente il CA che indica che si fidano del proprietario della chiave privata del certificato di essere il proprietario di una corretta tali siti web.

I certificati di origine (chiavi pubbliche e altri meta-dati) per le CA di fiducia sono incluse di default nella principali browser di navigazione e sistemi operativi (in Windows, digitare "certmgr.msc" in un prompt di corsa per vedere il gestore di certificati). Quando ci si connette a un server Web utilizzando SSL server invierà il suo certificato SSL tra cui la chiave pubblica e di altri meta dati, ognuno dei quali è firmato dal CA. Il tuo browser è in grado di verificare la validità del certificato, attraverso la firma e certificati principali precaricati. Questo crea una catena di fiducia tra CA e il server web ci si connette.

Answer 4

Perché dobbiamo fidarsi di qualcuno.

I certificati SSL attendibili hanno le firme delle autorità di fiducia. Ad esempio, VeriSign ha un accordo con Microsoft, che il loro certificato è costruito nel tuo browser. Così ci si può fidare ogni pagina con un certificato VeriSign di fiducia.

Questa grafica davvero prende il punto:

• RA = Registration Authority
• CA = Autorità di certificazione
• VA = Validation Authority

  

abbozzo: un utente richiede un   certificato con la sua chiave pubblica ad un   Registration Authority (RA). Il   quest'ultima conferma l'identità dell'utente per   l'autorità di certificazione (CA), che   a sua volta emette il certificato. Il   utente può quindi firmare digitalmente un   contrarre usando il suo nuovo certificato.   La sua identità è poi controllato dal   contraente con una convalida   autorità (VA) che riceve ancora una volta   informazioni sui certificati rilasciati   da parte dell'autorità di certificazione.

Answer 5

Se non si utilizza una delle persone CAs accettati avranno una finestra di messaggio quando si accede al sito parla di un certificato non attendibile. Questo non aiuterà a generare traffico verso il sito.

Il blocco significa solo che il proprietario del sito ha mostrato una CA qualche tipo di prova che egli è veramente chi dice di essere. Si deve giudicare da soli se ti fidi di quella persona / sito.

E 'come un estraneo che vi mostra un documento di identità. Ti fidi di lui di più perché si sa per certo il suo nome è John Doe? Probabilmente no.

Ma quando la gente si fidi di voi hanno detto: "John Doe" è un bravo ragazzo. La prova che il ragazzo di fronte a voi in realtà "John Doe", di quanto si possa scegliere di fidarsi di lui pure.

Answer 6

Perché? Perché si sta pagando per cavalcare lungo su qualcuno reputazione qualcun'altro .... a garantire per voi.

Tutti i suoi circa la cui convalida pretesa di essere voi. Nonostante alcuni dei documentari Ive guardato ultimamente, e la recessione, sono ancora più propensi a credere corporate America quando confermare la vostra identità per me, di me la mafia russa. Anche se entrambi possono altrettanto facilmente rilasciare i certificati.

L'importo da pagare è fondamentalmente solo (quanto costa loro di garantire che la reputazione e / o sopprimere eventuali violazioni della sicurezza) + (per quanto possono permettersi di cavare il mercato come un margine%).

Ora le barriere all'ingresso sono piuttosto elevati, cos è molto costoso per guadagnare quella fiducia, ce n'è almeno non un sacco di concorrenza. Quindi è probabile che il prezzo non sta per cadere in qualunque momento presto .... a meno che Sony o GE ecc decidono di giocare.

Answer 7

Si paga per un certificato in modo che quando si va HTTPS (che si dovrebbe per qualcosa di un po 'sensibile) i vostri clienti non ottenere grandi avvertenze e va' a chiamare tuo supporto dicendo che si sono infettate & al...

Molto poco di protezione, il lotto di FUD.

Se avete la possibilità di dare ai vostri clienti il proprio certificato direttamente, farlo.Ma è un caso raro.

Answer 8

I certificati sono costruiti su una catena di fiducia, e se permettere a nessuno di essere un'autorità di firma, ci sarebbero implicitamente confidando tutti. E 'un po' paura di oggi, però, dal momento che ci sono oltre 200 cosiddette "autorità di fiducia", le cui certs sono costruiti nel browser!

C'è una CA libero che io sappia però: StartCom . Essi rilasciano certificati SSL liberi, ma sono accettati solo in Firefox, IE non. (Non sei sicuro di Safari o Opera).

Answer 9

Le altre risposte hanno spiegato il CA-sistema. Il progetto si propone di implementare le prospettive di un nuovo approccio alla SSL, dove è possibile scegliere di chi fidarsi: http: // prospettive a progetto. org /