CA署名されたSSL証明書に対するセキュリティの利点
https://stackoverflow.com/questions/9353340
-
27-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
これは、自己署名証明書とCA証明書との間の議論に関する一般的な質問です...
ほとんどのブラウザで生成された回避された警告によるCA証明書のメリットを理解していますが、CA証明書は実際のセキュリティにどのように利益をもたらしますか?最大の脅威は中間の攻撃であることを聞いていますが、自己署名証明書を使用してこの脅威を理解していますが、CA証明書がこれをどのように防ぐかはわかりません。 CASが独自のセキュリティアルゴリズムを実行することは、自己署名証明書で同じアルゴリズムを使用できないことを知っていますか?
私は、CA証明書の必要性を中心に回転する大企業に少しイライラしていると思いますが、彼らが実行するこれらの追加のセキュリティチェックとは異なるものを見つけることはできないようです。セキュリティのポイントオブビューからCAが提供できるものはありますか?
解決
スプーフィング。相手が自己署名証明書を偽装した場合、これを確認する方法がありません。偽造された証明書ではなく有効な証明書を受け取ったことを確認するには、簡単にスプーフィングできないサードパーティのチェックが必要です。これは、クライアント側のソフトウェア(Windowsにはお客様と主要なブラウザが同じことを行う)を使用して、ルートCA証明書(および一部の中間証明書)のリストを持ち運んで、それらのCA証明書を使用してサーバーから受け取った証明書を確認することによって行われます。 。自己署名証明書では、そのような検証は不可能です。
もちろん、クライアントアプリケーションを使用して自己署名証明書を携帯することができます(これは、特に社内アプリケーションでは、これが一部の開発者が行うことです)が、これはブラウザーでは機能しません。
他のヒント
違いはアルゴリズムではなく、人々が認証局を信頼するかどうかです。
証明書のポイントは、あなたが接続するつもりであることを誰とでもつながっていることを確認することです。
私があなたに「私は正しいサーバーだ、これについて私を信頼してください」と言うなら、あなたは私を信じないことを選ぶかもしれません(結局、あなたは私を知らない)。
「私は正しいサーバーであり、それを証明する証明書がある」と言うと、「OK、誰があなたにこの証明書を与えましたか?」と言うことができます。私の返事が「角を曲がったジョー」である場合、あなたはまだ私を信じないことを選択するかもしれません。
しかし、「私には証明書があり、あなたが信頼する第三者でそれを確認できます」と言うと、これはアイデンティティの良い証拠であると判断するかもしれません。
それが標準のすべてであることを確認する方法(例: RFC 5280)。しかし、それは単なる技術です。 Verisignから発信された証明書と自分で生成する証明書には、まったく同じアルゴリズムを使用できます。
本当の質問は信頼に関するものです。「アイデンティティの証明」を与えている人を信頼していますか。私たちは、すべてのブラウザによって彼らからのアイデンティティの証明を許可するのに十分なほどVerisignを信頼しています。独自の自己署名証明書を生成する個人を信頼すべきですか?場合によっては(その場合、ブラウザに証明書に手動でインストールできます)が、一般的なルールとしてではありません。
