SSL 인증서를 신뢰하는 이유는 무엇입니까?

Question

내 친구가 이론적으로 모든 사람이 SSL 인증서를 발급할 수 있는데 왜 SSL 인증서에 그렇게 많은 비용을 지불하는지 물었습니다.과연 왜?그리고 브라우저의 작은 잠금 장치가 정말 신뢰할 수 있는지 어떻게 판단할 수 있을까요?

Answer 1

인증서는 CA (Certificate Authority)라고 불리는 것에 의해 암호화 적으로 서명되며 각 브라우저에는 CAS 목록이 암시 적으로 신뢰할 수 있습니다. 이 CAS는 종종 인증서에 서명하는 데 사용될 수있는 암호화 키 세트가있는 엔티티입니다. 신뢰할 수있는 목록에서 CA가 서명 한 모든 인증서는 브라우저에 잠금을 제공합니다. "신뢰할 수있는"것으로 입증되었으며 해당 도메인에 속하기 때문입니다.

너 ~할 수 있다 인증서를 자체 신호하지만 브라우저는 허용하기 전에 큰 오류 상자를 표시하거나 깨진 잠금 아이콘을 표시함으로써 서명자가 신뢰할 수 없다고 경고합니다.

또한, 신뢰할 수있는 인증서조차도 잘못된 도메인에 사용되거나 다른 도메인을 포함하도록 수정 된 경우 오류가 발생합니다. 이는 인증서에 사용될 수있는 도메인이 포함되어 있으며 무결성을 보장하는 암호화 체크섬/지문이 포함되어 있기 때문입니다.

MD5를 사용하는 CA 인증서를 가짜 할 수있는 가능성이 있기 때문에 현재 100% 안전하지는 않습니다.이 링크를 참조하십시오. http://www.phreedom.org/research/rogue-ca/. 비록 그들이 이미 존재하는 CA에서 약점을 악용했기 때문에 이것은 꽤 어렵다는 점에 주목해야하지만, 지금까지는 폐쇄되지 않았을 수도 있습니다.

본질적으로, 우리는 브라우저 제공 업체가 "적절한"CAS를 선택하는 방법을 알고 있다고 신뢰하는만큼 인증서를 신뢰합니다. 이 이론적으로 단일 실수가 감지되면 그들의 신뢰성에 매우 큰 타격이 될 것이기 때문에 그 CA는 평판의 미덕에 대해서만 신뢰됩니다.

Answer 2

전체 CA 사업은 놀랍습니다. rapidssl.com에서 몇 가지 인증서를 구입했으며 필요한 모든 "증명"은 다음과 같습니다.

1. 도메인으로 메일을받을 수있었습니다.
2. 내 전화에 응답 할 수 있습니다.

그거였다. 브라우저의 작은 잠금 장치를 신뢰할 때 명심하십시오.

Answer 3

첫째, SSL은 다음을 기반으로하는 강력한 공공/개인 키 암호화에 대한 배경 지식입니다.

키에는 개인 부분과 공개 부분의 두 부분이 있습니다. 공개 키는 개인 키가 해독 해야하는 자료를 암호화하는 데 사용될 수 있습니다. 이를 통해 개방형 통신 채널을 사용하여 안전하게 통신 할 수 있습니다.

공개/개인 키 암호화의 한 가지 중요한 측면 중 하나는 개인 키를 사용하여 공개 키를 사용하여 확인할 수있는 메시지를 디지털로 서명 할 수 있다는 것입니다. 이것은 메시지 수신기에게 그들이받은 메시지가 발신자 (키의 보유자)가 전송했음을 구체적으로 확인할 수있는 능력을 제공합니다.

SSL 인증서의 핵심은 암호화 키 자체를 디지털로 서명 할 수 있다는 것입니다.

"인증서"는 디지털 서명 데이터뿐만 아니라 개인/공개 키 쌍으로 구성됩니다. 누군가 SSL 인증서를 구매하면 개인/공개 키를 생성하고 공개 키를 인증 당국 (CA)에 제출할 수 있습니다. CA는 SSL 인증서 구매자에 대한 적절한 수준의 실사를 수행하고 개인 키로 인증서에 서명합니다. SSL 인증서는 특정 웹 사이트 또는 웹 사이트 세트에 결합되며 본질적으로 CA는 인증서의 개인 키 소유자가 해당 웹 사이트의 적절한 소유자라고 신뢰한다는 것을 나타내는 CA입니다.

신뢰할 수있는 CAS에 대한 루트 인증서 (공개 키 및 기타 메타 데이터)는 주요 배송 브라우저 및 운영 체제에 기본적으로 포함됩니다 (Windows, "Certmgr.msc"를 인증서 관리자를 만나기위한 프롬프트에 입력). SSL을 사용하여 웹 서버에 연결하면 서버는 공개 키 및 기타 메타 데이터를 포함한 SSL 인증서를 보냅니다. 브라우저는 서명 및 사전로드 된 루트 인증서를 통해 인증서의 유효성을 확인할 수 있습니다. 이것은 CA와 연결하는 웹 서버간에 신뢰 체인을 만듭니다.

Answer 4

우리는 누군가를 믿어야하기 때문입니다.

신뢰할 수있는 SSL 인증서에는 신뢰할 수있는 당국의 서명이 있습니다. 예를 들어 Verisign은 Microsoft와 거래를하고 있으며 인증서는 브라우저에 내장되어 있습니다. 따라서 Verisign 신뢰할 수있는 인증서로 모든 페이지를 신뢰할 수 있습니다.

이 그래픽은 실제로 요점을 선택합니다.

• RA = 등록 당국
• CA = 인증 기관
• VA = 검증 당국

대략적인 개요 : 사용자는 등록 기관 (RA)에서 공개 키로 인증서를 신청합니다. 후자는 인증 기관 (CA)에 대한 사용자의 신원을 확인하여 인증서에 발행됩니다. 그런 다음 사용자는 새 인증서를 사용하여 계약에 디지털 서명 할 수 있습니다. 그런 다음 그의 신원은 계약 당사자가 검증 당국 (VA)과 확인하여 인증 당국의 발급 인증서에 대한 정보를 다시받습니다.

Answer 5

허용 된 CAS 중 하나를 사용하지 않는 경우, 신뢰할 수없는 인증서에 대해 이야기하는 사이트에 액세스 할 때 메시지 상자를 얻게됩니다. 그것은 사이트로의 트래픽을 생성하는 데 도움이되지 않습니다.

자물쇠는 단지 사이트 소유자가 자신이 실제로 자신이 주장하는 사람이라는 증거를 CA에 보여 주었다는 것을 의미합니다. 그 사람/사이트를 신뢰하면 스스로 판단해야합니다.

사진 신분증을 보여주는 낯선 사람과 같습니다. 그의 이름이 John Doe라는 것을 알고 있기 때문에 그를 더 신뢰합니까? 아마 그렇지 않을 것입니다.

그러나 당신이 신뢰하는 사람들이 당신에게 말했을 때 : "John Doe"는 좋은 사람입니다. 당신 앞에있는 사람이 실제로 "John Doe"라는 증거는 당신이 그를 신뢰하기로 선택할 수 있습니다.

Answer 6

왜요? 당신은 누군가의 평판을 따라 가기 위해 돈을 지불하고 있기 때문에 .... 당신을 보증하기 위해.

그것은 당신의 주장을 당신이라는 주장을 그의 모든 것에 관한 것입니다. Ive가 최근에 지켜 본 다큐멘터리 중 일부와 경기 침체에도 불구하고, 나는 러시아 마피아보다 저에게 당신의 정체성을 확인할 때 미국 기업이 미국을 믿을 가능성이 더 높습니다. 비록 둘 다 쉽게 인증서를 발행 할 수 있습니다.

당신이 지불하는 금액은 기본적으로 (평판을 확보하고/또는 보안 위반을 억제하는 데 드는 비용) + (그러나 시장을 마진 %로 시장에 투자 할 수있는 많은 비용)입니다.

이제 진입 장벽은 상당히 높으며, 그 신뢰를 얻는 데 실제로 비싸기 때문에 경쟁이 많지 않습니다. 따라서 소니 나 GE 등이 플레이하기로 결정하지 않는 한 가격이 곧 하락하지 않을 가능성이 있습니다.

Answer 7

HTTPS를 사용할 때(약간 민감한 경우에 사용해야 함) 클라이언트가 큰 경고를 받지 않고 지원팀에 전화하여 귀하가 감염되었다고 알리지 않도록 인증서 비용을 지불합니다.

보안이 거의 없고 FUD가 많습니다.

클라이언트에게 직접 인증서를 제공할 가능성이 있다면 그렇게 하십시오.그러나 이는 드문 경우입니다.

Answer 8

인증서는 신뢰의 사슬에 기반을두고 있으며, 누군가가 서명 권한이되게한다면, 우리는 모든 사람을 암시 적으로 신뢰할 것입니다. 하지만 브라우저에 세기가 내장 된 200 개가 넘는 소위 "신뢰할 수있는 당국"이 있기 때문에 오늘날에는 약간 무섭습니다!

내가 알고있는 무료 CA가 하나 있습니다. startcom. 그들은 무료 SSL CERT를 발행하지만 즉, 즉, 즉 Firefox에서만 받아 들여집니다. (사파리 또는 오페라에 대해서는 확실하지 않음).

Answer 9

다른 답변은 CA 시스템을 설명했습니다. Perspectives 프로젝트는 신뢰할 사람을 선택할 수있는 SSL에 새로운 접근 방식을 배치하는 것을 목표로합니다. http://perspectives-project.org/