por que nós confio certificados SSL?
https://stackoverflow.com/questions/585129
-
06-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Um amigo meu me perguntou por que pagar tanto por certificados SSL se todos pudessem teoricamente emitir um. Por que de fato? E como podemos julgar se o pequeno cadeado no navegador é realmente confiável?
Solução
Os certificados são assinados criptograficamente por algo chamado uma Autoridade de Certificação (CA), e cada navegador tem uma lista de CAs implicitamente confia. Essas CAs são entidades que têm um conjunto de chaves criptográficas que podem ser usados ??para assinar qualquer certificado, muitas vezes por uma taxa. Qualquer certificado assinado por uma CA na lista confiável dará um bloqueio em um navegador, porque está provado ser "confiável" e pertença a esse domínio.
Você pode auto-assinar um certificado, mas o navegador irá avisá-lo que o assinante não é confiável, seja mostrando uma caixa de erro grande antes de permitir que você entrar, ou mostrando um ícone de cadeado quebrado.
Além disso, mesmo um certificado confiável dará um erro se ele é usado para o domínio errado, ou é modificado para incluir outro domínio. Isto é assegurado porque o certificado inclui os domínios é permitido para ser usado para, e ele também tem uma criptografia de checksum / impressão digital que garante a sua integridade.
Isto não é 100% seguro no momento, já que há a possibilidade de certificados falsos CA que usam MD5, consulte este link: http://www.phreedom.org/research/rogue-ca/ . Embora tenha-se notar que isso é muito difícil, como eles exploraram a fraqueza em uma CA já existente, que pode ou não ter sido fechado até agora.
Em essência, nós confio os certificados, tanto quanto nós confio que nossos fornecedores navegador saber como selecionar "adequados" CAs. Essas CAs só são confiáveis ??em virtude de sua reputação, como um único passo em falso, teoricamente, seria um golpe muito pesado sobre sua confiabilidade se detectado.
Outras dicas
O negócio todo CA é incrível. Eu comprei um par de certificados de rapidssl.com, e toda a "prova" de que precisavam era:
- eu poderia receber e-mails para o domínio.
- que eu pudesse responder meu telefone.
Foi isso. Tenha em mente, ao confiar os pequenos bloqueios no navegador.
Primeiro, algumas informações sobre forte público / criptografia de chave privada, que SSL é baseado em:
A chave tem duas partes, a parte privada e parte pública. A chave pública pode ser usado para material de criptografar que requer a chave privada para descriptografar. Isso permite o uso de canais de comunicação abertos para comunicar de forma segura.
Um aspecto importante do público criptografia de chave / privado é que a chave privada pode ser usado para assinar digitalmente uma mensagem que pode ser verificado usando a chave pública. Isto dá o receptor de uma mensagem a capacidade de verificar concretamente que a mensagem que recebeu foi enviado pelo remetente (o titular da chave).
A chave para certificados SSL é que as chaves de criptografia em si podem ser assinados digitalmente.
"certificado" Um é composto de um par de chaves privada / pública como dados bem como assinados digitalmente. Quando alguém compra um certificado SSL que geram uma chave privada / pública e enviar a chave pública a uma Autoridade de Certificação (CA) para ser assinado. O CA executa um nível adequado de due diligence sobre o comprador do certificado SSL e assina o certificado com sua chave privada. O certificado SSL será vinculado a um determinado site ou conjunto de sites e é essencialmente o CA indicando que eles confiam o proprietário da chave privada do certificado a ser o proprietário adequada desses sites.
Os certificados de raiz (chaves públicas e outros meta-dados) para CAs confiáveis ??são incluídos por padrão nos principais browsers de navegação e sistemas operacionais (no Windows, digite "certmgr.msc" em uma corrida rápida para ver o gestor de certificados). Quando você conectar a um servidor web usando SSL o servidor irá enviar-lhe seu certificado SSL, incluindo os dados da chave pública e outra meta, todos os quais são assinados pelo CA. Seu navegador é capaz de verificar a validade do certificado, através da assinatura e os certificados raiz pré-carregados. Isso cria uma cadeia de confiança entre o CA eo servidor web que você está se conectando.
Porque nós temos que confiar em alguém.
Os certificados SSL confiáveis ??têm assinaturas de autoridades confiáveis. Por exemplo, a VeriSign tem um acordo com a Microsoft, que seu certificado é construído no seu browser. Assim, você pode confiar em cada página com um certificado confiável VeriSign.
Este gráfico realmente pega o ponto:
- RA = Autoridade de Registro
- CA = Certification Authority
- VA = Validação Autoridade
áspero esboço: Um usuário solicita um certificado com sua chave pública em um Autoridade de Registro (AR). o últimos confirma a identidade do usuário a autoridade de certificação (CA) que por sua vez, emite o certificado. o usuário pode, em seguida, assinar digitalmente um contrair usar seu novo certificado. Sua identidade é então verificada pela contratante com uma validação autoridade (VA) que por sua vez recebe informações sobre os certificados emitidos pela autoridade de certificação.
Se você não estiver usando um dos CAs aceitas as pessoas vão ter uma caixa de mensagem ao acessar o site falando de um certificado não confiável. Isso não vai ajudar a gerar tráfego para o site.
O bloqueio só significa que o proprietário do site mostrou uma CA algum tipo de prova de que ele realmente é quem ele diz ser. Você deve julgar em seu próprio país, se você confiar nessa pessoa / site.
É como um estranho lhe mostrar uma foto de identificação. Você confia-lo mais porque você sabe com certeza o nome dele é John Doe? Provavelmente não.
Mas quando pessoas de sua confiança lhe disse: "John Doe" é um bom rapaz. A prova de que o cara na frente de você, na verdade, é "John Doe", que você pode optar por confiar nele também.
Por quê? Porque você está pagando para andar junto em alguém elses reputação .... para atestar você.
Seu sobre cuja validar a sua reivindicação de ser você. Apesar de alguns dos documentários Ive assisti ultimamente, e da recessão, ainda sou mais propensos a acreditar América corporativa quando confirmar a sua identidade para mim, do que eu sou a máfia russa. Mesmo que ambos podem tão facilmente emitir certificados.
O valor que você paga é basicamente apenas (quanto custa-los para garantir que a reputação e / ou suprimir quaisquer violações de segurança) + (por mais que eles podem dar ao luxo de arrancar o mercado como um margem%).
Agora, as barreiras à entrada são bastante elevado, cos é realmente caro para ganhar essa confiança, então há não um monte de concorrência. Portanto chances são o preço não vai cair tão cedo .... a menos que a Sony ou a GE etc decidir jogar.
Você paga para um certificado de modo que quando você vai HTTPS (que você deve para qualquer coisa um pouco sensível) seus clientes não obter grandes avisos e ir chamar seu apoio dizendo que você lhes & al infectado ...
Muito pouca segurança, monte de FUD.
Se você tem a possibilidade de dar a seus clientes o seu próprio certificado diretamente, fazê-lo. Mas é um caso raro.
Os certificados são construídos sobre uma cadeia de confiança, e se deixe ninguém ser uma autoridade de assinatura, que seria implicitamente confiando todos. É um pouco assustador hoje, porém, uma vez que existem mais de 200 chamadas "autoridades confiáveis", cujos certificados são construídas em seu navegador!
Há uma CA livre que eu saiba que: Red Hat . Eles emitir certificados SSL livre, mas eles só são aceites no Firefox, não IE. (Não tenho certeza sobre o Safari ou Opera).
As outras respostas têm explicado o sistema-CA. As perspectivas projeto visa implantar uma nova abordagem para SSL, onde você pode escolher em quem confiar: http: // perspectivas do projeto. org /
