Преимущества в области безопасности подписанного CA SSL -сертификата
https://stackoverflow.com/questions/9353340
-
27-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Это всего лишь общий вопрос относительно дебатов между самозавешенными сертификатами и сертификатами CA ...
Я понимаю преимущества сертификата CA из -за избегания предупреждений, генерируемых в большинстве браузеров, но как сертификат CA получает фактическую безопасность? Я обычно слышу, как самая большая угроза-это атаки человека в среднем уровне, и хотя я понимаю эту угрозу с использованием самоподнешенного сертификата, я не понимаю, как это предотвращает сертификат CA. Я знаю, что CAS выполняет свои собственные алгоритмы безопасности, не могут быть использованы те же алгоритмы на самоподтвержденных сертификатах?
Я полагаю, что я просто немного раздражен крупным бизнесом, вращающимся вокруг потребности в сертификатах CA, но, кажется, не могу найти что -то другое в них, кроме этих предполагаемых дополнительных проверок безопасности, которые они выполняют. Есть ли что-то, что CA может предоставить из точки зрения безопасности, чего не могут самоподнешенные сертификаты?
Решение
Подделка. Если другая сторона подделывает самоотверженное сертификат, у вас нет возможности проверить это. Чтобы проверить, что вы получили действительный сертификат, а не поддельный, вам нужна сторонняя проверка, которая не может быть легко подделана. Это делается путем переноса списка сертификатов корневого CA (и некоторых промежуточных сертификатов) с помощью вашего программного обеспечения на стороне клиента (Windows включает в себя такие сертификаты для вас, а основные браузеры делают то же самое) и проверка сертификата, который вы получаете от сервера, используя эти сертификаты CA Анкет С самоподнешенными сертификатами такая проверка невозможна.
Конечно, вы можете носить сертификат самоподнебленного с помощью вашего клиентского приложения (и это то, что делают некоторые разработчики, особенно для внутренних приложений), но это не работает с браузерами.
Другие советы
Разница не в алгоритме, а в том, доверяют ли люди авторитету сертификата или нет.
Смысл сертификата состоит в том, чтобы убедиться, что вы устанавливаете связь с тем, с кем вы собираетесь установить связь.
Если я скажу вам: «Я правильный сервер, поверьте мне в это», вы можете не верить мне (в конце концов, вы меня не знаете).
Если я скажу вам: «Я правильный сервер, и у меня есть сертификат, чтобы доказать это», вы могли бы сказать «ОК, и кто дал вам этот сертификат?» Если мой ответ - «Джо с угла», вы все равно можете не верить мне.
Но если я скажу: «У меня есть сертификат, и вы можете подтвердить его третьей стороной, которой вы доверяете», вы можете решить, что это хорошее доказательство личности.
Как вы подтверждаете, что это стандарт (например, как описано в RFC 5280) Но это просто технические. Вы можете использовать тот же алгоритм для сертификата, который возник из VeriSign, и для сертификата, который вы генерируете себя.
Реальный вопрос о доверии: доверяете ли вы тому, кому дает вам «доказательство идентичности». Мы доверяем Verisign достаточно, чтобы допустить от них любое доказательство идентичности, чтобы быть принятым каждым браузером. Должны ли мы доверять людям, которые генерируют свои собственные сертификаты самопоглаживаемых? В некоторых случаях мы могли бы сделать (в этом случае вы можете установить их сертификаты в свой браузер вручную), но не как общее правило.
