почему мы доверяем SSL-сертификатам?
https://stackoverflow.com/questions/585129
-
06-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Один мой друг спросил меня, почему мы так много платим за SSL-сертификаты, если теоретически каждый может их выдать.Действительно, почему?И как мы можем судить, действительно ли маленькая блокировка в браузере заслуживает доверия?
Решение
Сертификаты криптографически подписаны чем-то, называемым Центром сертификации (CA), и у каждого браузера есть список центров сертификации, которым он неявно доверяет.Эти центры сертификации представляют собой объекты, обладающие набором криптографических ключей, которые могут быть использованы для подписи любого сертификата, часто за определенную плату.Любой сертификат, подписанный центром сертификации из списка доверенных, приведет к блокировке браузера, поскольку доказано, что он является "надежным" и принадлежит этому домену.
Ты может самостоятельно подпишите сертификат, но браузер предупредит вас о том, что подписавшему не доверяют, либо показав большое окно с ошибкой перед тем, как разрешить вам войти, либо показав значок сломанного замка.
Кроме того, даже доверенный сертификат выдаст ошибку, если он используется не для того домена или изменен для включения другого домена.Это обеспечивается тем, что сертификат включает домены, для которых его разрешено использовать, а также имеет криптографическую контрольную сумму / отпечаток пальца, который обеспечивает его целостность.
На данный момент это не на 100% безопасно, так как существует возможность подделать сертификаты CA, использующие MD5, смотрите эту ссылку: http://www.phreedom.org/research/rogue-ca/.Хотя следует отметить, что это довольно сложно, поскольку они воспользовались слабостью в уже существующем центре сертификации, который, возможно, был закрыт, а возможно, и нет к настоящему времени.
По сути, мы доверяем сертификатам настолько, насколько верим в то, что наши поставщики браузеров знают, как выбрать "правильные" центры сертификации.Этим центрам сертификации доверяют только в силу их репутации, поскольку один-единственный неверный шаг теоретически стал бы очень тяжелым ударом по их надежности, если бы был обнаружен.
Другие советы
Весь бизнес CA потрясающий.Я приобрел пару сертификатов у rapidssl.com, и все "доказательства", которые им требовались, были:
- Я мог бы получать почту на домен.
- Я мог бы ответить на свой телефонный звонок.
Вот и все.Имейте в виду, когда доверяете небольшим блокировкам в браузере.
Во-первых, некоторые сведения о надежной криптографии с открытым / закрытым ключом, на которой основан SSL:
Ключ состоит из двух частей: закрытой части и общедоступной части.Открытый ключ может быть использован для шифрования материала, для расшифровки которого требуется закрытый ключ.Это позволяет использовать открытые каналы связи для безопасного обмена данными.
Одним из важных аспектов криптографии с открытым / закрытым ключом является то, что закрытый ключ может быть использован для цифровой подписи сообщения, которое может быть проверено с помощью открытого ключа.Это дает получателю сообщения возможность конкретно проверить, что полученное им сообщение было отправлено отправителем (владельцем ключа).
Ключом к SSL-сертификатам является то, что сами ключи шифрования могут иметь цифровую подпись.
"Сертификат" состоит из пары закрытого / открытого ключей, а также данных с цифровой подписью.Когда кто-то покупает SSL-сертификат, он генерирует закрытый / открытый ключ и отправляет открытый ключ в Центр сертификации (CA) для подписи.Центр сертификации проводит надлежащий уровень due diligence в отношении покупателя SSL-сертификата и подписывает сертификат своим закрытым ключом.SSL-сертификат будет привязан к определенному веб-сайту или набору веб-сайтов и, по сути, является центром сертификации, указывающим, что они доверяют владельцу закрытого ключа сертификата быть надлежащим владельцем этих веб-сайтов.
Корневые сертификаты (открытые ключи и другие метаданные) для доверенных центров сертификации включены по умолчанию в основные браузеры доставки и операционные системы (в Windows введите "certmgr.msc" в командной строке, чтобы просмотреть диспетчер сертификатов).Когда вы подключаетесь к веб-серверу с использованием SSL, сервер отправляет вам свой SSL-сертификат, включающий открытый ключ и другие метаданные, все из которых подписаны центром сертификации.Ваш браузер может проверить действительность сертификата с помощью подписи и предварительно загруженных корневых сертификатов.Это создает цепочку доверия между центром сертификации и веб-сервером, к которому вы подключаетесь.
Потому что мы должны кому-то доверять.
Доверенные SSL-сертификаты имеют подписи доверенных органов.Например, VeriSign заключила сделку с Microsoft о том, что их сертификат встроен в ваш браузер.Таким образом, вы можете доверять каждой странице с помощью доверенного сертификата VeriSign.
Этот рисунок действительно улавливает суть:
- RA = Регистрационный орган
- CA = Центр сертификации
- VA = Полномочия по проверке
Грубый набросок:Пользователь подает заявку на получение сертификата со своим открытым ключом в центр регистрации (RA). Последний подтверждает личность пользователя центру сертификации (CA), который в свою очередь выдает сертификат. Затем пользователь может подписать контракт в цифровой форме , используя свой новый сертификат.Затем его личность проверяется договаривающейся стороной с помощью органа по валидации , который снова получает информацию о выданных сертификатах центром по сертификации.
Если вы не используете один из принятых центров сертификации, пользователи получат окно сообщения при доступе к сайту, в котором говорится о ненадежном сертификате.Это не поможет генерировать трафик на сайт.
Блокировка означает только то, что владелец сайта предъявил CA какое-то доказательство того, что он действительно тот, за кого себя выдает.Вы должны сами судить, доверяете ли вы этому человеку / сайту.
Это как если бы незнакомец показал вам удостоверение личности с фотографией.Доверяете ли вы ему больше, потому что точно знаете, что его зовут Джон Доу?Вероятно, нет.
Но когда люди, которым ты доверяешь, сказали тебе:"Джон Доу" - хороший парень.Доказательство того, что парень перед вами на самом деле "Неизвестный", чем вы, возможно, решите доверять и ему.
Почему?Потому что вы платите за то, чтобы пользоваться чьей-то репутацией....чтобы поручиться за тебя.
Все дело в том, кто подтвердит ваше утверждение о том, что вы - это вы.Несмотря на некоторые документальные фильмы, которые я посмотрел в последнее время, и экономический спад, я по-прежнему с большей вероятностью поверю корпоративной Америке, когда они подтвердят мне вашу личность, чем тому, что я русская мафия.Даже несмотря на то, что оба могут так же легко выдавать сертификаты.
Сумма, которую вы платите, в основном справедлива (сколько им стоит обеспечить эту репутацию и / или пресечь любые нарушения безопасности) + (сколько бы они ни могли позволить себе раздолбать рынок в виде % маржи).
Сейчас барьеры для входа довольно высоки, потому что заслужить такое доверие действительно дорого, поэтому конкуренции не так много.Поэтому, скорее всего, цена не упадет в ближайшее время....если только Sony, GE и т.д. не решат поиграть.
Вы платите за сертификат, чтобы при переходе по протоколу HTTPS (что необходимо для всего, что немного чувствительно) ваши клиенты не получали громких предупреждений и не звонили в службу поддержки, говоря, что вы их заразили и др.…
Очень мало охраны, много фальшивки.
Если у вас есть возможность напрямую предоставить своим клиентам свой собственный сертификат, сделайте это.Но это редкий случай.
Сертификаты построены на цепочке доверия, и если бы кто-либо был уполномоченным подписывать, мы бы безоговорочно доверяли всем.Однако сегодня это немного пугает, поскольку существует более 200 так называемых "надежных центров", чьи сертификаты встроены в ваш браузер!
Однако есть один свободный центр сертификации, о котором я знаю: Стартовый ком.Они выдают бесплатные SSL-сертификаты, но они принимаются только в Firefox, а не IE.(Не уверен насчет Safari или Opera).
В других ответах была объяснена CA-система.Проект perspectives направлен на внедрение нового подхода к SSL, при котором вы можете выбирать, кому доверять: http://perspectives-project.org/
