Почему мы доверяем сертификаты SSL?

Ответ 1

Сертификаты криптографически подписываются чем-то, называемым центром сертификации (CA), и каждый браузер имеет список центров сертификации, которым он неявно доверяет. Эти центры сертификации представляют собой объекты, которые имеют набор криптографических ключей, которые могут использоваться для подписи любого сертификата, часто за плату. Любой сертификат, подписанный CA в доверенном списке, даст блокировку в браузере, поскольку он оказался "доверенным" и принадлежит к этому домену.

Вы можете самостоятельно подписывать сертификат, но браузер предупреждает вас о том, что подписанту не доверяют, либо показывая большое поле с ошибкой, прежде чем разрешить вам, либо показывая сломанный значок блокировки.

Кроме того, даже доверенный сертификат выдаст ошибку, если он используется для неправильного домена, или изменен для включения другого домена. Это обеспечивается тем, что сертификат включает в себя домены, для которых он разрешен для использования, а также имеет криптографическую контрольную сумму/отпечаток пальца, который обеспечивает ее целостность.

На данный момент это не на 100% безопасно, так как есть возможность подделать сертификаты CA, которые используют MD5, см. эту ссылку: http://www.phreedom.org/research/rogue-ca/. Хотя следует отметить, что это довольно сложно, поскольку они использовали слабость в уже существующем ЦС, который может быть или не быть закрыт к настоящему времени.

В сущности, мы доверяем сертификатам, насколько мы надеемся, что наши провайдеры браузеров знают, как выбрать "правильные" ЦС. Этим ЦС доверяют только в силу своей репутации, поскольку теоретически один провал будет очень тяжелым ударом по их достоверности, если будет обнаружен.

Ответ 2

Весь бизнес в ЦА изумительный. Я купил несколько сертификатов на rapidssl.com, и все "доказательства", которые они требовали, были:

• Я мог бы получать почту в домен.
• Я мог ответить на мой телефон.

Вот и все. Имейте в виду, когда доверяете маленьким замкам в браузере.

Ответ 3

Во-первых, некоторый опыт сильной криптографии с открытым/закрытым ключом, на основе которого SSL основан:

Ключ состоит из двух частей: частной и публичной. Открытый ключ может использоваться для шифрования материала, который требует, чтобы секретный ключ расшифровывался. Это позволяет надежно использовать открытые каналы связи.

Одним из важных аспектов криптографии с открытым/закрытым ключом является то, что закрытый ключ может использоваться для цифровой подписи сообщения, которое может быть проверено с использованием открытого ключа. Это дает получателю сообщения возможность конкретно проверить, что отправленное им сообщение отправлено отправителем (держателем ключа).

Ключом к сертификатам SSL является то, что сами ключи шифрования могут иметь цифровую подпись.

"Сертификат" состоит из пары частных/открытых ключей, а также данных с цифровой подписью. Когда кто-то покупает сертификат SSL, он генерирует закрытый/открытый ключ и передает открытый ключ в центр сертификации (CA), который должен быть подписан. ЦС проводит надлежащий уровень должной осмотрительности у покупателя сертификата SSL и подписывает сертификат своим личным ключом. Сертификат SSL будет привязан к определенному веб-сайту или набору веб-сайтов и, по сути, является ЦС, который указывает, что они доверяют владельцу закрытого ключа сертификата надлежащим владельцем этих веб-сайтов.

Коренные сертификаты (открытые ключи и другие метаданные) для доверенных ЦС по умолчанию включены в основные браузеры доставки и операционные системы (в Windows, введите "certmgr.msc" в приглашение к запуску, чтобы увидеть диспетчера сертификатов). Когда вы подключаетесь к веб-серверу с использованием SSL, сервер отправит вам свой SSL-сертификат, включая открытый ключ и другие метаданные, все из которых подписаны ЦС. Ваш браузер может проверить действительность сертификата, через подпись и предварительно загруженные корневые сертификаты. Это создает цепочку доверия между CA и веб-сервером, к которому вы подключаетесь.

Ответ 4

Потому что мы должны доверять кому-то.

Надежные сертификаты SSL имеют подписи доверенных лиц. Например, VeriSign имеет дело с Microsoft, что их сертификат встроен в ваш браузер. Таким образом, вы можете доверять каждой странице доверенным сертификатом VeriSign.

Эта графика действительно выбирает точку:

• RA = Орган регистрации
• CA = Центр сертификации
• VA = Validation Authority

Грубая схема: пользователь подает заявку на с его открытым ключом на регистрирующий орган (РА). последний подтверждает идентификацию пользователя сертификационный орган (ЦА), который в свою очередь, выдает сертификат. пользователь может затем подписать цифровую подпись с использованием своего нового сертификата. Затем его личность проверяется договаривающаяся сторона с валидацией полномочия (ВА), которая вновь получает информация о выданных сертификатах сертификационным органом.

Ответ 5

Если вы не используете один из принятых центров сертификации, люди получат окно сообщения при обращении к сайту, говорящему о ненадежном сертификате. Это не поможет генерировать трафик на сайт.

Блокировка означает, что владелец сайта показал CA какое-то доказательство того, что он на самом деле является тем, кем он себя утверждает. Вы сами должны судить, доверяете ли вы этому человеку/сайту.

Это как незнакомец, показывающий вам идентификатор фотографии. Вы доверяете ему больше, потому что вы точно знаете, что его зовут Джон Доу? Возможно нет.

Но когда люди, которым вы доверяете, сказали вам: "Джон Доу" - хороший парень. Доказательство того, что парень перед вами на самом деле является "Джоном Доу", вы также можете доверять ему.

Ответ 6

Почему? Потому что вы платите, чтобы ездить на кого-то репутации elses.... ручаться за вас.

Все о том, чья проверка вашей претензии на вас. Несмотря на некоторые документальные фильмы, которые я наблюдал в последнее время, и рецессия, я все же скорее верю корпоративной Америке, когда они подтвердят вашу личность, чем я, русская мафия. Несмотря на то, что оба могут так же легко выдавать сертификаты.

Сумма, которую вы платите, в основном справедлива (насколько она стоит для защиты этой репутации и/или пресечения каких-либо нарушений безопасности) + (сколько бы они не могли позволить себе вытеснить рынок как маржу%).

Теперь барьеры для входа достаточно высоки, потому что очень дорого зарабатывать на этом доверии, поэтому у них не много конкуренции. Поэтому шансы на то, что цена не упадет в ближайшее время... если Sony или GE и т.д. Не решит играть.

Ответ 7

Вы платите за сертификат, так что, когда вы идете по HTTPS (что вам нужно для чего-то немного чувствительного), ваши клиенты не получают больших предупреждений и не звонят в вашу поддержку, заявляя, что вы заразили их и...

Очень мало безопасности, много FUD.

Если у вас есть возможность напрямую предоставить своим клиентам собственный сертификат, сделайте это. Но это редкий случай.

Ответ 8

Сертификаты построены на цепочке доверия, и если кто-либо станет авторитетом подписи, мы будем неявно доверять всем. Сегодня это немного страшно, так как существует более 200 так называемых "доверенных органов", чьи сертификаты встроены в ваш браузер!

Существует один бесплатный CA, о котором я знаю: StartCom. Они выдают бесплатные сертификаты SSL, но они принимаются только в Firefox, а не в IE. (Не уверен насчет Safari или Opera).

Ответ 9

Другие ответы объяснили CA-систему. Проект перспектив направлен на развертывание нового подхода к SSL, где вы можете выбрать, кому доверять: http://perspectives-project.org/