Почему сертификат открытого ключа веб-сервера должен быть подписан центром сертификации?

9

Другими словами, какова будет угроза безопасности, связанная с не подписанием сертификатов открытых ключей уполномоченными сертификатами (с точки зрения пользователя)? Я имею в виду, что данные все еще зашифрованы ... Что может сделать человек посередине с не подписанным сертификатом?

— Оливье Лалонд
источник

Они могут генерировать свой собственный сертификат с точно такой же информацией. Как пользователь видит разницу?

— pjc50

@ pjc50: глядя на путь сертификата. Самозаверяющий сертификат будет иметь путь к сертификату. Если этот путь ведет к доверенному корню, то сертификат является доверенным, в противном случае это не так. Конечно, вы можете добавить дополнительные доверенные корни самостоятельно (я сделал это для своего собственного центра сертификации, чтобы я мог легко создавать сертификаты для локального использования).

— Ричард

13

Целью SSL при использовании с HTTP является не только шифрование трафика, но и проверка подлинности того, кто является владельцем веб-сайта, и что кто-то готов инвестировать время и деньги в доказательство подлинности и владения своим доменом.

Это похоже на покупку отношений, а не только шифрования, и эти отношения создают или предполагают определенный уровень доверия.

Тем не менее, я задал похожий вопрос несколько месяцев назад, и основной ответ, который вернулся, был: «SSL - это афера».

— Марк Хендерсон
источник

Я думал, что SSL-сертификаты были выданы для IP-адресов, а не доменов. Зачем вам нужны разные сертификаты для доменов, размещенных на одном и том же IP? Кроме того, на странице Википедии по HTTPS упоминается, что можно получить сертификаты бесплатно ... Бизнес CA для меня действительно звучит как мошенничество.

— Оливье Лалонд

2

Сертификаты выдаются для доменов. Ничто не мешает вам создать самозаверяющий сертификат, просто появится страшное предупреждение (что люди не будут читать), потому что браузер не доверяет выдающемуся CA. Вопрос «множественный SSL на одном IP» обсуждался здесь много раз. Вот нить с хорошим ответом serverfault.com/questions/73162/…

— Zypher

Спасибо, Zypher, вы вынули слова из моих уст :) И сертификаты для доменов, а не IP. У нас есть три IP-адреса для трех серверов, которые обслуживают наш самый тяжелый веб-сайт, и все они имеют один и тот же сертификат.

— Марк Хендерсон

8

Представьте себе ситуацию, когда вы должны доставить 1 000 000 долларов человеку по имени Джон Смит, с которым вы никогда не встречались и не общались. Вам сказали, что вы можете встретить его в людном общественном месте. Когда вы идете на встречу с ним, вам понадобится какой-то способ убедиться, что он действительно тот человек, которого вы ищете, а не какой-то другой случайный человек, претендующий на звание Джона Смита. Вы могли бы попросить некоторый государственный ID, визитную карточку. Вы можете попросить человека, которому вы доверяете, который действительно встретил Джона Смита, помочь идентифицировать его.

Самозаверяющий сертификат однозначно идентифицирует систему, но он ничего не делает, чтобы доказать, что система является тем, кем она себя считает. Я могу легко подписать сертификат и заявить, что он - serverfault.com, google.com или yourbank.com. Центры сертификации в основном выступают в роли третьей стороны, которой клиент доверяет, чтобы убедиться, что сертификат действительно действителен для имени, на которое претендует сайт.

— Zoredache
источник

2

Бизнес SSL действительно немного афера. Фактически более чем немного, когда вы платите около 20 пенсов за байт за некоторые криптографически интересные данные. Вы платите за то, какой CA вы используете для подписи сертификата одним из своих закрытых ключей после того, как докажете себе, что действительно имеете право использовать имя домена / хоста, для которого предназначен сертификат. Как говорит Farseeker, это доверительные отношения - CA доверяет вам (после того как вас проверят), мировые веб-браузеры доверяют CA (обычно), и поэтому веб-браузеры мира будут доверять вашему сертификату. И не начинайте меня с расширенной проверки ...

— RainyRat
источник