Innymi słowy, jakie byłoby ryzyko bezpieczeństwa związane z niepodpisywaniem certyfikatów kluczy publicznych przez podmioty certyfikujące (z perspektywy użytkownika)? Mam na myśli, że dane są nadal szyfrowane ... Co mężczyzna w środku mógłby zrobić z niepodpisanym certyfikatem?
security
ssl-certificate
https
encryption
Olivier Lalonde
źródło
źródło
Odpowiedzi:
Celem protokołu SSL w połączeniu z HTTP jest nie tylko szyfrowanie ruchu, ale także uwierzytelnianie, kto jest właścicielem strony internetowej, oraz że ktoś był gotów zainwestować czas i pieniądze w udowodnienie autentyczności i własności swojej domeny.
To jak kupowanie relacji, a nie tylko szyfrowanie, a relacja ta buduje lub zakłada pewien poziom zaufania.
Powiedziałem, że zadałem podobne pytanie kilka miesięcy temu, a podstawowa odpowiedź, która wróciła, brzmiała: „SSL to trochę oszustwo”
źródło
Wyobraź sobie sytuację, w której masz dostarczyć 1 000 000 $ osobie o imieniu John Smith, z którą nigdy się nie spotkałeś lub z którą się nie komunikowałeś. Mówi się, że możesz go spotkać w zatłoczonym miejscu publicznym. Kiedy idziesz się z nim spotkać, musisz mieć sposób, aby upewnić się, że jest on rzeczywiście osobą, której szukasz, a nie jakąś inną przypadkową osobą, która twierdzi, że jest Johnem Smithem. Możesz poprosić o jakiś rządowy dokument tożsamości, wizytówkę. Możesz poprosić osobę, której ufasz, która faktycznie poznała Johna Smitha, o pomoc w zidentyfikowaniu go.
Samopodpisany certyfikat jednoznacznie identyfikuje system, ale nie robi nic, aby udowodnić, że system jest tym, za kogo się podaje. Mogę z łatwością samopodpisać certyfikat i zgłosić się do serverfault.com, google.com lub yourbank.com. Urzędy certyfikacji działają w zasadzie jako strona trzecia, której klient ufa zaufaniu w celu sprawdzenia, czy certyfikat jest rzeczywiście ważny dla nazwy, którą twierdzi witryna.
źródło
Działalność związana z SSL jest w rzeczywistości trochę oszustwem. Więcej niż trochę, gdy płacisz około 20 pensów za bajt za niektóre interesujące kryptograficznie dane. To, za co płacisz, to za to, z którego urzędu certyfikacji korzystasz do podpisania certyfikatu jednym z ich kluczy prywatnych po udowodnieniu sobie, że rzeczywiście masz prawo do używania nazwy domeny / hosta, dla którego certyfikat jest przeznaczony. Jak mówi Farseeker, jest to relacja zaufania - urząd certyfikacji ufa tobie (po tym, jak cię sprawdził), przeglądarki internetowe na całym świecie ufają urząd certyfikacji (zwykle), a zatem przeglądarki internetowe zaufają twojemu certyfikatowi. I nie zaczynaj mi o rozszerzonej walidacji ...
źródło