Bir web sunucusunun ortak anahtar sertifikasının neden bir sertifika yetkilisi tarafından imzalanması gerekir?

9

Başka bir deyişle, açık anahtar sertifikalarını sertifika yazarları tarafından imzalamama güvenlik riski ne olabilir (kullanıcı açısından)? Demek istediğim, veriler hala şifreli ... Ortadaki bir adam imzasız bir sertifika ile ne yapabilirdi?

— Olivier Lalonde
kaynak

Tamamen aynı bilgilerle kendi sertifikalarını oluşturabilirler. Kullanıcı farkı nasıl anlatıyor?

— pjc50

@ pjc50: sertifika yoluna bakarak. Kendinden imzalı olmayan bir sertifikanın bir sertifika yolu olacaktır. Bu yol güvenilir bir köke yönlendirirse sertifikaya güvenilir, aksi takdirde güvenilmez. Tabii ki kendinize ek güvenilir kökler ekleyebilirsiniz (bunu kendi CA için yaptım, böylece yerel kullanım için kolayca sertifika oluşturabilirim).

— Richard

13

HTTP ile kullanıldığında SSL'nin amacı sadece trafiği şifrelemek değil, aynı zamanda web sitesinin sahibinin kim olduğunu ve birisinin alanlarının gerçekliğini ve sahipliğini kanıtlamak için zaman ve para yatırmaya istekli olduğunu doğrulamaktır.

Bu sadece şifreleme değil, bir ilişki satın almak gibi bir şeydir ve ilişki belli bir güven düzeyini aşılar veya üstlenir.

Yani, birkaç ay önce benzer bir soru sordum ve geri gelen temel cevap "SSL biraz aldatmaca olduğunu"

— Mark Henderson
kaynak

SSL sertifikalarının alan adları için değil, IP'ler için verildiğini düşündüm. Aynı IP'de barındırılan alan adları için neden farklı sertifikalara ihtiyacınız vardı? Ayrıca, HTTPS Wikipedia sayfasında ücretsiz sertifika almak mümkün olduğunu belirtiyor ... CA iş gerçekten bana bir aldatmaca gibi geliyor.

— Olivier Lalonde

2

Alanlar için sertifikalar verilir. Kendinden imzalı bir sertifika oluşturmanızı engelleyen hiçbir şey yoktur, yalnızca tarayıcı korkunç CA'ya güvenmediğinden korkutucu bir uyarı (insanların okuyamayacağı) açılır. "Bir IP'de birden fazla SSL" sorunu burada birçok kez tartışıldı. İşte iyi cevabı olan bir konu serverfault.com/questions/73162/…

— Zypher

Teşekkürler Zypher, sözlerimi ağzımdan çıkardın :) Ve alan adları için sertifikalar, IP'ler için değil. En ağır web sitemize hizmet veren üç sunucu için üç IP adresimiz var ve hepsi aynı sertifikayı yükledi.

— Mark Henderson

8

Daha önce hiç tanışmadığınız veya iletişim kurmadığınız John Smith adlı bir kişiye 1.000.000 dolar vereceğiniz bir durum düşünün. Onunla halka açık bir yerde buluşabileceğiniz söyleniyor. Onunla buluşmaya gittiğinizde, aslında aradığınız kişi olduğundan emin olmanın bir yoluna ihtiyacınız olacak, John Smith olduğunu iddia eden başka bir rastgele kişi değil. Resmi bir kimlik, bir kartvizit isteyebilirsiniz. Güvendiğiniz bir kişiden John Smith ile tanışmış bir kişiden onu tanımlamak için yardım isteyebilirsiniz.

Kendinden imzalı bir sertifika bir sistemi benzersiz bir şekilde tanımlar, ancak sistemin iddia ettiği kişi olduğunu kanıtlamak için hiçbir şey yapmaz. Bir sertifikayı kolayca kendim imzalayabilir ve serverfault.com, google.com veya yourbank.com olduğunu iddia edebilirim. Sertifika Yetkilileri temel olarak, bir sertifikanın sitenin sahip olduğu iddia ettiği ad için gerçekten geçerli olduğunu doğrulamak için müşteri tarafından güvenilen bir üçüncü taraf olarak hareket eder.

— Zoredache
kaynak

2

SSL iş gerçekten bir aldatmaca biraz. Aslında, kriptografik olarak ilginç veriler için bayt başına yaklaşık 20p ödeme yaptığınızda biraz daha fazlası. Sizin için ödediğiniz şey, sertifikanın gerçekte olduğu etki alanı / ana bilgisayar adını kullanma hakkına sahip olduğunuzu kanıtladıktan sonra sertifikanızı özel anahtarlarından biriyle imzalamak için hangi CA'yı kullanırsanız kullanın. Farseeker'in dediği gibi, bu bir güven ilişkisi - CA size güveniyor (sizi inceledikten sonra), dünyanın web tarayıcıları CA'ya güveniyor (genellikle) ve bu nedenle dünyanın web tarayıcıları sertifikanıza güvenecek. Ve beni Genişletilmiş Doğrulama hakkında başlatma.

— RainyRat
kaynak