İmzasız bir SSL sertifikası neden hiçbir SSL sertifikasından daha kötü muamele görüyor?

19

İmzasız veya kendinden imzalı bir SSL sertifikası olan bir siteyi görüntülersem, tarayıcım bana bir uyarı veriyor. Yine de aynı tarayıcının kimlik bilgilerinin güvenli olmayan sayfalara gönderilmesine izin veren bir sorunu yoktur.

Kendinden imzalı sertifika neden hiç sertifika almamaktan daha kötü?

ssl  security-warning  ssl-certificate  browser 
Macha
kaynak

Yanıtlar:

16

Bu sistemin bozuk olduğunu düşünen birçok insan var.

Bir SSL sertifikası geçersiz olduğunda tarayıcınızın size neden bu kadar endişe verici bir uyarı vereceğinin arkasındaki mantık:

SSL altyapısının özgün tasarım amaçlarından biri, web sunucularının kimlik doğrulamasını sağlamaktı. Temel olarak, www.bank.com adresine giderseniz SSL, yanıt veren web sunucusunun aslında bankanıza ait olduğunu kanıtlamasına izin verir. Bu, bir taklitçinin DNS'yi manipüle etmesini veya kötü amaçlı bir sunucunun yanıt vermesi için başka bir yöntem kullanmasını durdurur.

SSL'deki "Güven", güvenilir bir üçüncü tarafın (VeriSign ve Thawte Consulting gibi şirketler) sertifikayı imzalayarak sağlandığını söylediği kişiye ait olduğunu doğrulayarak (teorik olarak BT yöneticisini ziyaret ederek) sağlanır. kanıtlar, aslında bu konuda oldukça gevşek olduklarını gösteriyor olsa da, imzalı bir SSL sertifikası almak için gereken tek şey genellikle 800 sayı ve biraz oyunculuk becerisidir).

Bu nedenle, SSL sertifikası sağlayan bir web sunucusuna bağlanırsanız, ancak güvenilir bir üçüncü taraf tarafından imzalanmamışsa, teoride bu, farklı bir kuruluşa ait bir sunucu gibi davranan bir taklitçiyle iletişim kurduğunuz anlamına gelebilir. .

Uygulamada, kendinden imzalı bir sertifika genellikle sadece sunucuyu çalıştıran kuruluşun imzalı bir sertifika için ödeme yapmamayı seçtiği anlamına gelir (istediğiniz özelliklere bağlı olarak oldukça pahalı olabilirler) veya birini yapılandırmak için teknik uzmanlığa sahip değildir ( bazı küçük işletme çözümleri, kendinden imzalı bir sertifika için tek tıklamayla bir mekanizma sunar, ancak güvenilir bir sertifika almak için daha fazla teknik adım gerekir).

Şahsen ben bu sistemin bozuk olduğuna ve şifreleme sunmayan bir sunucu ile iletişim kurmanın, kendinden imzalı bir sertifika ile SSL sunan bir sunucu ile iletişim kurmaya göre çok daha tehlikeli olduğuna inanıyorum. tarayıcıların böyle davrandığı için üç neden vardır:

  1. Şifrelenmemiş iletişim internetteki normdur, bu nedenle tarayıcılar şifreleme sunmayan web sitelerini görüntülemek için bir uyarıyı tıklattıysa, hemen rahatsız olur ve uyarıyı devre dışı bırakırsınız.
  2. Müşterilere yönelik korkunç uyarılar nedeniyle, bir üretim web sitesinde kendinden imzalı bir sertifika görmek anormaldir. Bu kendi kendini sürdürebilen bir sistem oluşturur: kendinden imzalı sertifikalar şüphelidir, çünkü nadirdirler, nadirdirler çünkü şüphelidirler.
  3. Bu benim alaycı bir ses gibi, ama SSL sertifikalarını ( öksürük Verisign öksürüğü ) imzalamaktan çok para kazanmaya çalışan şirketler var , bu yüzden beyaz kağıtlar ("uzun ve sıkıcı reklam" anlamına gelen bir IT terimi) ve diğer yayınları kullanıyorlar imzasız sertifikaların tehlikeli olduğu fikrini uygulamak.
jcrawfordor
kaynak
5
Kendinden imzalı bir sertifika değil, CA imzalı bir sertifika ile elde ettiğiniz güven zinciri olmadan, bağlandığınız sunucunun kim olduğunu söylediğini doğrulamanın bir yolu yoktur. Kendinden imzalı sertifikalar, bir kullanıcının iletmekte olduğu verilerin söylediği hedefe ulaştığını doğrulaması için herhangi bir yöntem sağlamadığı için tehlikelidir. İnsanlar güvenli işlemler yaparken "https" aramayı öğrenmeye başlıyor, bu nedenle geçersiz veya kendinden imzalı bir sertifika hakkında büyük bir uyarıya sahip olmak% 100 garantilidir, çünkü SSL'nin ana avantajlarından birini kaybediyorlar.
MDMarra
'Kırık' demem. Firefox Sertifika Devriyesi eklentisinin, sertifikaların doğru uygulanmasına ve güvenin yönetilmesine varsayılandan çok daha yakın olduğunu düşünüyorum. Yine de, varsayılan, güven ağlarını tamamen yok saymaktan daha iyidir.
Slartibartfast
4
@MarkM - Benim düşüncem, kimlik doğrulamanın SSL'nin ana yararı olarak düşünülmemesidir. Beni yedekleyecek verilerim yok, ancak şifrelenmemiş bağlantılar üzerinden aktarılan verilerden çok daha fazla güvenlik olayı meydana geldiğini düşünüyorum (örnek olarak, şifresi çalınan Facebook güvenlik mühendisi - bir wifi ağından şifreyi kokladılar , facebook girişi şifrelenmediğinden), uygulanması nispeten daha karmaşık olan MitM veya imposter saldırılarından daha fazladır. SSL'de şifreleme üzerinden kimlik doğrulamaya odaklanmak, belirttiğim gibi, tam olarak bu durumu yaratan şeydir.
jcrawfordor
1
@MarkM - kesinlikle meşru bir endişe olan genel gider olsa da, imzasız sertifikaların kullanımı CA'lara herhangi bir stres atmayacaktır, özellikle de bir CA kendinden imzalı bir sertifika için kullanılmayacağı için. Ayrıca, yeterli güce sahip kuruluşlar için bu bir endişe kaynağı değildir - Google'ın şimdi gmail ve diğer bazı hizmetler için varsayılan olarak https olduğunu düşünün. Kimlik doğrulama olmadan SSL'nin kullanışlılığının azaldığına dikkat çekiyorum. Mevcut model iyi tasarlanmamıştır. Gerçekten ihtiyacımız olan standart şifreli bir protokol ve daha güvenli kullanımlar için kimliği doğrulanmış bir protokoldür.
nhinkle
5
Benim açımdan daha büyük önem ve NRHinkle bunu doğrudan söyledi, şifreleme ve kimlik doğrulamayı ayrı hedefler olarak düşünmeye başlamamız ve ayrı ayrı gerçekleştirilmelerine izin vermemiz gerektiğidir. Şu anda SSL sistemindeki temel kusurlar şunlardır: 1) Şifreleme ve kimlik doğrulamanın ayrılmaz bir şekilde bağlı olduğunu görüyoruz - birini elde etmek için diğerine ulaşmalısınız. Sadece bir tanesinin sağlanması 'şüphelidir'. 2) Kimlik doğrulama, sınırlı sayıda öncelikle kâr amaçlı CA'lardan alınmalıdır. Genel olarak, CA'lar ya çok pahalı (Verisign vb.) Ya da çok gölgeli (NameCheap vb.)
jcrawfordor
6

Sayfadan sayfaya kimlik bilgileri göndermek temel olarak HTTP POST yapıyor. Gönderme ile ilgili kimlik bilgileri gönderme konusunda özel bir şey yoktur, örneğin POST aracılığıyla Arama terimleri.

Güvenli kanal kullanmak, programcının aktarımı güvence altına alma niyetini gösterir. Bu durumda, kendinden imzalı sertifika uyarısı kullanmak çok doğru bir şeydir.

Miro A.
kaynak
Benim için yeterince adil.
dag729
Nitekim olarak, Netscape Navigator en eski sürümleri o hatırlamak yaptığımız her şifrelenmemiş POST için bir uyarı da. Tabii ki, herkes beş dakika sonra onları devre dışı bıraktı, bu yüzden sanırım bu yüzden çıkardılar ...
sleske
4

Yorum yapamam, bu yüzden user40350'nin doğru bilgilerini tamamlayan bu bilgileri göndereceğim.

Yine de aynı tarayıcının kimlik bilgilerinin güvenli olmayan sayfalara gönderilmesine izin veren bir sorunu yoktur.

Aslında bu doğru değil. Çoğu tarayıcı, ilk denediğinizde güvenli olmayan bir bağlantı üzerinden veri göndermek üzereymişsiniz gibi bir uyarı gösterir , ancak bir daha asla gösterilmemesi için kapatabilirsiniz ve bahse girdiğiniz şey tam olarak budur ...

Miro A şunu yazdı:

Sayfadan sayfaya kimlik bilgileri göndermek temel olarak HTTP POST yapıyor. Kimlik bilgisi gönderme konusunda gönderme ile karşılaştırıldığında özel bir şey yoktur, örneğin Arama terimlerini POST yoluyla

Parola alanları özel html etiketleri olduğundan bu da yanlıştır. Bunun da ötesinde, "kullanıcı adı" ve "şifre" gibi etiketler de hassasiyetlerinin çoğuna ihanet eder. Tarayıcıların bu tür bilgileri dikkate alması mükemmel olabilir.

ufotds
kaynak
3

Https: // protokolü ile güvence altına alınan bağlantılar, "güvence altına alınacak" tarayıcı tarafından belirtilir. Örneğin, küçük bir Asma Kilit gösterilir veya URL'nin bazı kısımları yeşil renkle işaretlenir.

Bu nedenle kullanıcının, ziyaret ettiği sayfaların gerçekten girdiği URL'den ve başka birinden olmadığına güvenmesi beklenir.

Https: // kullanmıyorsa, kullanıcının, girilen verilerin korunmadığını ve sörf yaptığı sitenin yüklenebileceğini bilmesi gerekir.

Kendinden imzalı bir sertifika emin değildir - beklentinin ötesinde, sayfanın sürülmediği beklentisi, bu nedenle ekstra güvenlik sağlamaz.

usermac75
kaynak
1

Güvenilir (güvendiğiniz bir makam tarafından imzalanmış) ve güvenilmeyen bir sertifika arasında bir ayrım yapılmalıdır. Aksi takdirde, birisi göreceli cezasızlığa sahip kendinden imzalı bir sertifika kullanarak bankanızı taklit edebilir.

Potansiyel risk nispeten yüksek olduğundan, bu durumda ince bir uyarı ile yüz yüze bir uyarı tercih edilir. İnsanlar bir https bağlantısını tıklayabilir ve birisinin bağlantıyı izleyerek ortada oturabileceğini düşünmeyebilir. Sertifikanın güvenilir olmadığına dair belirti belirsizse (yeşil simge yerine kırmızı söyleyin, vb.), İnsanlar SSL'nin avantajlarını ortadan kaldırarak kolayca kandırılabilir.

Slartibartfast
kaynak
Kullanıcının bilgisayarına erişiminiz varsa ve sertifikalarını değiştirdiğinizde zaten bir bankayı taklit etmek kolay değil mi? Kullanıcının bilgisayarı değiştirilmezse, web tarayıcısı, bankanın olduklarını iddia etmek için web sayfasının URL'sini değiştiremez; ve çok benzer bir URL alırlarsa, yine de bu web sitesi için bir sertifika alabilirler ve kullanıcı web sayfasının kim tarafından imzalandığıyla ilgilenmez, sadece https olduğunu görür ve umarım URL'nin Bankasının URL'si ...
Dmitry
SSL'nin yararı, web sitesinin kendilerinin düşündüğünüz olduğuna güvenmemektedir (3. taraf bir uygulama sertifikalarınızı değiştirebileceği veya banka saldırıya uğratabileceği için bu imkansızdır); daha ziyade, sizinle sitenin kim olduğunu düşünürse arasındaki iletişimin sadece ikiniz arasında olduğundan ve başka hiç kimsenin bu iletişimi anlayamayacağına güvenin. Bir sertifikaya sahip olmamak, kendinden imzalı bir sertifikaya sahip olmaktan daha kötüdür, çünkü kiminle konuştuğunuz önemli değildir, önemli olan başka kimsenin söylediklerinizi ele geçirmemesi gerektiğidir.
Dmitry
Ayrıca kullanıcı olarak Verisign'ın kim olduğunu ve neden onlara güvenmem gerektiğini gerçekten biliyor muyum? Sertifika satma konusundaki ilgileri, sertifika sahiplerini onlara gönderdiğiniz bilgileri kötüye kullanmaktan sorumlu değil midir?
Dmitry
0

Birçok iyi neden listelenmiştir. İşte bir tane daha:

Güvenli bir web sayfasının diğerinden öğeler yerleştirdiği durumlar üzerine düşünün. Saldırgan, dış web sayfası için hangi isteklerin olduğunu (zamanlamaya bakarak, önce gelmesi gerektiğini söyleyebilir) ve hangilerinin iç öğeler için olduğunu algılayabilir. Kendini sadece iç elemanlara MITM olarak enjekte edebilir, kendinden imzalı bir sertifika kullanabilir ve sayfanın bölümlerini kontrol edebilir. SSL kullanan ancak güvenilir bir sertifika kullanmayan iç öğeler için bir uyarı yapılmadıkça, dış sayfanın güvenliği tehlikeye girer.

İşte gerçekçi bir örnek. Satıcı olduğumu ve 'PayPal ile öde' bağlantım olduğunu varsayalım. Buna tıklayın ve biliyorum. Sizi PayPal'a yönlendiriyorum ve yasal, güvenli PayPal sayfasını almanıza izin veriyorum. Ağınızı izliyorsam, bunun PayPal'dan ilk isteğiniz olacağını biliyorum ve kısa süre sonra şifrenizi göndereceksiniz. Bu yüzden submite-posta adresinizi ve şifrenizi içeren MITM, PayPal için kendinden imzalı sertifikamın yerine geçiyorum.

İç sayfanın sertifikasının kendinden imzalı olması durumunda uyarı yapılmadan dış sayfanın güvenliğinin nasıl tehlikeye atıldığını görüyor musunuz? Bu yüzden olmalı linkleri gelen kendinden imzalı sertifikalara uyarır.

Ve elbette, httpsmanuel olarak girerseniz , sizi uyarmalıdır. Çünkü güvenli olmasını bekliyorsunuz.

David Schwartz
kaynak
-1

Orta saldırıdaki adam https: // web sitesinde yürütüldüğünde , uyarı yalnızca ortalama kullanıcı için yanlış bir şey olduğunu gösterir. Bu nedenle HTTPS güvenliğinin çok önemli bir parçası.

İyi soru, kısmen güvensiz şifrelemenin neden HTTP üzerinden mümkün bir örnek olmamasıdır.

Cmazay
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.