Bu sistemin bozuk olduğunu düşünen birçok insan var.
Bir SSL sertifikası geçersiz olduğunda tarayıcınızın size neden bu kadar endişe verici bir uyarı vereceğinin arkasındaki mantık:
SSL altyapısının özgün tasarım amaçlarından biri, web sunucularının kimlik doğrulamasını sağlamaktı. Temel olarak, www.bank.com adresine giderseniz SSL, yanıt veren web sunucusunun aslında bankanıza ait olduğunu kanıtlamasına izin verir. Bu, bir taklitçinin DNS'yi manipüle etmesini veya kötü amaçlı bir sunucunun yanıt vermesi için başka bir yöntem kullanmasını durdurur.
SSL'deki "Güven", güvenilir bir üçüncü tarafın (VeriSign ve Thawte Consulting gibi şirketler) sertifikayı imzalayarak sağlandığını söylediği kişiye ait olduğunu doğrulayarak (teorik olarak BT yöneticisini ziyaret ederek) sağlanır. kanıtlar, aslında bu konuda oldukça gevşek olduklarını gösteriyor olsa da, imzalı bir SSL sertifikası almak için gereken tek şey genellikle 800 sayı ve biraz oyunculuk becerisidir).
Bu nedenle, SSL sertifikası sağlayan bir web sunucusuna bağlanırsanız, ancak güvenilir bir üçüncü taraf tarafından imzalanmamışsa, teoride bu, farklı bir kuruluşa ait bir sunucu gibi davranan bir taklitçiyle iletişim kurduğunuz anlamına gelebilir. .
Uygulamada, kendinden imzalı bir sertifika genellikle sadece sunucuyu çalıştıran kuruluşun imzalı bir sertifika için ödeme yapmamayı seçtiği anlamına gelir (istediğiniz özelliklere bağlı olarak oldukça pahalı olabilirler) veya birini yapılandırmak için teknik uzmanlığa sahip değildir ( bazı küçük işletme çözümleri, kendinden imzalı bir sertifika için tek tıklamayla bir mekanizma sunar, ancak güvenilir bir sertifika almak için daha fazla teknik adım gerekir).
Şahsen ben bu sistemin bozuk olduğuna ve şifreleme sunmayan bir sunucu ile iletişim kurmanın, kendinden imzalı bir sertifika ile SSL sunan bir sunucu ile iletişim kurmaya göre çok daha tehlikeli olduğuna inanıyorum. tarayıcıların böyle davrandığı için üç neden vardır:
- Şifrelenmemiş iletişim internetteki normdur, bu nedenle tarayıcılar şifreleme sunmayan web sitelerini görüntülemek için bir uyarıyı tıklattıysa, hemen rahatsız olur ve uyarıyı devre dışı bırakırsınız.
- Müşterilere yönelik korkunç uyarılar nedeniyle, bir üretim web sitesinde kendinden imzalı bir sertifika görmek anormaldir. Bu kendi kendini sürdürebilen bir sistem oluşturur: kendinden imzalı sertifikalar şüphelidir, çünkü nadirdirler, nadirdirler çünkü şüphelidirler.
- Bu benim alaycı bir ses gibi, ama SSL sertifikalarını ( öksürük Verisign öksürüğü ) imzalamaktan çok para kazanmaya çalışan şirketler var , bu yüzden beyaz kağıtlar ("uzun ve sıkıcı reklam" anlamına gelen bir IT terimi) ve diğer yayınları kullanıyorlar imzasız sertifikaların tehlikeli olduğu fikrini uygulamak.