V šifrování a SSL jsem docela nový. Dnes jsem si trochu prohlédl (přečetl jsem si několik informací o zabezpečení) a narazil jsem na web https://cacert.org . Kliknul jsem na něj a byl jsem překvapen. Chrome mi ukázal chybu „nedůvěryhodné“. Zdá se, že certifikát SSL není platný. Vyhledal jsem certifikát a ukazuje mi, že certifikační agentuře se již nedůvěřuje. Mám nyní několik otázek:
- Není CAcert certifikační agentura sama?
- Proč je to tak?
- Může to být nějaký druh útoku přístup? (MITM)
- Co mohu udělat?
- Kde mohu získat více informací?
Odpověď
V případě cacert.org předkládají certifikát podepsaný svým držitelem, a proto si váš prohlížeč stěžuje. Neexistuje žádný řetězec důvěry, který by vedl z certifikátu ke kořenové CA, které důvěřujete.
Pokud byste používali distribuci Linuxu, která je dodávána s předinstalovaným certifikátem, varování by se nezobrazilo. by se dalo odvodit, že použitím takového systému důvěřujete komunitě.
V případě jiných operačních systémů vkládáte důvěru ve veřejnou PKI, která je podporována (a je poskytována ve formě úložiště kořenových certifikátů vložených do jejich produktů) ) od společností Microsoft, Apple, Google nebo Mozilla.
Cacert.org je mimo tuto infrastrukturu, a proto se zobrazí varování.
Proč?
Jejich „obchodní“ rozhodnutí. Při poskytování webových služeb si mohou dělat, co chtějí. Mohli požádat uživatele, aby si nainstalovali kořenovou CA, mohli investovat peníze a získat podepsaný certifikát pro svůj web, nebo neinvestovat a získat bezplatný certifikát letsencrypt * .
Vybrali první model, zdánlivě proto, že to vyhovuje jejich účelu a myšlence „jíst svůj vlastní dogfood“.
Co můžete udělat?
Záleží na tom, co chcete dělat. Na web můžete přejít pomocí http://cacert.org/ a přečíst si ho.
Pokud na něj chcete přejít s HTTPS můžete zobrazit poskytnutý certifikát a sami si jej prohlédnout. Poté se rozhodněte , že mu důvěřujete.
Složitá část spočívá v tom, že skutečně může být útok MitM, takže byste měli porovnat podpis otisku prstu certifikátu, který jste dostali, s podpisem získaným prostřednictvím jiného důvěryhodného připojení. Zveřejňují otisky prstů zde , ale dokud jim nevěříte, že jim skutečně důvěřujete, nemůžete skutečně věřit, že web skutečně patří. Catch 21.
Můžete buď potvrdit podpis jiným zdrojem, kterému důvěřujete (přítel, nebo jednoduše vyhledat otisk prstu, který jste získali na Googlu, a vyhodnotit, zda je na všech spolehlivých místech, má šanci být platný), nebo použít Debian, který je součástí jejich předinstalovaný kořenový certifikát pro přístup k webu přes HTTPS.
Poté můžete kliknout na odkaz s pokyny, jak nainstalovat jejich kořenovou certifikační autoritu, nainstalovat a důvěřovat certifikátům, které od nynějška podepsali (včetně jejich vlastního). .
* Technicky mohli pro svůj web použít certifikát uznaný veřejnou infrastrukturou a vyhnout se problémům s počáteční důvěrou, ale možná se rozhodli, že vás přimějí požádat otázka je lepší pro šíření znalostí …
Komentáře
- " možná se rozhodli, že tvorba zeptáte se, že taková otázka je lepší pro šíření znalostí … " jak vidíte, že to fungovalo 🙂 Díky za tuto odpověď!
Odpověď
Certifikáty vydané CAcert nejsou podepsané svým držitelem. Jejich kořenový certifikát je podepsaný sám sebou, stejně jako všechny ostatní CA.
Proč není kořen CAcert zahrnut v žádném z hlavních prohlížečů (což způsobí, že váš prohlížeč Chrome není zabezpečený), je úplně jiný příběh . Požádali o to, ale nakonec nikdy nebyli schopni provést požadované změny ve svých zásadách / postupech a dokázat změny ve fóru CA / Browser Forum.
Stránka Wikipedie https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status uvádí:
CAcert stáhl svou žádost o zařazení na konci dubna 2007.
Takže teď jen mizí.