Jeg er ret ny på kryptering og SSL. I dag googlede jeg lidt (læs nogle atrikler om sikkerhed) og stødte på siden https://cacert.org . Jeg klikkede på det og blev overrasket. Chrome viste mig en “ikke betroet” fejl. SSL-certifikatet synes ikke at være gyldigt. Jeg slog certifikatet op, og det viser mig, at certificeringsbureauet ikke længere har tillid til. Jeg har nogle spørgsmål nu:
- Er det ikke et certifikatbureau selv?
- Hvorfor er det?
- Kan dette være en slags angreb tilgang? (MITM)
- Hvad kan jeg gøre?
- Hvor kan jeg få mere information?
Svar
I tilfælde af cacert.org præsenterer de et selvsigneret certifikat, og det er derfor, din browser klager. Der er ingen tillidskæde, der fører fra certifikatet til en rod-CA, som du stoler på.
Hvis du brugte en Linux-distribution, der fulgte med deres forudinstallerede certifikat, ville du ikke se en advarsel. ville blive udledt, at ved at bruge et sådant system stoler du på samfundet.
I tilfælde af andre OSer sætter du tillid til offentlig PKI, der understøttes (og leveres i form af et rodcertifikatlager indlejret i deres produkter ) af Microsoft, Apple, Google eller Mozilla.
Cacert.org er uden for denne infrastruktur, og det er derfor, du ser en advarsel.
Hvorfor?
Deres “forretningsmæssige” beslutning. De er fri til at gøre hvad de vil, når de leverer webtjenester. De kunne bede brugerne om at installere deres root CA, de kunne investere penge og få et underskrevet certifikat til deres websted eller ikke investere og få et gratis letsencrypt-certifikat * .
De valgte den første model, tilsyneladende fordi det passer til deres formål og “spis din egen dogfood” -ide.
Hvad du kan gøre?
Det afhænger af, hvad du vil gøre. Du kan få adgang til webstedet med http://cacert.org/ og læse.
Hvis du vil have adgang til det med HTTPS kan du vise det medfølgende certifikat, undersøge det selv. Tag derefter din egen beslutning om at stole på det.
Den vanskelige del er, at den faktisk kunne være et MitM-angreb, så du bør sammenligne fingeraftrykssignaturen for det certifikat, du fik, med en signatur, du fik gennem en anden betroet forbindelse. De offentliggør fingeraftryk her , men indtil du stoler på rigtige dem, kan du ikke rigtig stole på, at webstedet tilhører rigtigt dengang. Fang 21.
Du kan enten bekræfte signaturen med en anden kilde, du stoler på (ven, eller bare søge på google efter det fingeraftryk, du har fået, og evaluere, hvis det er overalt pålidelige steder, har det chancer for at være gyldigt) eller bruge Debian, der følger med rodcertifikat forudinstalleret for at få adgang til webstedet via HTTPS.
Du kan derefter følge linket for at få instruktioner om, hvordan du installerer deres root CA, installerer og stoler på de certifikater, de har underskrevet fra nu af (inklusive deres egen) .
* Teknisk set kunne de bruge et certifikat, der er anerkendt af offentlig infrastruktur til deres websted og undgå problemet med oprindelig tillid, men måske besluttede de at få dig til at bede om en sådan spørgsmål er bedre til spredning af viden …
Kommentarer
- " måske besluttede de at gør du stiller et sådant spørgsmål er bedre til spredning af viden … " som du ser det fungerede 🙂 Tak for dette svar!
Svar
CAcert-udstedte certifikater er ikke selvsignerede. Deres rodcertifikat er selvsigneret, som alle andre CAer har.
Hvorfor CAcert-rod ikke er inkluderet i nogen af de store browsere (hvilket gør din Chrome-skærm ikke sikker) er en helt anden historie . De ansøgte om det, men var i sidste ende aldrig i stand til at foretage de ønskede ændringer i deres politikker / procedurer og bevise ændringerne i CA / Browser Forum.
Wikipedia-side https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status siger:
CAcert trak sin anmodning om optagelse tilbage i slutningen af april 2007.
Så nu falmer de bare ud.