Ich bin ziemlich neu in Verschlüsselung und SSL. Heute habe ich ein bisschen gegoogelt (einige Hinweise zur Sicherheit gelesen) und bin auf die Site https://cacert.org gestoßen. Ich klickte darauf und war überrascht. Chrome hat mir einen „nicht vertrauenswürdigen“ Fehler angezeigt. Das SSL-Zertifikat scheint nicht gültig zu sein. Ich habe das Zertifikat nachgeschlagen und es zeigt mir, dass der Zertifizierungsstelle nicht mehr vertraut wird. Ich habe jetzt einige Fragen:
- Ist es nicht möglich, selbst eine Zertifizierungsstelle zu zertifizieren?
- Warum ist das so?
- Könnte dies eine Art Angriff sein Ansatz? (MITM)
- Was kann ich tun?
- Wo kann ich weitere Informationen erhalten?
Antwort
Bei cacert.org legen sie ein selbstsigniertes Zertifikat vor. Deshalb beschwert sich Ihr Browser. Es gibt keine Vertrauenskette, die vom Zertifikat zu einer vertrauenswürdigen Stammzertifizierungsstelle führt.
Wenn Sie eine Linux-Distribution verwenden, deren Zertifikat vorinstalliert ist, wird keine Warnung angezeigt Es wird gefolgert, dass Sie durch die Verwendung eines solchen Systems der Community vertrauen.
Bei anderen Betriebssystemen vertrauen Sie der öffentlichen PKI, die unterstützt wird (und in Form eines in ihre Produkte eingebetteten Stammzertifikatspeichers bereitgestellt wird) ) von Microsoft, Apple, Google oder Mozilla.
Cacert.org befindet sich außerhalb dieser Infrastruktur. Aus diesem Grund wird eine Warnung angezeigt.
Warum?
Ihre „Geschäfts“ -Entscheidung. Sie können tun, was sie wollen, wenn sie Webdienste bereitstellen. Sie könnten Benutzer bitten, ihre Stammzertifizierungsstelle zu installieren, sie könnten Geld investieren und ein signiertes Zertifikat für ihre Website erhalten, oder sie könnten nicht investieren und ein kostenloses letsencrypt-Zertifikat * erhalten.
Sie wählten das erste Modell, anscheinend, weil es zu ihrem Zweck passt und die Idee „Ihr eigenes Hundefutter essen“.
Was können Sie tun?
Es hängt davon ab, was Sie tun möchten. Sie können auf die Site mit http://cacert.org/ zugreifen und lesen.
Wenn Sie darauf zugreifen möchten Mit HTTPS können Sie das bereitgestellte Zertifikat anzeigen und selbst überprüfen. Treffen Sie dann Ihre eigene Entscheidung, ihm zu vertrauen.
Der schwierige Teil ist, dass es tatsächlich könnte ein MitM-Angriff sein. Vergleichen Sie daher die Fingerabdrucksignatur des Zertifikats mit einer Signatur, die Sie über eine andere vertrauenswürdige Verbindung erhalten haben. Sie veröffentlichen die Fingerabdrücke hier , aber bis Sie ihnen wirklich vertrauen, können Sie nicht wirklich vertrauen, dass die Site dann zu real gehört. Catch 21.
Sie können entweder die Signatur mit einer anderen Quelle bestätigen, der Sie vertrauen (Freund, oder einfach bei Google nach dem Fingerabdruck suchen, den Sie erhalten haben, und bewerten, ob es sich um zuverlässige Orte handelt, die möglicherweise gültig sind), oder Debian verwenden, das mit ihrer Quelle geliefert wird Stammzertifikat vorinstalliert, um über HTTPS auf die Site zuzugreifen.
Anschließend können Sie dem Link folgen, um Anweisungen zum Installieren der Stammzertifizierungsstelle, zum Installieren und Vertrauen der von nun an signierten Zertifikate (einschließlich ihrer eigenen) zu erhalten.
* Technisch gesehen könnten sie ein von der öffentlichen Infrastruktur anerkanntes Zertifikat für ihre Site verwenden und das Problem des anfänglichen Vertrauens vermeiden, aber vielleicht haben sie beschlossen, dass Sie eine solche Frage stellen Frage ist besser für die Verbreitung von Wissen …
Kommentare
- " Vielleicht haben sie das entschieden Herstellung Sie stellen eine solche Frage ist besser für die Verbreitung von Wissen … " wie Sie sehen, hat es funktioniert 🙂 Vielen Dank für diese Antwort!
Antwort
Von CAcert ausgestellte Zertifikate sind nicht selbstsigniert. Ihr Stammzertifikat ist wie alle anderen Zertifizierungsstellen selbstsigniert.
Warum CAcert-Stammverzeichnis in keinem der wichtigsten Browser enthalten ist (wodurch Ihr Chrome-Display nicht sicher ist), ist eine ganz andere Geschichte . Sie haben dies beantragt, konnten jedoch letztendlich nie die angeforderten Änderungen in ihren Richtlinien / Verfahren vornehmen und die Änderungen im CA / Browser-Forum nachweisen.
Wikipedia-Seite https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status gibt an:
CAcert hat seinen Antrag auf Aufnahme Ende April zurückgezogen 2007.
Jetzt werden sie nur noch ausgeblendet.