Olen melko uusi salaus ja SSL. Tänään googlasin vähän (luin joitain artikkeleita turvallisuudesta) ja törmäsin sivustoon https://cacert.org . Napsautin sitä ja olin yllättynyt. Chrome osoitti minulle ”ei luoteta” -virheen. SSL-varmenne ei näytä olevan kelvollinen. Etsin varmenteen ja se osoittaa minulle, että varmentajavirastoon ei enää luoteta. Sain nyt joitain kysymyksiä:
- Eikö CAcert itse varmentamisvirastoa?
- Miksi se on?
- Voisiko tämä olla jonkinlainen hyökkäys lähestymistapa? (MITM)
- Mitä voin tehdä?
- Mistä saan lisätietoja?
Vastaa
Jos kyseessä on cacert.org, he esittävät itse allekirjoittaman varmenteen, minkä vuoksi selaimesi valittaa. Ei ole luottamusketjua, joka johtaisi varmenteesta luotettavaan juurivarmentajaan.
Jos käyttäisit Linux-jakelua, johon heidän varmenteensa on asennettu valmiiksi, et näe varoitusta. Se voidaan päätellä, että käyttämällä tällaista järjestelmää luotat yhteisöön.
Muiden käyttöjärjestelmien tapauksessa luotat julkiseen PKI: hen, jota tuetaan (ja tarjotaan heidän tuotteisiinsa upotettuna juurivarmentesäilönä). ) Microsoft, Apple, Google tai Mozilla.
Cacert.org on tämän infrastruktuurin ulkopuolella ja siksi näet varoituksen.
Miksi?
Heidän ”liike” -päätös. He voivat tehdä mitä haluavat tarjotessaan verkkopalveluja. He voivat pyytää käyttäjiä asentamaan juurivarmentajansa, he voivat sijoittaa rahaa ja hankkia allekirjoitetun varmenteen verkkosivustolleen tai ei sijoittaa ja saada ilmaisen letecrypt-varmenteen * .
He valitsivat ensimmäinen malli, ilmeisesti koska se sopii heidän tarkoitukseensa ja ”syö omaa koiranruokaa” -idea.
Mitä voit tehdä?
Se riippuu siitä, mitä haluat tehdä. Voit käyttää sivustoa osoitteella http://cacert.org/ ja lukea.
Jos haluat käyttää sitä HTTPS: n avulla voit näyttää toimitetun varmenteen, tutkia sen itse. Tee sitten oma päätös luottaa siihen.
Haastava osa on, että se todellakin voi olla MitM-hyökkäys, joten sinun tulee verrata saamasi varmenteen sormenjälkiallekirjoitusta toisen luotettavan yhteyden kautta hankittuun allekirjoitukseen. He julkaisevat sormenjäljet täällä , mutta ennen kuin luotat niihin, et voi todellakaan luottaa siihen, että sivusto kuuluu oikeaan. Saalis 21.
Voit joko vahvistaa allekirjoituksen toisella luotettavalla lähteellä (ystäväsi tai vain etsiä Googlelta saamasi sormenjäljen ja arvioida, jos se on luotettavissa paikoissa, sillä on mahdollisuuksia olla kelvollinen) tai käyttää Debiania, joka tulee heidän mukana. juurivarmenteesta, joka on esiasennettu, jotta pääset sivustoon HTTPS: n kautta.
Voit sitten seurata linkkiä, jolla ohjeet asennetaan juurivarmentajaan, asennetaan ja luotetaan heidän allekirjoittamiinsa varmenteisiin (mukaan lukien oma). .
* Teknisesti he voisivat käyttää sivustossaan julkisen infrastruktuurin hyväksymää varmentetta ja välttää alkuperäisen luottamuksen ongelman, mutta ehkä he päättivät, että pakotat sinut pyytämään tällaista kysymys on parempi tiedon levittämiseksi …
Kommentit
- " ehkä he päättivät sen tehdä kysyt tällaisen kysymyksen on parempi tiedon levittämiseen … " kuten huomaat sen toimivan 🙂 Kiitos vastauksesta!
Vastaus
CAcertin myöntämiä varmenteita ei ole itse allekirjoitettu. Heidän juurivarmenteensa on itse allekirjoitettu, kuten kaikilla muilla varmentajilla.
Miksi CAcert-juuria ei sisälly mihinkään tärkeimmistä selaimista (jolloin Chrome-näyttösi ei ole turvallinen), on aivan toinen tarina . He hakivat sitä, mutta eivät lopulta koskaan voineet tehdä pyydettyjä muutoksia käytäntöihinsä / menettelyissään ja todistaa muutokset CA / Selainfoorumiin.
Wikipedia-sivu https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status sanoo:
CAcert peruutti sisällyttämispyyntönsä huhtikuun lopussa 2007.
Joten nyt he ”vain hiipuvat”.