Pourquoi mon navigateur ne fait-il pas confiance à CAcert?

Je suis assez nouveau dans le cryptage et SSL. Aujourdhui, jai un peu cherché sur Google (lu quelques articles sur la sécurité) et jai rencontré le site https://cacert.org . Jai cliqué dessus et jai été surpris. Chrome ma montré une erreur « non fiable ». Le certificat SSL ne semble pas valide. Jai recherché le certificat et cela me montre que lagence de certification nest plus digne de confiance. Jai maintenant des questions:

  • N « est-ce pas CAcertifier une agence de certification?
  • Pourquoi?
  • Cela pourrait-il être une sorte dattaque approche? (MITM)
  • Que puis-je faire?
  • Où puis-je obtenir plus dinformations?

Réponse

Dans le cas de cacert.org, ils présentent un certificat auto-signé et cest pourquoi votre navigateur se plaint. Il ny a pas de chaîne de confiance qui mène du certificat à une autorité de certification racine en laquelle vous avez confiance.

Si vous utilisiez une distribution Linux fournie avec son certificat préinstallé, vous ne verriez pas davertissement. serait déduit quen utilisant un tel système, vous faites confiance à la communauté.

Dans le cas dautres systèmes dexploitation, vous faites confiance à une PKI publique prise en charge (et fournie sous la forme dun magasin de certificats racine intégré à leurs produits ) par Microsoft, Apple, Google ou Mozilla.

Cacert.org est en dehors de cette infrastructure et cest pourquoi vous voyez un avertissement.


Pourquoi?

Leur décision « commerciale ». Ils sont libres de faire ce quils veulent lorsquils fournissent des services Web. Ils pourraient demander aux utilisateurs dinstaller leur autorité de certification racine, investir de largent et obtenir un certificat signé pour leur site Web, ou ne pas investir et obtenir un certificat letsencrypt gratuit * .

Ils ont choisi le premier modèle, apparemment parce que cela correspond à leur objectif et à lidée de « manger votre propre dogfood ».


Que pouvez-vous faire?

Cela dépend de ce que vous voulez faire. Vous pouvez accéder au site avec http://cacert.org/ et lire.

Si vous souhaitez y accéder avec HTTPS, vous pouvez afficher le certificat fourni, lexaminer vous-même. Ensuite, prenez votre propre décision de lui faire confiance.

La partie la plus délicate est que cest effectivement pourrait être une attaque MitM, vous devriez donc comparer la signature dempreinte digitale du certificat que vous avez obtenu avec une signature obtenue via une autre connexion de confiance. Ils publient les empreintes digitales ici mais tant que vous ne leur faites pas confiance, vous ne pouvez pas vraiment croire que le site appartient au réel alors. Catch 21.

Vous pouvez soit confirmer la signature avec une autre source de confiance (ami, ou simplement rechercher sur google lempreinte digitale que vous avez obtenue et évaluer, si elle est partout fiable, elle a des chances dêtre valide) ou utiliser Debian qui est fournie avec leur certificat racine pré-installé pour accéder au site via HTTPS.

Vous pouvez ensuite suivre le lien vers les instructions pour installer leur autorité de certification racine, installer et faire confiance aux certificats quils ont désormais signés (y compris le leur) .


* Techniquement, ils pourraient utiliser un certificat reconnu par linfrastructure publique pour leur site et éviter le problème de la confiance initiale, mais peut-être ont-ils décidé que vous demander une telle question est meilleure pour la diffusion des connaissances …

Commentaires

  • " peut-être quils ont décidé que fabrication vous posez une telle question, cest mieux pour la diffusion des connaissances … " comme vous le voyez a fonctionné 🙂 Merci pour cette réponse!

Réponse

Les certificats émis par CAcert ne sont pas auto-signés. Leur certificat racine est auto-signé, comme toutes les autres autorités de certification.

Pourquoi la racine CAcert nest-elle incluse dans aucun des principaux navigateurs (rendant votre affichage Chrome non sécurisé) est une toute autre histoire . Ils ont demandé cela, mais nont finalement jamais été en mesure dapporter les modifications demandées dans leurs politiques / procédures et de prouver les modifications apportées au forum CA / Browser.

Page Wikipédia https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status déclare:

CAcert a retiré sa demande dinclusion à la fin du mois davril 2007.

Donc, maintenant, ils « disparaissent simplement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *