Elég új vagyok a titkosítás és az SSL terén. Ma gugliztam egy kicsit (néhány cikket elolvastam a biztonságról), és találkoztam a https://cacert.org weboldallal. Rákattintottam és meglepődtem. A Chrome “nem megbízható” hibát mutatott nekem. Úgy tűnik, hogy az SSL tanúsítvány érvénytelen. Utánanéztem a tanúsítványnak, és ez megmutatja, hogy a tanúsító ügynökség már nem megbízható. Most kaptam néhány kérdést:
- Nem CAcert tanúsító ügynökséget?
- Miért van ez?
- Lehet, hogy ez valamiféle támadás megközelítés? (MITM)
- Mit tehetek?
- Hol szerezhetek több információt?
Válasz
A cacert.org esetében önaláírt tanúsítványt mutatnak be, és ezért panaszkodik a böngészője. Nincs olyan megbízhatósági lánc, amely a tanúsítványtól egy gyökér CA-hoz vezet, amelyben megbízik.
Ha olyan Linux disztribúciót használna, amelyhez a tanúsítványuk előre van telepítve, akkor nem lát figyelmeztetést. arra lehet következtetni, hogy egy ilyen rendszer használatával megbízol a közösségben.
Más operációs rendszerek esetén a nyilvános PKI-ba bízol, amelyet támogat (és a termékeikbe ágyazott gyökértanúsítvány-tároló formájában nyújt). ) a Microsoft, az Apple, a Google vagy a Mozilla részéről.
A Cacert.org ezen az infrastruktúrán kívül található, és ezért látja a figyelmeztetést.
Miért?
“Üzleti” döntésük. Webszolgáltatások nyújtásakor bármit szabadon megtehetnek. Megkérhetik a felhasználókat, hogy telepítsék a gyökér CA-t, pénzt fektethettek be, és szerezhettek aláírt tanúsítványt a webhelyükre, vagy nem fektethettek be, és kaphattak egy ingyenes letenckodó tanúsítványt * . az első modell, látszólag azért, mert ez megfelel a céljuknak, és “megeszi a saját kutyaeledelt” ötletet.
Mit tehet?
Attól függ, mit szeretne csinálni. A webhelyet a http://cacert.org/ címmel érheti el és olvashatja el.
Ha hozzá szeretne férni a HTTPS segítségével megjelenítheti a mellékelt tanúsítványt, és maga is megvizsgálhatja. Ezután hozza meg a saját döntését, hogy megbízik benne.
A trükkös az, hogy valóban MitM-támadás lehet, ezért össze kell hasonlítania a kapott tanúsítvány ujjlenyomat-aláírását egy másik megbízható kapcsolaton keresztül megszerzett aláírással. itt teszik közzé az ujjlenyomatokat, de amíg nem bízol meg bennük, addig nem igazán bízhatsz abban, hogy a webhely a valódihoz tartozik. Catch 21.
Megerősítheti az aláírást egy másik forrással, amelyben megbízik (ismerős, vagy csak keresse meg a google-ben a kapott ujjlenyomatot, és értékelje, ha megbízható helyeken van, van esély arra, hogy érvényes legyen), vagy használhatja a Debian-t, Előre telepített gyökértanúsítvány a webhely HTTPS-en keresztüli eléréséhez.
Ezután követheti a gyökér-hitelesítésszolgáltató telepítésével, a mostantól aláírt tanúsítványok telepítésével és megbízhatóságával kapcsolatos utasításokat (beleértve a sajátokat is) .
* Technikailag a nyilvános infrastruktúra által elismert tanúsítványt használhatnák webhelyükön, és elkerülhetnék a kezdeti bizalom problémáját, de talán úgy döntöttek, hogy arra késztetnek, hogy ilyen kérdés jobb az ismeretek terjesztéséhez …
Megjegyzések
- " talán ők döntöttek úgy készítése ha feltesz egy ilyen kérdést, az jobb az ismeretek terjesztéséhez … " amint látja, hogy működött 🙂 Köszönöm ezt a választ!
Válasz
A CAcert által kibocsátott tanúsítványok nem önaláírtak. Gyökértanúsítványuk saját aláírású, mint az összes többi CA-nak.
Az, hogy a CAcert gyökér miért nem szerepel a főbb böngészők egyikében (a Chrome megjelenítését nem biztonságosvá téve), egy teljesen más történet . Pályáztak erre, de végül soha nem tudták végrehajtani a kért változtatásokat a házirendjükben / eljárásaikban, és nem tudták igazolni a CA / Böngésző fórum módosítását.
Wikipédia https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status állítja:
A CAcert április végén visszavonta felvételi kérelmét 2007.
Tehát most “csak halványulnak.”