Sono abbastanza nuovo nella crittografia e SSL. Oggi ho cercato su Google (ho letto alcuni articoli sulla sicurezza) e ho incontrato il sito https://cacert.org . Ho cliccato e sono rimasto sorpreso. Chrome mi ha mostrato un errore “non attendibile”. Il certificato SSL sembra non essere valido. Ho cercato il certificato e mi mostra che lagenzia di certificazione non è più attendibile. Ora ho alcune domande:
- CAcert non è forse unagenzia di certificazione?
- Perché?
- Potrebbe trattarsi di una sorta di attacco approccio? (MITM)
- Cosa posso fare?
- Dove posso ottenere maggiori informazioni?
Risposta
Nel caso di cacert.org, stanno presentando un certificato autofirmato ed è per questo che il tuo browser si lamenta. Non esiste una catena di fiducia che porta dal certificato a una CA radice di cui ti fidi.
Se stavi utilizzando una distribuzione Linux fornita con il certificato preinstallato, non vedresti un avviso. si deduce che utilizzando un tale sistema ti fidi della comunità.
In caso di altri sistemi operativi ti fidi della PKI pubblica che è supportata (e fornita sotto forma di un archivio di certificati radice incorporato nei loro prodotti ) di Microsoft, Apple, Google o Mozilla.
Cacert.org è al di fuori di questa infrastruttura ed è per questo che viene visualizzato un avviso.
Perché?
La loro decisione “commerciale”. Sono liberi di fare quello che vogliono quando forniscono servizi web. Potrebbero chiedere agli utenti di installare la loro CA radice, potrebbero investire denaro e ottenere un certificato firmato per il loro sito web, oppure non investire e ottenere un certificato di letsencrypt gratuito * .
Hanno scelto il primo modello, apparentemente perché si adatta al loro scopo e allidea di “mangia il tuo dogfood”.
Cosa puoi fare?
Dipende da cosa vuoi fare. Puoi accedere al sito con http://cacert.org/ e leggere.
Se desideri accedervi con HTTPS è possibile visualizzare il certificato fornito, esaminarlo da soli. Quindi prendi la tua decisione di fidarti di esso.
La parte complicata è che effettivamente potrebbe essere un attacco MitM, quindi dovresti confrontare la firma dellimpronta digitale del certificato che hai ottenuto con una firma ottenuta tramite unaltra connessione affidabile. Pubblicano le impronte digitali qui ma fino a quando non ti fidi di loro reali, non puoi “veramente fidarti che il sito appartiene a quello reale in quel momento. Prendi 21.
Puoi confermare la firma con unaltra fonte di cui ti fidi (amico, o semplicemente cercare su Google limpronta digitale che hai e valutare, se è ovunque affidabile, ha la possibilità di essere valida) o usare Debian fornita con il loro certificato radice preinstallato per accedere al sito tramite HTTPS.
È quindi possibile seguire il collegamento alle istruzioni su come installare la propria CA radice, installare e considerare attendibili i certificati che hanno firmato dora in poi (compreso il proprio) .
* Tecnicamente potrebbero utilizzare un certificato riconosciuto dallinfrastruttura pubblica per il loro sito ed evitare il problema della fiducia iniziale, ma forse hanno deciso che facendoti chiedere un tale domanda è meglio per la diffusione della conoscenza …
Commenti
- " forse hanno deciso che fabbricazione fare una domanda del genere è meglio per la diffusione della conoscenza … " come vedi ha funzionato 🙂 Grazie per questa risposta!
Risposta
I certificati emessi da CAcert non sono autofirmati. Il loro certificato radice è autofirmato, come hanno tutte le altre CA.
Perché CAcert root non è incluso in nessuno dei principali browser (rendendo il tuo display Chrome non sicuro) è tutta unaltra storia . Hanno fatto domanda per questo, ma alla fine non sono mai stati in grado di apportare le modifiche richieste alle loro politiche / procedure e dimostrare le modifiche a CA / Browser Forum.
Pagina di Wikipedia https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status afferma:
CAcert ha ritirato la sua richiesta di inclusione alla fine di aprile 2007.
Quindi, ora “stanno solo svanendo.