私は暗号化とSSLにかなり慣れていません。今日、私は少しグーグルで検索し(セキュリティに関するいくつかの記事を読んで)、サイト https://cacert.org に遭遇しました。クリックしてびっくりしました。 Chromeに「信頼できない」エラーが表示されました。 SSL証明書が無効のようです。証明書を調べたところ、認証機関が信頼されていないことがわかりました。今、いくつか質問があります:
- CAcertは認証機関自体ではありませんか?
- それはなぜですか?
- これはある種の攻撃でしょうか?アプローチ?(MITM)
- どうすればよいですか?
- 詳細情報はどこで入手できますか?
回答
cacert.orgの場合、自己署名証明書が提示されているため、ブラウザから文句が表示されます。証明書から信頼できるルートCAにつながる信頼チェーンはありません。
証明書がプリインストールされたLinuxディストリビューションを使用している場合、警告は表示されません。このようなシステムを使用することで、コミュニティを信頼すると推測されます。
他のOSの場合は、サポートされている(および製品に埋め込まれたルート証明書ストアの形式で提供されている)公開PKIを信頼します。 )Microsoft、Apple、Google、またはMozillaによる。
Cacert.orgはこのインフラストラクチャの外部にあるため、警告が表示されます。
なぜですか?
彼らの「ビジネス」の決定。彼らはウェブサービスを提供するときに彼らが望むことは何でも自由に行うことができます。ユーザーにルートCAのインストールを依頼したり、投資してWebサイトの署名付き証明書を取得したり、投資して無料のletsencrypt証明書を取得したりすることはできません * 。
彼らは選択しました最初のモデルは、それが彼らの目的と「自分のドッグフーディングを食べる」という考えに合っているためと思われます。
何ができるか?
それはあなたが何をしたいかによります。 http://cacert.org/ でサイトにアクセスして読むことができます。
アクセスする場合HTTPSを使用すると、提供された証明書を表示して、自分で調べることができます。次に、自分でを信頼するかどうかを決定します。
注意が必要なのは、実際には MitM攻撃である可能性があるため、取得した証明書の指紋署名を、別の信頼できる接続を介して取得した署名と比較する必要があります。彼らは指紋をここで公開していますが、本物の指紋を信頼するまで、サイトが本物に属しているとは本当に信頼できません。21をキャッチしてください。
信頼できる別のソースで署名を確認するか(友人、またはGoogleで取得した指紋を検索して評価します。信頼できる場所全体にある場合は、有効である可能性があります)、または付属のDebianを使用できます。 HTTPS経由でサイトにアクセスするためにプリインストールされたルート証明書。
次に、ルートCAをインストールし、今後署名した証明書(独自の証明書を含む)をインストールして信頼する方法の説明へのリンクをたどることができます。 。
* 技術的には、サイトのパブリックインフラストラクチャで認識されている証明書を使用して、初期の信頼の問題を回避できますが、そのような質問をすることにしたのかもしれません。質問は知識の普及に適しています…
コメント
- "多分彼らは作るこのような質問をすると、知識を広めるのに適しています… "うまくいったので、:)この回答をありがとうございます!
回答
CAcertが発行した証明書は自己署名されていません。他のすべてのCAと同様に、ルート証明書は自己署名されています。
CAcertルートが主要なブラウザのいずれにも含まれていない理由(Chromeディスプレイを安全でないものにする)はまったく別の話です。 。彼らはそれを申請しましたが、最終的にはポリシー/手順に要求された変更を加え、CA /ブラウザフォーラムへの変更を証明することはできませんでした。
ウィキペディアページ https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status の状態:
CAcertは、4月末に含めるリクエストを取り下げました。 2007.
つまり、現在はフェードアウトしているだけです。