저는 암호화 및 SSL에 익숙하지 않습니다. 오늘 저는 약간 검색 (보안에 대한 몇 가지 요령을 읽음)하고 https://cacert.org 사이트를 발견했습니다. 클릭하고 놀랐습니다. Chrome에서 신뢰할 수 없음오류가 표시되었습니다. SSL 인증서가 유효하지 않은 것 같습니다. 인증서를 조회했는데 인증 기관이 더 이상 신뢰할 수 없음을 보여줍니다. 이제 몇 가지 질문이 있습니다.
- CAcert 자체가 인증 기관이 아닌가요?
- 그 이유는 무엇입니까?
- 이것은 일종의 공격일까요? (MITM)
- 어떻게해야합니까?
- 자세한 정보는 어디서 얻을 수 있습니까?
답변
cacert.org의 경우 자체 서명 된 인증서를 제공하므로 브라우저에서 불만을 표시합니다. 인증서에서 신뢰할 수있는 루트 CA로 연결되는 신뢰 체인이 없습니다.
인증서가 사전 설치된 Linux 배포판을 사용하는 경우 경고가 표시되지 않습니다. 이러한 시스템을 사용하면 커뮤니티를 신뢰한다고 추론 할 수 있습니다.
다른 OS의 경우 지원되는 (및 해당 제품에 포함 된 루트 인증서 저장소의 형태로 제공되는) 공개 PKI를 신뢰합니다. ) Microsoft, Apple, Google 또는 Mozilla에서 제공합니다.
Cacert.org는이 인프라 외부에 있으므로 경고가 표시됩니다.
이유
p>
비즈니스결정. 웹 서비스를 제공 할 때 원하는 것은 무엇이든 자유롭게 할 수 있습니다. 그들은 사용자에게 루트 CA를 설치하도록 요청할 수 있고, 돈을 투자하고 웹 사이트에 서명 된 인증서를받을 수도 있고, 투자하지 않고 무료 letsencrypt 인증서를받을 수도 있습니다 * .
그들은 선택했습니다. 첫 번째 모델은 목적에 부합하고 “자신의 dogfood를 먹기”아이디어 때문인 것 같습니다.
무엇을 할 수 있습니까?
하고 싶은 일에 따라 다릅니다. http://cacert.org/ 로 사이트에 액세스하여 읽을 수 있습니다.
액세스하려는 경우 HTTPS를 사용하면 제공된 인증서를 표시하고 직접 검사 할 수 있습니다. 그런 다음 자신의 결정을 내리십시오.
가까운 부분은 실제로 MitM 공격 일 수 있으므로 획득 한 인증서의 지문 서명을 다른 신뢰할 수있는 연결을 통해 얻은 서명과 비교해야합니다. 그들은 지문을 여기 에 게시하지만, 진짜를 믿을 때까지는 사이트가 진짜에 속한다고 믿을 수 없습니다. Catch 21.
신뢰할 수있는 다른 소스 (친구 또는 Google에서 지문을 검색하여 신뢰할 수있는 곳 전체에 걸쳐 유효 할 가능성이있는 경우)를 통해 서명을 확인하거나 함께 제공되는 Debian을 사용할 수 있습니다. HTTPS를 통해 사이트에 액세스하기 위해 사전 설치된 루트 인증서.
그런 다음 링크를 따라 루트 CA를 설치하고 지금부터 서명 한 인증서 (자체 인증서 포함)를 설치하고 신뢰하는 방법을 확인할 수 있습니다. .
* 기술적으로 그들은 사이트에 대해 공용 인프라에서 인정하는 인증서를 사용하여 초기 신뢰 문제를 피할 수 있지만 지식 확산을 위해서는 질문이 더 낫습니다 …
댓글
- " 만들기 지식의 확산을 위해 그런 질문을하는 것이 더 낫습니다 … " 효과가있는 것으로 보았습니다. :)이 답변에 감사드립니다!
답변
CAcert 발급 인증서는 자체 서명되지 않습니다. 루트 인증서는 다른 모든 CA와 마찬가지로 자체 서명됩니다.
CAcert 루트가 주요 브라우저에 포함되지 않은 이유 (Chrome 디스플레이가 안전하지 않음)는 완전히 다른 이야기입니다. . 그들은 그것을 신청했지만 궁극적으로 정책 / 절차에서 요청 된 변경을 수행하고 CA / 브라우저 포럼에 대한 변경을 증명할 수 없었습니다.
Wikipedia 페이지 https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status 상태 :
CAcert는 4 월 말에 포함 요청을 철회했습니다. 2007.
그래서 이제는 그냥 페이드 아웃됩니다.