Jeg er ganske ny på kryptering og SSL. I dag googlet jeg litt (les noen atrikler om sikkerhet) og møtte siden https://cacert.org . Jeg klikket på den og ble overrasket. Chrome viste meg en «ikke klarert» feil. SSL-sertifikatet ser ut til å ikke være gyldig. Jeg slo opp sertifikatet, og det viser meg at sertifiseringsbyrået ikke er klarert lenger. Jeg har noen spørsmål nå:
- Er det ikke et sertifiseringsbyrå selv?
- Hvorfor er det?
- Kan dette være et slags angrep tilnærming? (MITM)
- Hva kan jeg gjøre?
- Hvor kan jeg få mer informasjon?
Svar
I tilfelle cacert.org presenterer de et selvsignert sertifikat, og det er derfor nettleseren din klager. Det er ingen tillitskjede som fører fra sertifikatet til en rot-CA som du stoler på.
Hvis du brukte en Linux-distribusjon som fulgte med sertifikatet deres forhåndsinstallert, ville du ikke se en advarsel. kan det utledes at ved å bruke et slikt system stoler du på samfunnet.
I tilfelle andre operativsystemer setter du tillit til offentlig PKI som støttes (og leveres i form av et rotsertifikatlager innebygd i produktene deres ) av Microsoft, Apple, Google eller Mozilla.
Cacert.org er utenfor denne infrastrukturen, og det er derfor du ser en advarsel.
Hvorfor?
Deres «forretningsmessige» beslutning. De står fritt til å gjøre hva de vil når de tilbyr nettjenester. De kan be brukerne om å installere deres root CA, de kan investere penger og få et signert sertifikat for nettstedet deres, eller ikke investere og få et gratis letsencrypt-sertifikat * .
De valgte den første modellen, tilsynelatende fordi det passer deres formål og «spis din egen dogfood» -idee.
Hva du kan gjøre?
Det kommer an på hva du vil gjøre. Du kan få tilgang til nettstedet med http://cacert.org/ og lese.
Hvis du vil ha tilgang til det med HTTPS kan du vise det medfølgende sertifikatet, undersøke det selv. Ta deretter din egen beslutning om å stole på det.
Den vanskelige delen er at den faktisk kan være et MitM-angrep, så du bør sammenligne fingeravtrykkssignaturen til sertifikatet du fikk med en signatur du fikk gjennom en annen klarert forbindelse. De publiserer fingeravtrykkene her , men til du stoler på ekte dem, kan du ikke virkelig stole på at nettstedet tilhører ekte da. Fang 21.
Du kan enten bekrefte signaturen med en annen kilde du stoler på (venn, eller bare søke på Google etter fingeravtrykket du fikk og vurdere, hvis det er over hele pålitelige steder, har det sjanser til å være gyldig) eller bruke Debian som følger med rotsertifikat forhåndsinstallert for å få tilgang til nettstedet via HTTPS.
Du kan deretter følge lenken for å få instruksjoner om hvordan du installerer root CA, installerer og stoler på sertifikatene de signerte fra nå av (inkludert deres egen) .
* Teknisk sett kunne de bruke et sertifikat anerkjent av offentlig infrastruktur for nettstedet deres og unngå problemet med opprinnelig tillit, men kanskje bestemte de seg for å få deg til å spørre spørsmålet er bedre for spredning av kunnskap …
Kommentarer
- " kanskje de bestemte seg for at lager du stiller et slikt spørsmål er bedre for spredning av kunnskap … " som du ser det fungerte 🙂 Takk for dette svaret!
Svar
CAcert-utstedte sertifikater er ikke selvsignerte. Rotsertifikatet deres er selvsignert, som alle andre CA-er har.
Hvorfor CAcert-rot ikke er inkludert i noen av de store nettleserne (noe som gjør at Chrome-skjermen din ikke er sikker), er en helt annen historie. . De søkte om det, men til slutt klarte de aldri å gjøre de forespurte endringene i retningslinjene / prosedyrene og bevise endringene i CA / Browser Forum.
Wikipedia-side https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status sier:
CAcert trakk sin anmodning om inkludering i slutten av april 2007.
Så, nå er de bare å falme ut.