Ik ben vrij nieuw met encryptie en SSL. Vandaag heb ik een beetje gegoogeld (lees wat artikelen over beveiliging) en kwam de site https://cacert.org tegen. Ik klikte erop en was verrast. Chrome liet me een niet vertrouwde-fout zien. Het SSL-certificaat lijkt niet geldig te zijn. Ik heb het certificaat opgezocht en het laat me zien dat de certificeringsinstantie niet meer vertrouwd wordt. Ik heb nu een paar vragen:
- Is CAcert niet zelf een certificeringsbureau?
- Waarom is dat?
- Zou dit een soort aanval kunnen zijn aanpak? (MITM)
- Wat kan ik doen?
- Waar kan ik meer informatie krijgen?
Antwoord
In het geval van cacert.org presenteren ze een zelfondertekend certificaat en daarom klaagt uw browser. Er is geen vertrouwensketen die van het certificaat naar een root-CA leidt die u vertrouwt.
Als u een Linux-distributie zou gebruiken waarvan het certificaat vooraf is geïnstalleerd, zou u geen waarschuwing zien. zou worden geconcludeerd dat u door het gebruik van een dergelijk systeem de gemeenschap vertrouwt.
In het geval van andere besturingssystemen vertrouwt u op openbare PKI die wordt ondersteund (en geleverd in de vorm van een rootcertificaatopslag die is ingebed in hun producten ) door Microsoft, Apple, Google of Mozilla.
Cacert.org bevindt zich buiten deze infrastructuur en daarom zie je een waarschuwing.
Waarom?
Hun “zakelijke” beslissing. Ze zijn vrij om te doen wat ze willen wanneer ze webservices aanbieden. Ze konden gebruikers vragen om hun root-CA te installeren, ze konden geld investeren en een ondertekend certificaat voor hun website krijgen, of niet investeren en een gratis letsencrypt-certificaat * krijgen.
Ze kozen ervoor het eerste model, schijnbaar omdat dat past bij hun doel en het idee “eet je eigen hondenvoer”.
Wat je kunt doen?
Het hangt ervan af wat je wilt doen. U kunt de site openen met http://cacert.org/ en lezen.
Als u er toegang toe wilt hebben met HTTPS kunt u het verstrekte certificaat weergeven, het zelf onderzoeken. Neem vervolgens uw eigen beslissing om het te vertrouwen.
Het lastige is dat het inderdaad kan een MitM-aanval zijn, dus je moet de vingerafdrukhandtekening van het certificaat dat je hebt gekregen vergelijken met een handtekening die je hebt verkregen via een andere vertrouwde verbinding. Ze publiceren de vingerafdrukken hier maar totdat je ze echt vertrouwt, kun je “niet echt vertrouwen dat de site van de echte is. Vangst 21.
U kunt de handtekening bevestigen met een andere bron die u vertrouwt (vriend, of gewoon op Google zoeken naar de vingerafdruk die u heeft en evalueren, als deze overal betrouwbare plaatsen is, heeft deze kans om geldig te zijn) of gebruik Debian dat bij hun root-certificaat vooraf geïnstalleerd om toegang te krijgen tot de site via HTTPS.
Je kunt dan de link volgen naar instructies voor het installeren van hun root-CA, het installeren en vertrouwen van de certificaten die ze vanaf nu hebben ondertekend (inclusief hun eigen) .
* Technisch gezien konden ze een certificaat gebruiken dat wordt erkend door de openbare infrastructuur voor hun site en het probleem van het aanvankelijke vertrouwen vermijden, maar misschien hebben ze besloten dat je zon vraag is beter voor de verspreiding van kennis …
Opmerkingen
- " misschien hebben ze besloten dat maken je stelt een dergelijke vraag is beter voor de verspreiding van kennis … " zoals je ziet werkte het 🙂 Bedankt voor dit antwoord!
Answer
Door CAcert uitgegeven certificaten zijn niet zelfondertekend. Hun rootcertificaat is zelfondertekend, net als alle andere CAs.
Waarom CAcert-root niet is opgenomen in een van de belangrijkste browsers (waardoor uw Chrome-weergave niet veilig is) is een heel ander verhaal . Ze hebben dat aangevraagd, maar hebben uiteindelijk nooit de gevraagde wijzigingen in hun beleid / procedures kunnen aanbrengen en de wijzigingen aan CA / Browser Forum kunnen bewijzen.
Wikipedia-pagina https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status stelt:
CAcert heeft zijn verzoek om opname eind april ingetrokken 2007.
Dus nu “vervagen ze gewoon.