Szyfrowanie i SSL jest dla mnie całkiem nowy. Dzisiaj trochę wygooglowałem (przeczytałem kilka artykułów o bezpieczeństwie) i napotkałem stronę https://cacert.org . Kliknąłem i byłem zaskoczony. Chrome pokazał mi błąd „Niezaufany”. Wydaje się, że certyfikat SSL nie jest ważny. Sprawdziłem certyfikat i pokazuje mi, że agencja certyfikująca nie jest już zaufana. Mam teraz kilka pytań:
- Czy nie jest to sama agencja certyfikująca?
- Dlaczego?
- Czy to może być jakiś rodzaj ataku podejście? (MITM)
- Co mogę zrobić?
- Gdzie mogę uzyskać więcej informacji?
Odpowiedź
W przypadku cacert.org przedstawiają certyfikat z podpisem własnym i dlatego twoja przeglądarka narzeka. Nie ma łańcucha zaufania prowadzącego od certyfikatu do głównego urzędu certyfikacji, któremu ufasz.
Jeśli korzystasz z dystrybucji Linuksa, która ma wstępnie zainstalowany certyfikat, nie zobaczysz ostrzeżenia. można by wywnioskować, że korzystając z takiego systemu, ufasz społeczności.
W przypadku innych systemów operacyjnych ufasz publicznie obsługiwanej infrastrukturze PKI (i dostarczanej w postaci głównego magazynu certyfikatów osadzonego w ich produktach ) firmy Microsoft, Apple, Google lub Mozilla.
Cacert.org znajduje się poza tą infrastrukturą i dlatego pojawia się ostrzeżenie.
Dlaczego?
Ich „biznesowa” decyzja. Świadcząc usługi internetowe, mogą robić, co chcą. Mogą poprosić użytkowników o zainstalowanie ich głównego urzędu certyfikacji, zainwestować pieniądze i uzyskać podpisany certyfikat dla swojej witryny internetowej lub nie zainwestować i uzyskać bezpłatny certyfikat Letsencrypt * .
Wybrali pierwszy model, najwyraźniej dlatego, że pasuje do ich celu i idei „zjedz własne testy”.
Co możesz zrobić?
To zależy od tego, co chcesz zrobić. Możesz wejść na stronę za pomocą http://cacert.org/ i przeczytać.
Jeśli chcesz uzyskać do niej dostęp dzięki HTTPS możesz wyświetlić dostarczony certyfikat, sprawdzić go samodzielnie. Następnie podejmij własną decyzję o zaufaniu.
Problem polega na tym, że rzeczywiście może być atakiem MitM, więc powinieneś porównać podpis odcisków palców certyfikatu, który otrzymałeś, z podpisem uzyskanym przez inne zaufane połączenie. Publikują odciski palców tutaj , ale dopóki nie zaufasz im prawdziwym, nie możesz naprawdę ufać, że witryna należy wtedy do prawdziwej. Złap 21.
Możesz potwierdzić podpis innym źródłem, któremu ufasz (przyjaciel lub po prostu poszukać w Google odcisku palca, który otrzymałeś i ocenić, jeśli znajduje się on w wiarygodnych miejscach, ma szanse być ważny) lub użyć Debiana, który jest dostarczany z ich preinstalowany certyfikat główny, aby uzyskać dostęp do witryny przez HTTPS.
Następnie możesz skorzystać z łącza do instrukcji, jak zainstalować ich główny urząd certyfikacji, zainstalować i ufać podpisanym przez siebie certyfikatom (w tym własnemu). .
* Z technicznego punktu widzenia mogliby użyć certyfikatu rozpoznawanego przez infrastrukturę publiczną dla swojej witryny i uniknąć problemu z początkowym zaufaniem, ale być może zdecydowali, że zmuszając Cię do takiego pytanie jest lepsze dla rozpowszechniania wiedzy …
Komentarze
- " może zdecydowali, że zrobienie zadajesz takie pytanie jest lepsze dla rozpowszechniania wiedzy … " jak widzisz, zadziałało 🙂 Dzięki za tę odpowiedź!
Odpowiedź
Certyfikaty wydane przez CAcert nie są samopodpisane. Ich certyfikat główny jest samopodpisany, podobnie jak wszystkie inne CA.
Dlaczego root CAcert nie jest uwzględniony w żadnej z głównych przeglądarek (co sprawia, że Twój Chrome wyświetla się jako niezabezpieczony) to zupełnie inna historia . Zgłosili się o to, ale ostatecznie nigdy nie byli w stanie wprowadzić żądanych zmian w swoich zasadach / procedurach i udowodnić zmiany na forum CA / Browser.
Strona Wikipedii https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status stwierdza:
CAcert wycofał wniosek o uwzględnienie pod koniec kwietnia 2007.
Więc teraz po prostu zanikają.