Dlaczego moja przeglądarka nie ufa CAcert?

Szyfrowanie i SSL jest dla mnie całkiem nowy. Dzisiaj trochę wygooglowałem (przeczytałem kilka artykułów o bezpieczeństwie) i napotkałem stronę https://cacert.org . Kliknąłem i byłem zaskoczony. Chrome pokazał mi błąd „Niezaufany”. Wydaje się, że certyfikat SSL nie jest ważny. Sprawdziłem certyfikat i pokazuje mi, że agencja certyfikująca nie jest już zaufana. Mam teraz kilka pytań:

  • Czy nie jest to sama agencja certyfikująca?
  • Dlaczego?
  • Czy to może być jakiś rodzaj ataku podejście? (MITM)
  • Co mogę zrobić?
  • Gdzie mogę uzyskać więcej informacji?

Odpowiedź

W przypadku cacert.org przedstawiają certyfikat z podpisem własnym i dlatego twoja przeglądarka narzeka. Nie ma łańcucha zaufania prowadzącego od certyfikatu do głównego urzędu certyfikacji, któremu ufasz.

Jeśli korzystasz z dystrybucji Linuksa, która ma wstępnie zainstalowany certyfikat, nie zobaczysz ostrzeżenia. można by wywnioskować, że korzystając z takiego systemu, ufasz społeczności.

W przypadku innych systemów operacyjnych ufasz publicznie obsługiwanej infrastrukturze PKI (i dostarczanej w postaci głównego magazynu certyfikatów osadzonego w ich produktach ) firmy Microsoft, Apple, Google lub Mozilla.

Cacert.org znajduje się poza tą infrastrukturą i dlatego pojawia się ostrzeżenie.


Dlaczego?

Ich „biznesowa” decyzja. Świadcząc usługi internetowe, mogą robić, co chcą. Mogą poprosić użytkowników o zainstalowanie ich głównego urzędu certyfikacji, zainwestować pieniądze i uzyskać podpisany certyfikat dla swojej witryny internetowej lub nie zainwestować i uzyskać bezpłatny certyfikat Letsencrypt * .

Wybrali pierwszy model, najwyraźniej dlatego, że pasuje do ich celu i idei „zjedz własne testy”.


Co możesz zrobić?

To zależy od tego, co chcesz zrobić. Możesz wejść na stronę za pomocą http://cacert.org/ i przeczytać.

Jeśli chcesz uzyskać do niej dostęp dzięki HTTPS możesz wyświetlić dostarczony certyfikat, sprawdzić go samodzielnie. Następnie podejmij własną decyzję o zaufaniu.

Problem polega na tym, że rzeczywiście może być atakiem MitM, więc powinieneś porównać podpis odcisków palców certyfikatu, który otrzymałeś, z podpisem uzyskanym przez inne zaufane połączenie. Publikują odciski palców tutaj , ale dopóki nie zaufasz im prawdziwym, nie możesz naprawdę ufać, że witryna należy wtedy do prawdziwej. Złap 21.

Możesz potwierdzić podpis innym źródłem, któremu ufasz (przyjaciel lub po prostu poszukać w Google odcisku palca, który otrzymałeś i ocenić, jeśli znajduje się on w wiarygodnych miejscach, ma szanse być ważny) lub użyć Debiana, który jest dostarczany z ich preinstalowany certyfikat główny, aby uzyskać dostęp do witryny przez HTTPS.

Następnie możesz skorzystać z łącza do instrukcji, jak zainstalować ich główny urząd certyfikacji, zainstalować i ufać podpisanym przez siebie certyfikatom (w tym własnemu). .


* Z technicznego punktu widzenia mogliby użyć certyfikatu rozpoznawanego przez infrastrukturę publiczną dla swojej witryny i uniknąć problemu z początkowym zaufaniem, ale być może zdecydowali, że zmuszając Cię do takiego pytanie jest lepsze dla rozpowszechniania wiedzy …

Komentarze

  • " może zdecydowali, że zrobienie zadajesz takie pytanie jest lepsze dla rozpowszechniania wiedzy … " jak widzisz, zadziałało 🙂 Dzięki za tę odpowiedź!

Odpowiedź

Certyfikaty wydane przez CAcert nie są samopodpisane. Ich certyfikat główny jest samopodpisany, podobnie jak wszystkie inne CA.

Dlaczego root CAcert nie jest uwzględniony w żadnej z głównych przeglądarek (co sprawia, że Twój Chrome wyświetla się jako niezabezpieczony) to zupełnie inna historia . Zgłosili się o to, ale ostatecznie nigdy nie byli w stanie wprowadzić żądanych zmian w swoich zasadach / procedurach i udowodnić zmiany na forum CA / Browser.

Strona Wikipedii https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status stwierdza:

CAcert wycofał wniosek o uwzględnienie pod koniec kwietnia 2007.

Więc teraz po prostu zanikają.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *