Soy bastante nuevo en el cifrado y SSL. Hoy busqué en Google un poco (leí algunos atricles sobre seguridad) y encontré el sitio https://cacert.org . Lo hice clic y me sorprendí. Chrome me mostró un error de «no confiable». El certificado SSL parece no ser válido. Busqué el certificado y me muestra que la agencia de certificación ya no es de confianza. Ahora tengo algunas preguntas:
- ¿No es CAcert una agencia de certificación?
- ¿Por qué?
- ¿Podría tratarse de algún tipo de ataque? enfoque? (MITM)
- ¿Qué puedo hacer?
- ¿Dónde puedo obtener más información?
Responder
En el caso de cacert.org, están presentando un certificado autofirmado y es por eso que su navegador se queja. No existe una cadena de confianza que lleve desde el certificado a una CA raíz en la que confíe.
Si estuviera usando una distribución de Linux que viene con su certificado preinstalado, no verá una advertencia. se inferiría que al usar dicho sistema confía en la comunidad.
En el caso de otros sistemas operativos, confía en la PKI pública que es compatible (y se proporciona en forma de un almacén de certificados raíz integrado en sus productos ) de Microsoft, Apple, Google o Mozilla.
Cacert.org está fuera de esta infraestructura y es por eso que ve una advertencia.
¿Por qué?
Su decisión «empresarial». Son libres de hacer lo que quieran cuando brindan servicios web. Podrían pedir a los usuarios que instalen su CA raíz, podrían invertir dinero y obtener un certificado firmado para su sitio web, o no invertir y obtener un certificado de letsencrypt gratuito * .
Ellos eligieron el primer modelo, aparentemente porque se ajusta a su propósito y la idea de «comerte tu propia comida para perros».
¿Qué puedes hacer?
Depende de lo que quieras hacer. Puede acceder al sitio con http://cacert.org/ y leer.
Si desea acceder a él con HTTPS, puede mostrar el certificado proporcionado, examínelo usted mismo. Luego, tome su propia decisión de confiar en él.
La parte complicada es que de hecho podría ser un ataque MitM, por lo que debe comparar la firma de huella digital del certificado que obtuvo con una firma que obtuvo a través de otra conexión confiable. Publican las huellas digitales aquí , pero hasta que no confíes en ellas, no puedes confiar realmente en que el sitio pertenece a lo real. Captura 21.
Puede confirmar la firma con otra fuente de confianza (amigo, o simplemente buscar en Google la huella digital que obtuvo y evaluar, si está en todos los lugares confiables, tiene posibilidades de ser válida) o usar Debian que viene con su certificado raíz preinstalado para acceder al sitio a través de HTTPS.
A continuación, puede seguir el enlace a las instrucciones sobre cómo instalar su CA raíz, instalar y confiar en los certificados que firmaron a partir de ahora (incluido el suyo) .
* Técnicamente podrían utilizar un certificado reconocido por la infraestructura pública para su sitio y evitar el problema de la confianza inicial, pero tal vez decidieron que haciéndote preguntar la pregunta es mejor para la difusión del conocimiento …
Comentarios
- " tal vez decidieron que haciendo Si haces una pregunta así, es mejor para la difusión del conocimiento … " como ves que funcionó 🙂 ¡Gracias por esta respuesta!
Respuesta
Los certificados emitidos por CAcert no están autofirmados. Su certificado raíz está autofirmado, como todas las demás CA.
Por qué la raíz de CAcert no está incluida en ninguno de los principales navegadores (lo que hace que la pantalla de Chrome no sea segura) es una historia completamente diferente . Solicitaron eso, pero finalmente nunca pudieron hacer los cambios solicitados en sus políticas / procedimientos y probar los cambios en CA / Browser Forum.
Página de Wikipedia https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status afirma:
CAcert retiró su solicitud de inclusión a finales de abril 2007.
Entonces, ahora simplemente se están desvaneciendo.