Sunt destul de nou în materie de criptare și SSL. Astăzi am căutat puțin pe Google (am citit câteva atricole despre securitate) și am întâlnit site-ul https://cacert.org . Am dat clic pe el și am fost surprins. Chrome mi-a arătat o eroare „de încredere”. Certificatul SSL pare să nu fie valid. Am căutat certificatul și îmi arată că agenția de certificare nu mai are încredere. Am câteva întrebări acum:
- Nu este o agenție de certificare în sine?
- De ce este asta?
- Ar putea fi un fel de atac abordare? (MITM)
- Ce pot face?
- Unde pot obține mai multe informații?
Răspuns
În cazul cacert.org, aceștia prezintă un certificat auto-semnat și de aceea browserul dvs. se plânge. Nu există niciun lanț de încredere care să conducă de la certificat la o CA rădăcină în care aveți încredere.
Dacă ați utiliza o distribuție Linux care vine cu certificatul lor preinstalat, nu veți vedea un avertisment. s-ar deduce că, folosind un astfel de sistem, aveți încredere în comunitate.
În cazul altor sisteme de operare, aveți încredere în PKI public care este acceptat (și furnizat sub forma unui magazin de certificate rădăcină încorporat în produsele lor ) de Microsoft, Apple, Google sau Mozilla.
Cacert.org se află în afara acestei infrastructuri și de aceea vedeți un avertisment.
De ce?
Decizia lor de „afaceri”. Sunt liberi să facă orice vor atunci când furnizează servicii web. Aceștia ar putea cere utilizatorilor să își instaleze CA-ul rădăcină, ar putea să investească bani și să obțină un certificat semnat pentru site-ul lor web sau să nu investească și să obțină un certificat de letencriptare gratuit * .
Au ales primul model, aparent pentru că se potrivește scopului lor și ideii „mănâncă-ți propriul hrană pentru câini”.
Ce poți face?
Depinde de ceea ce vrei să faci. Puteți accesa site-ul cu http://cacert.org/ și citiți.
Dacă doriți să îl accesați cu HTTPS, puteți afișa certificatul furnizat, examinați-l singur. Apoi ia propria ta decizie de încredere în ea.
Partea dificilă este că într-adevăr ar putea fi un atac MitM, deci ar trebui să comparați semnătura de amprentă a certificatului obținut cu o semnătură pe care ați obținut-o printr-o altă conexiune de încredere. Acestea publică amprentele aici , dar până nu aveți încredere în ele, nu puteți avea încredere că site-ul aparține real atunci. Prindeți 21.
Puteți fie să confirmați semnătura cu o altă sursă în care aveți încredere (prieten, fie să căutați pe Google amprenta digitală pe care ați obținut-o și să o evaluați, dacă este peste tot în locuri de încredere, are șanse să fie valabilă) sau să utilizați Debian care vine cu certificat rădăcină preinstalat pentru a accesa site-ul prin HTTPS.
Puteți apoi urma linkul pentru instrucțiuni despre cum să instalați CA rădăcină, să instalați și să aveți încredere în certificatele pe care le-au semnat de acum înainte (inclusiv pe cel propriu) .
* Din punct de vedere tehnic, ar putea folosi un certificat recunoscut de infrastructura publică pentru site-ul lor și ar putea evita problema încrederii inițiale, dar poate au decis că te determină să ceri un astfel de întrebarea este mai bună pentru răspândirea cunoștințelor …
Comentarii
- " poate au decis că făcând puneți o astfel de întrebare este mai bună pentru răspândirea cunoștințelor … " așa cum vedeți că a funcționat 🙂 Vă mulțumim pentru acest răspuns!
Răspuns
Certificatele emise de CAcert nu sunt autosemnate. Certificatul rădăcină al acestora este autosemnat, la fel ca toate celelalte CA care au.
De ce nu este inclus CAcert root în niciunul dintre browserele majore (ceea ce face ca afișarea Chrome să nu fie sigură) este cu totul altă poveste . Au solicitat acest lucru, dar în cele din urmă nu au reușit niciodată să facă modificările solicitate în politicile / procedurile lor și să demonstreze modificările aduse CA / Browser Forum.
Pagina Wikipedia https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status afirmă:
CAcert și-a retras solicitarea de includere la sfârșitul lunii aprilie 2007.
Deci, acum „se estompează.