Jag är ganska ny på kryptering och SSL. Idag googlade jag lite (läs några förklaringar om säkerhet) och stötte på webbplatsen https://cacert.org . Jag klickade på den och blev förvånad. Chrome visade mig ett ”inte betrodd” -fel. SSL-certifikatet verkar inte vara giltigt. Jag letade upp certifikatet och det visar mig att certifieringsbyrån inte litar på längre. Jag fick några frågor nu:
- Inte CAcert ett certifieringsorgan själv?
- Varför är det?
- Kan detta vara någon form av attack tillvägagångssätt? (MITM)
- Vad kan jag göra?
- Var kan jag få mer information?
Svar
Vid cacert.org presenterar de ett självsignerat certifikat och det är därför din webbläsare klagar. Det finns ingen förtroendekedja som leder från certifikatet till en rot-CA som du litar på.
Om du använde en Linux-distribution som levererades med deras förinstallerade certifikat, skulle du inte se en varning. skulle dras att genom att använda ett sådant system litar du på samhället.
Om du använder andra operativsystem litar du på offentlig PKI som stöds (och tillhandahålls i form av ett rotcertifikatlager inbäddat i deras produkter ) av Microsoft, Apple, Google eller Mozilla.
Cacert.org ligger utanför denna infrastruktur och det är därför du ser en varning.
Varför?
Deras ”affärsbeslut”. De är fria att göra vad de vill när de tillhandahåller webbtjänster. De kan be användarna att installera sin root CA, de kan investera pengar och få ett signerat certifikat för sin webbplats, eller inte investera och få ett gratis letsencrypt-certifikat * .
De valde den första modellen, till synes eftersom det passar deras syfte och ”äta din egen dogfood” -idé.
Vad du kan göra?
Det beror på vad du vill göra. Du kan komma åt webbplatsen med http://cacert.org/ och läsa.
Om du vill komma åt den med HTTPS kan du visa det tillhandahållna certifikatet, undersöka det själv. Ta sedan ditt eget beslut att lita på det.
Den knepiga delen är att den verkligen kan vara en MitM-attack, så du bör jämföra fingeravtryckssignaturen för certifikatet du fick med en signatur som du fick genom en annan pålitlig anslutning. De publicerar fingeravtrycken här men tills du litar på riktiga dem kan du inte lita på att webbplatsen tillhör riktigt då. Fånga 21.
Du kan antingen bekräfta signaturen med en annan källa som du litar på (vän, eller bara söka på Google efter det fingeravtryck du fick och utvärdera, om det är över tillförlitliga platser har det chanser att vara giltigt) eller använda Debian som följer med deras rotcertifikat förinstallerat för att komma åt webbplatsen via HTTPS.
Du kan sedan följa länken för att få instruktioner om hur man installerar deras root CA, installerar och litar på certifikaten de undertecknade från och med nu (inklusive deras eget) .
* Tekniskt sett kan de använda ett certifikat som erkänns av offentlig infrastruktur för sin webbplats och undvika problemet med initialt förtroende, men kanske bestämde de sig för att få dig att fråga en sådan frågan är bättre för kunskapsspridning …
Kommentarer
- " kanske bestämde de sig för att tillverkning du ställer en sådan fråga är bättre för kunskapsspridning … " som du ser det fungerade 🙂 Tack för det här svaret!
Svar
CAcert-utfärdade certifikat är inte självsignerade. Deras rotcertifikat är självsignerat, precis som alla andra CA: er.
Varför CAcert-rot inte ingår i någon av de större webbläsarna (vilket gör att din Chrome-skärm inte är säker) är en helt annan historia. . De ansökte om det, men kunde i slutändan aldrig göra de begärda ändringarna i sina policyer / procedurer och bevisa ändringarna i CA / Browser Forum.
Wikipedia-sida https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status säger:
CAcert drog tillbaka sin begäran om införande i slutet av april 2007.
Så nu tappar de bara ut.