เหตุใดใบรับรองกุญแจสาธารณะของเว็บเซิร์ฟเวอร์จึงต้องลงนามโดยผู้ออกใบรับรอง

9

กล่าวอีกนัยหนึ่งความเสี่ยงด้านความปลอดภัยของการไม่ลงนามใบรับรองกุญแจสาธารณะโดยผู้ออกใบรับรอง (จากมุมมองของผู้ใช้) คืออะไร ฉันหมายถึงข้อมูลยังคงถูกเข้ารหัส ... คนที่อยู่ตรงกลางสามารถทำอะไรกับใบรับรองที่ไม่ได้ลงชื่อ?

security  ssl-certificate  https  encryption 
Olivier Lalonde
แหล่งที่มา
พวกเขาสามารถสร้างใบรับรองของตนเองด้วยข้อมูลเดียวกันทั้งหมด ผู้ใช้จะบอกความแตกต่างได้อย่างไร
pjc50
@ pjc50: โดยดูที่เส้นทางใบรับรอง ใบรับรองที่ไม่ได้ลงชื่อเองจะมีเส้นทางใบรับรอง หากพา ธ นี้นำไปสู่รูทที่เชื่อถือได้ใบรับรองนั้นจะเชื่อถือได้มิฉะนั้นจะไม่เป็นเช่นนั้น แน่นอนคุณสามารถเพิ่มรากที่เชื่อถือได้เพิ่มเติมด้วยตัวเอง (ฉันได้ทำสิ่งนี้กับ CA ของฉันเองเพื่อให้ฉันสามารถสร้างใบรับรองสำหรับการใช้งานในท้องถิ่นได้อย่างง่ายดาย)
ริชาร์ด

คำตอบ:

13

จุดประสงค์ของ SSL เมื่อใช้กับ HTTP ไม่ได้เป็นเพียงการเข้ารหัสปริมาณการใช้งาน แต่ยังเพื่อตรวจสอบว่าใครเป็นเจ้าของเว็บไซต์และใครบางคนเต็มใจที่จะลงทุนเวลาและเงินเพื่อพิสูจน์ความถูกต้องและความเป็นเจ้าของโดเมนของพวกเขา

มันเหมือนกับการซื้อความสัมพันธ์ไม่ใช่แค่การเข้ารหัสและความสัมพันธ์นั้นเริ่มขึ้นหรือถือว่าเป็นระดับความไว้วางใจ

ที่กล่าวว่าฉันถามคำถามที่คล้ายกันไม่กี่เดือนที่ผ่านมาและคำตอบพื้นฐานที่กลับมาคือ "SSL เป็นบิตของการหลอกลวง"

มาร์คเฮนเดอร์สัน
แหล่งที่มา
ฉันคิดว่ามีการออกใบรับรอง SSL สำหรับ IP ไม่ใช่โดเมน ทำไมคุณต้องใช้ใบรับรองที่แตกต่างกันสำหรับโดเมนที่โฮสต์บน IP เดียวกัน นอกจากนี้หน้า Wikipedia บน HTTPS ระบุว่าเป็นไปได้ที่จะได้รับใบรับรองฟรี ... ธุรกิจของ CA ดูเหมือนจะหลอกลวงฉัน
Olivier Lalonde
2
มีการออกใบรับรองสำหรับโดเมน ไม่มีสิ่งใดที่จะป้องกันไม่ให้คุณสร้างใบรับรองที่ลงชื่อด้วยตนเองมันจะปรากฏขึ้นเตือนที่น่ากลัว (คนอื่นจะไม่อ่าน) เพราะเบราว์เซอร์ไม่เชื่อถือ CA ที่ออกให้ มีการพูดถึงปัญหา "หลาย SSL ใน One IP" ที่นี่หลายครั้ง ต่อไปนี้เป็นหัวข้อที่มีคำตอบที่ดีserverfault.com/questions/73162/...
Zypher
ขอบคุณ Zypher คุณเอาคำพูดออกมาจากปากของฉัน :) และใบรับรองสำหรับโดเมนไม่ใช่ IP เรามีที่อยู่ IP สามแห่งสำหรับเซิร์ฟเวอร์สามแห่งที่ให้บริการเว็บไซต์ที่มีน้ำหนักมากที่สุดของเราและทั้งหมดนั้นมีใบรับรองที่โหลดเหมือนกัน
Mark Henderson
8

ลองนึกภาพสถานการณ์ที่คุณต้องส่งมอบ $ 1,000,000 ให้กับบุคคลที่ชื่อ John Smith ที่คุณไม่เคยพบหรือสื่อสารด้วย คุณถูกบอกว่าคุณสามารถพบเขาในที่สาธารณะที่แออัด เมื่อคุณไปพบเขาคุณจะต้องมีวิธีที่จะทำให้แน่ใจว่าเขาเป็นคนที่คุณกำลังมองหาอยู่และไม่ใช่คนที่อ้างตัวว่าเป็น John Smith คุณอาจขอรหัสรัฐบาลบางนามบัตร คุณอาจถามคนที่คุณไว้วางใจที่ได้พบกับ John Smith เพื่อขอความช่วยเหลือในการระบุตัวเขา

ใบรับรองที่ลงนามเองระบุระบบโดยไม่ซ้ำกัน แต่ไม่ได้ทำอะไรเพื่อพิสูจน์ว่าระบบนั้นเป็นใคร ฉันสามารถลงนามใบรับรองด้วยตนเองได้อย่างง่ายดายและอ้างว่าเป็น serverfault.com, google.com หรือ yourbank.com ผู้ออกใบรับรองโดยทั่วไปจะทำหน้าที่เป็นบุคคลที่สามที่ลูกค้าเชื่อถือได้เพื่อยืนยันว่าใบรับรองนั้นใช้ได้จริงสำหรับชื่อที่ไซต์อ้างสิทธิ์ในตัวเอง

Zoredache
แหล่งที่มา
2

ธุรกิจ SSL นั้นเป็นการหลอกลวง ในความเป็นจริงแล้วเมื่อคุณจ่ายเงินประมาณ 20p ต่อไบต์สำหรับข้อมูลที่น่าสนใจบางประการ สิ่งที่คุณจ่ายไปนั้นสำหรับ CA ใดก็ตามที่คุณใช้ในการลงนามใบรับรองของคุณด้วยหนึ่งในกุญแจส่วนตัวของพวกเขาหลังจากพิสูจน์ตัวเองว่าคุณมีสิทธิ์ใช้ชื่อโดเมน / โฮสต์ที่ใบรับรองนั้นใช้ Farseeker กล่าวว่ามันเป็นความสัมพันธ์ที่เชื่อถือได้ - CA เชื่อใจคุณ (หลังจากที่พวกเขาตรวจคุณแล้ว) เว็บเบราว์เซอร์ของโลกที่เชื่อถือ CA (ปกติ) ดังนั้นเว็บเบราว์เซอร์ในโลกจะไว้วางใจใบรับรองของคุณ และอย่าให้ฉันเริ่มเกี่ยวกับ Extended Validation ...

RainyRat
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.