Tại sao chứng chỉ khóa công khai của máy chủ web phải được ký bởi cơ quan cấp chứng chỉ?

9

Nói cách khác, rủi ro bảo mật của việc không ký chứng chỉ khóa công khai của người ủy quyền chứng chỉ (từ góc độ người dùng) là gì? Ý tôi là, dữ liệu vẫn được mã hóa ... Một người đàn ông ở giữa có thể làm gì với chứng chỉ không được ký?

— Olivier Lalonde
nguồn

Họ có thể tạo chứng chỉ của riêng mình với cùng một thông tin. Làm thế nào để người dùng nói sự khác biệt?

— pjc50

@ pjc50: bằng cách nhìn vào đường dẫn chứng chỉ. Chứng chỉ không tự ký sẽ có đường dẫn chứng chỉ. Nếu đường dẫn này dẫn đến một gốc đáng tin cậy thì chứng chỉ được tin cậy, nếu không thì không. Tất nhiên, bạn có thể tự thêm các gốc đáng tin cậy bổ sung (Tôi đã thực hiện điều này cho CA của riêng tôi để tôi có thể dễ dàng tạo chứng chỉ cho sử dụng cục bộ).

— Richard

13

Mục đích của SSL khi được sử dụng với HTTP không chỉ là để mã hóa lưu lượng, mà còn để xác thực ai là chủ sở hữu của trang web và ai đó sẵn sàng đầu tư thời gian và tiền bạc để chứng minh tính xác thực và quyền sở hữu tên miền của họ.

Nó giống như mua một mối quan hệ, không chỉ mã hóa, và thấm nhuần mối quan hệ, hoặc giả định, một mức độ tin cậy nhất định.

Điều đó nói rằng, tôi đã hỏi một câu hỏi tương tự một vài tháng trước, và câu trả lời cơ bản đã trở lại là "SSL là một chút lừa đảo"

— Mark Henderson
nguồn

Tôi nghĩ chứng chỉ SSL được cấp cho IP, không phải tên miền. Tại sao bạn cần các chứng chỉ khác nhau cho các tên miền được lưu trữ trên cùng một IP? Hơn nữa, trang Wikipedia trên HTTPS có đề cập đến việc có thể nhận được chứng chỉ miễn phí ... Việc kinh doanh CA thực sự nghe có vẻ như là một trò lừa đảo đối với tôi.

— Olivier Lalonde

2

Certs được ban hành cho các lĩnh vực. Không có gì ngăn cản bạn tạo chứng chỉ tự ký, nó sẽ bật lên một cảnh báo đáng sợ (mọi người sẽ không đọc) vì trình duyệt không tin tưởng vào CA phát hành. Vấn đề "nhiều SSL trên một IP" đã được thảo luận nhiều lần tại đây. Đây là một chủ đề với một câu trả lời tốt serverfault.com/questions/73162/ từ

— Zypher

Cảm ơn Zypher, bạn đã lấy từ ngữ ra khỏi miệng tôi :) Và chứng chỉ cho tên miền, không phải IP. Chúng tôi có ba địa chỉ IP cho ba máy chủ phục vụ trang web nặng nhất của chúng tôi và tất cả chúng đều có cùng một chứng chỉ được tải.

— Mark Henderson

8

Hãy tưởng tượng một tình huống mà bạn sẽ giao 1.000.000 đô la cho một người tên John Smith mà bạn chưa từng gặp hoặc liên lạc. Bạn được cho biết bạn có thể gặp anh ta ở một địa điểm công cộng đông đúc. Khi bạn đi gặp anh ta, bạn sẽ cần một số cách để chắc chắn rằng anh ta thực sự là người bạn đang tìm kiếm, chứ không phải một người ngẫu nhiên nào khác tự xưng là John Smith. Bạn có thể yêu cầu một số ID chính phủ, một danh thiếp. Bạn có thể hỏi một người mà bạn tin tưởng đã thực sự gặp John Smith để được giúp đỡ xác định anh ta.

Chứng chỉ tự ký xác định duy nhất một hệ thống, nhưng nó không làm gì để chứng minh rằng hệ thống đó là người mà nó tuyên bố là. Tôi có thể dễ dàng tự ký một chứng chỉ và tự xưng là serverfault.com, google.com hoặc yourbank.com. Cơ quan cấp chứng chỉ về cơ bản hoạt động như một bên thứ ba được khách hàng tin cậy để xác minh chứng chỉ thực sự hợp lệ cho tên mà trang web tuyên bố sở hữu.

— Zoredache
nguồn

2

Kinh doanh SSL thực sự là một chút lừa đảo. Thực tế, nhiều hơn một chút, khi bạn trả khoảng 20p mỗi byte cho một số dữ liệu thú vị về mật mã. Những gì bạn đang trả tiền là cho bất kỳ CA nào bạn sử dụng để ký chứng chỉ của bạn với một trong các khóa riêng của họ sau khi chứng minh với bản thân rằng bạn thực sự có quyền sử dụng tên miền / tên máy chủ mà chứng chỉ dành cho. Như Farseeker nói, đó là mối quan hệ tin cậy - CA tin tưởng bạn (sau khi họ đã đánh giá cao bạn), các trình duyệt web trên thế giới tin tưởng CA (thông thường), và do đó các trình duyệt web trên thế giới sẽ tin tưởng vào chứng chỉ của bạn. Và đừng để tôi bắt đầu về Xác thực mở rộng ...

— RainyRat
nguồn