преимущества в безопасности на ЦС подписали SSL сертификат

Question

Это просто общий вопрос о дискуссии между самоподписанными сертификатов и сертификатов CA ...

Я понимаю преимущества для сертификата CA из-за которых удалось избежать предупреждений, генерируемых в большинстве браузеров, но каким образом сертификат ЦС дает реальную безопасность? Обычно я слышу, что самая большая угроза - это атаки «человек-в-середине», и, хотя я понимаю эту угрозу, используя самозаверяющий сертификат, я не понимаю, как это предотвращает сертификат ЦС. Я знаю, что ЦС, выполняющие собственные алгоритмы безопасности, не могли использовать одни и те же алгоритмы для самозаверяющих сертификатов?

Я предполагаю, что меня немного раздражает большой бизнес, вращающийся вокруг необходимости сертификатов CA, но, похоже, не может найти ничего другого в них, кроме этих предполагаемых дополнительных проверок безопасности, которые они выполняют. Есть ли что-нибудь, что ЦС может предоставить с точки зрения безопасности, которую самозаверяющие сертификаты не могут?

Answer 1

Spoofing. Если другая сторона подделывает самозаверяющий сертификат, у вас нет возможности проверить это. Чтобы проверить, что вы получили действительный сертификат, а не поддельный, вам нужна сторонняя проверка, которую нельзя легко подделать. Это делается путем переноса списка корневых сертификатов CA (и некоторых промежуточных сертификатов) с вашим программным обеспечением на стороне клиента (Windows включает в себя такие сертификаты для вас и крупных браузеров) и проверку сертификата, который вы получаете с сервера, с использованием этих сертификатов CA , С самозаверяющими сертификатами такая проверка невозможна.

Конечно, вы можете носить самозаверяющий сертификат с вашим клиентским приложением (и это то, что делают некоторые разработчики, особенно для внутренних приложений), но это не работает с браузерами.

Answer 2

Разница заключается не в алгоритме, а в том, доверяют ли люди центру сертификации или нет.

Пункт сертификата заключается в том, чтобы убедиться, что вы установили соединение с тем, кем он намеревается установить соединение.

Если я говорю вам: «Я верный сервер, поверьте мне на это», вы можете не верить мне (в конце концов, вы меня не знаете).

Если я говорю вам: «Я правильный сервер, и у меня есть сертификат, подтверждающий его», вы можете сказать «хорошо, и кто дал вам этот сертификат?». Если мой ответ «Джо из-за угла», вы все равно можете не верить мне.

Но если я скажу: «У меня есть сертификат, и вы можете подтвердить его третьей стороной, которой вы доверяете», вы можете решить, что это хорошее доказательство личности.

Как вы подтверждаете, это стандарт, о котором идет речь (например, как описано в RFC 5280). Но это только технические вопросы. Вы можете использовать тот же алгоритм для сертификата, который был создан из VeriSign, и для сертификата, который вы создаете самостоятельно.

Реальный вопрос о доверии: вы доверяете тому, кто дает вам «доказательство личности». Мы доверяем VeriSign достаточно, чтобы позволить любому подтверждению идентичности от них быть принятым каждым браузером. Должны ли мы доверять отдельным лицам, которые генерируют собственные самоподписанные сертификаты? Мы могли бы сделать в некоторых случаях (в этом случае вы можете установить свои сертификаты в своем браузере вручную), но не как общее правило.