Personificação da autoridade de certificação

Question

Personificação da autoridade de certificação

#1 resposta do (6 votos)
#2 resposta do (0 votos)

2

Minha pergunta é o que impediria uma pessoa de pegar um certificado e usá-lo para que seu site falso parecesse legítimo. Digamos que você faça o login na Amazon e seu navegador pegue esse certificado. Então essa pessoa configura um site de spoofing e usa esse mesmo certificado para fazer o navegador pensar que isso é legítimo para as pessoas que clicaram no link. Ou se o certificado é exclusivo para esse computador específico, o que impede um homem no meio de interceptar esse certificado e usá-lo para posar como o site?

Obrigado antecipadamente.

security ssl ssl-certificate

por Brianb 31.07.2011 / 00:10

2 respostas

Tags security ssl ssl-certificate

Discos e montagens do CentOS mysqlcheck não suporta múltiplos comandos contraditórios

score 6 · Answer 1

O certificado apresentado no site inclui a chave pública do site, além de identificar informações e uma assinatura digital. Você usa a chave pública para criptografar informações, que por sua vez só podem ser diminuídas com a chave privada. A Assinatura digital é o que verifica se a informação veio somente do detentor da chave privada (verifica a identidade do site assinando com a chave privada). Usando a chave pública para criptografar dados, somente o detentor da chave privada (o site original que apresenta o certificado) seria capaz de descriptografá-lo. Então, ninguém mais seria capaz de descriptografar esses dados.

Como Zoredache aponta, você precisa das duas chaves para executar qualquer tipo de representação.

score 0 · Answer 2

Apenas alguns pontos para adicionar à resposta do @ Cheekaleak.

A Autoridade de Certificação (CA) é a entidade que emite um certificado para um servidor (entre outras coisas). Ao fazer isso, a CA assina com sua chave privada o conteúdo do certificado e adiciona sua assinatura.

Para indicar quem assinou o certificado, o certificado X.509 tem um Nome Distinto do Emissor nomeando a CA, além do Nome Distinto do Assunto identificando a entidade para a qual o certificado certificado é emitido.

As CAs possuem certificados de autoridade de certificação, ou seja, certificados que podem ser usados para emitir outros certificados (assinando o certificado emitido usando a chave privada correspondente à chave pública no certificado de autoridade de certificação e usando o DN de assunto do certificado de autoridade de certificação). cert Issuer DN). Isso cria uma hierarquia de CAs para End Entities (por exemplo, servidores) e pode haver certificados CA intermediários (por exemplo, um certificado CA usado para emitir outro certificado CA, que pode ser usado para emitir um certificado de entidade final). Os certificados de CA raiz na parte superior tendem a ser auto-assinados.

A maneira como os navegadores avaliam sua confiança em um determinado Certificado de Entidade Final (por exemplo, um certificado de servidor) é criando a cadeia de certificação entre o certificado EE e um certificado CA em que eles já confiam (âncoras confiáveis). A maioria dos sistemas operacionais / navegadores vem com um pacote de certificados confiáveis para o CA certs. (O segundo aspecto disso é que o navegador verifica se o certificado EE foi emitido para o nome do servidor ao qual deseja se conectar.)

O principal problema deste modelo vem do fato de você realmente não saber por que deve confiar nos certificados de CA que são configurados por padrão com o software que você obtém, porque uma autoridade mal-intencionada ou mal gerenciada que teria sua autoridade de certificação. O certificado em suas âncoras confiáveis pode emitir um certificado com o nome do site legítimo.