Quais são os benefícios de usar certificados em conformidade?

1

Recentemente, meu host da web começou a enviar ao meu cliente de e-mail um certificado raiz auto-assinado sem nenhum campo preenchido (tudo indica "Desconhecido") ao se conectar via SSL. Tenho certeza que isso não é uma coisa boa, mas desde que funciona, o cara do suporte técnico diz que está tudo bem.

Eu não sou um guru certificado, então estou me voltando para vocês. Qual finalidade os certificados servem? É realmente certo que o certificado tenha todos os campos definidos como "Desconhecido"? Eu não verifico os certificados com frequência, mas não me lembro de ter recebido um root; qual é a diferença entre um certificado raiz e, err, o outro tipo de certificado?

    
por zneak 30.01.2011 / 07:35

1 resposta

1

O valor que uma autoridade de certificação confiável adiciona é que eles realizam (ou devem) algum esforço para verificar a identidade da entidade para a qual eles emitem um certificado. Quando seu programa de e-mail ou navegador da Web obtém um certificado adequado do ISP, ele pode verificar se foi emitido pela CA em questão e é válido para o site. Ou como Wikipedia diz:

A CA's obligation in such schemes is to verify an applicant's credentials, so that users and relying parties can trust the information in the CA's certificates. CAs use a variety of standards and tests to do so. In essence, the Certificate Authority is responsible for saying "yes, this person is who they say they are, and we, the CA, verify that".

If the user trusts the CA and can verify the CA's signature, then he can also verify that a certain public key does indeed belong to whoever is identified in the certificate.

Agora, se o seu ISP transmitir a você por algum confiável significa um novo certificado raiz e pede para você importá-lo, e então eles sempre transmitem o certificado raiz ou um certificado que volta à sua raiz, você não está realmente perdendo muito mais do que usar um terceiro confiável. O principal perigo aqui é que alguém invada o servidor cert do ISP e emite alguns certificados que eles podem usar para um ataque.

No entanto, se o ISP estiver inventando certificados aleatoriamente e dizendo para você clicar em qualquer aviso que aparecer, você pode ter um problema maior. Considere que, se alguém quiser executar um ataque homem no meio , ele poderá criar um ataque aleatório. certificado e enviá-lo para você no lugar do certificado do ISP. Você não tem uma boa maneira de dizer se é realmente do seu ISP ou do seu atacante. De fato, se você está acostumado a obter certificados raiz auto-assinados, provavelmente irá apenas clicar em qualquer aviso de que o software pode aparecer. Nesse ponto, o invasor pode detectar seu tráfego criptografado e saber sua senha ou o que ele estiver procurando.

Você pode querer ver o artigo da Wikipedia sobre autoridades certificadas intermediárias .

    
por 30.01.2011 / 08:25