Por que o certificado de chave pública de um servidor da Web precisa ser assinado por uma autoridade de certificação?

9

Em outras palavras, qual seria o risco de segurança de não assinar certificados de chave pública pelas autoridades de certificação (da perspectiva do usuário)? Quero dizer, os dados ainda estão criptografados ... O que um homem do meio poderia fazer com um certificado não assinado?

— Olivier Lalonde
fonte

Eles podem gerar seu próprio certificado com exatamente as mesmas informações. Como o usuário diz a diferença?

— pjc50

@ pjc50: olhando o caminho do certificado. Um certificado não autoassinado terá um caminho de certificado. Se esse caminho levar a uma raiz confiável, o certificado é confiável, caso contrário, não é. Obviamente, você pode adicionar raízes confiáveis adicionais (fiz isso para minha própria CA, para que eu possa criar facilmente certificados para uso local).

— Richard

13

O objetivo do SSL quando usado com HTTP não é apenas criptografar o tráfego, mas também autenticar quem é o proprietário do site e que alguém está disposto a investir tempo e dinheiro para provar a autenticidade e propriedade de seu domínio.

É como comprar um relacionamento, não apenas criptografia, e o relacionamento incute, ou pressupõe, um certo nível de confiança.

Dito isto, fiz uma pergunta semelhante há alguns meses, e a resposta básica que voltou foi "SSL é um pouco de fraude"

— Mark Henderson
fonte

Eu pensei que os certificados SSL foram emitidos para IPs, não domínios. Por que você precisou de certificados diferentes para domínios hospedados no mesmo IP? Além disso, a página da Wikipedia em HTTPS menciona que é possível obter certificados de graça ... Os negócios da CA realmente me parecem uma farsa.

— Olivier Lalonde

2

Certos são emitidos para domínios. Não há nada que impeça a geração de um certificado autoassinado; ele apenas exibirá um aviso assustador (que as pessoas não vão ler) porque o navegador não confia na CA de emissão. A questão "SSL múltiplo em um IP" foi discutida várias vezes aqui. Aqui está um tópico com uma boa resposta serverfault.com/questions/73162/…

— Zypher

Obrigado Zypher, você tirou as palavras da minha boca :) E certificados para domínios, não IPs. Temos três endereços IP para três servidores que atendem nosso site mais pesado e todos eles têm o mesmo certificado carregado.

— Mark Henderson

8

Imagine uma situação em que você deve entregar US $ 1.000.000 a uma pessoa chamada John Smith com quem você nunca conheceu ou se comunicou. Você foi informado de que pode encontrá-lo em um local público lotado. Quando você vai encontrá-lo, precisará de alguma maneira de ter certeza de que ele é realmente a pessoa que você procura, e não outra pessoa aleatória que afirma ser John Smith. Você pode pedir uma identificação do governo, um cartão de visita. Você pode pedir a uma pessoa em quem confie que realmente conheceu o John Smith para ajudá-lo a identificá-lo.

Um certificado autoassinado identifica exclusivamente um sistema, mas não faz nada para provar que o sistema é quem ele afirma ser. Posso assinar com facilidade um certificado e reivindicar ser serverfault.com, google.com ou yourbank.com. As autoridades de certificação agem basicamente como uma terceira parte de confiança do cliente para verificar se um certificado é realmente válido para o nome que o site afirma possuir.

— Zoredache
fonte

2

O negócio de SSL é realmente um pouco de embuste. Mais do que um pouco, de fato, quando você está pagando cerca de 20p por byte para alguns dados criptograficamente interessantes. O que você está pagando é a CA que você usar para assinar seu certificado com uma de suas chaves privadas, depois de provar a si mesmo que tem o direito de usar o nome de domínio / host para o qual o certificado se destina. Como Farseeker diz, é uma relação de confiança - a CA confia em você (depois de examiná-lo), os navegadores da Web em todo o mundo confiam na CA (geralmente) e, portanto, os navegadores da Web em todo o mundo confiam no seu certificado. E não me inicie sobre a validação estendida ...

— RainyRat
fonte