Một người bạn của tôi đã hỏi tôi lý do tại sao chúng tôi trả quá nhiều cho chứng chỉ SSL nếu mọi người có thể đưa ra lý thuyết. Tại sao thực sự? Và làm cách nào để chúng tôi đánh giá liệu khóa nhỏ trong trình duyệt có thực sự đáng tin cậy không?tại sao chúng tôi tin tưởng chứng chỉ SSL?
Chứng chỉ được ký bằng mật mã bởi một cái gì đó được gọi là Tổ chức phát hành chứng chỉ (CA) và mỗi trình duyệt có danh sách các CA mà nó hoàn toàn tin tưởng. Các CA này là các thực thể có một bộ khóa mã hóa có thể được sử dụng để ký bất kỳ chứng chỉ nào, thường là một khoản phí. Bất kỳ chứng chỉ nào được ký bởi CA trong danh sách đáng tin cậy sẽ cung cấp khóa trên trình duyệt vì nó được chứng minh là "đáng tin cậy" và thuộc về miền đó.
Bạn có thể tự ký chứng chỉ, nhưng trình duyệt sẽ cảnh báo bạn rằng người ký không đáng tin cậy bằng cách hiển thị hộp lỗi lớn trước khi cho phép bạn vào hoặc hiển thị biểu tượng khóa bị hỏng.
Ngoài ra, ngay cả chứng chỉ đáng tin cậy cũng sẽ báo lỗi nếu nó được sử dụng cho miền không đúng hoặc được sửa đổi để bao gồm tên miền khác. Điều này được đảm bảo bởi vì chứng chỉ bao gồm các tên miền được phép sử dụng, và nó cũng có một kiểm tra mật mã/vân tay để đảm bảo tính toàn vẹn của nó.
Hiện tại không an toàn 100% vì có khả năng chứng chỉ CA giả sử dụng MD5, xem liên kết này: http://www.phreedom.org/research/rogue-ca/. Mặc dù nó phải được lưu ý rằng điều này là khá khó khăn, khi họ khai thác một điểm yếu trong một CA đã tồn tại, mà có thể hoặc có thể không có được đóng cửa ngay bây giờ.
Về bản chất, chúng tôi tin tưởng các chứng chỉ nhiều như chúng tôi tin tưởng rằng các nhà cung cấp trình duyệt của chúng tôi biết cách chọn các CA "thích hợp". Những CA này chỉ đáng tin cậy về danh tiếng của họ, vì một sai lầm duy nhất về mặt lý thuyết sẽ là một cú đánh rất nặng nề về sự tin cậy của họ nếu được phát hiện.
Bởi vì chúng ta phải tin tưởng ai đó.
Chứng chỉ SSL đáng tin cậy có chữ ký của các cơ quan đáng tin cậy. Ví dụ, VeriSign có một thỏa thuận với Microsoft, rằng chứng chỉ của họ được xây dựng trong trình duyệt của bạn. Vì vậy, bạn có thể tin tưởng mọi trang với một chứng chỉ tin cậy VeriSign.
đồ họa này thực sự chọn điểm:
phác thảo Rough : Chúng tôi er áp dụng cho giấy chứng nhận với khóa công khai của mình tại số cơ quan đăng ký (RA). Sau đó, số xác nhận danh tính của người dùng là cơ quan cấp chứng nhận (CA) mà lần lượt cấp chứng chỉ. Sau đó, người dùng có thể ký điện tử hợp đồng bằng chứng chỉ mới của mình. Bản sắc của mình sau đó được kiểm tra bởi bên ký kết với xác nhận thẩm quyền (VA), một lần nữa nhận được thông tin về giấy chứng nhận đã phát hành của cơ quan cấp chứng nhận.
Hình ảnh đẹp, nhưng không có giải thích nào mất nhiều mục đích. – tehvan
Tại sao chúng ta phải tin tưởng ai đó? Tại sao chúng ta không thể không tin tưởng bất cứ ai, và hiểu rằng lợi ích của SSL chỉ rằng các cuộc hội thoại giữa khách hàng và máy chủ không thể dễ dàng giảm xuống? Bên cạnh đó, làm thế nào nó có ý nghĩa cho trang web Một trả tiền cho một người nào đó cá nhân tôi không biết để được an toàn hơn so với một trang web mà không trả tiền cho một người nào đó tôi không biết? – Dmitry
Nếu bạn không sử dụng một trong những CA được chấp nhận, mọi người sẽ nhận được một hộp thông báo khi truy cập trang web nói về chứng chỉ không đáng tin cậy. Điều đó sẽ không giúp tạo lưu lượng truy cập đến trang web.
Khóa chỉ có nghĩa là chủ sở hữu trang web đã hiển thị CA một loại bằng chứng nào đó mà anh ấy thực sự là người mà anh ấy tuyên bố là. Bạn phải tự mình đánh giá nếu bạn tin tưởng người đó/trang web đó.
Giống như một người lạ hiển thị cho bạn ID ảnh. Bạn có tin tưởng anh ta nhiều hơn bởi vì bạn biết chắc chắn tên anh ấy là John Doe? Chắc là không.
Nhưng khi những người bạn tin tưởng đã nói với bạn: "John Doe" là một người tốt. Bằng chứng rằng anh chàng trước mặt bạn thực sự là "John Doe", hơn bạn có thể chọn để tin tưởng anh ta là tốt.
Chứng chỉ được xây dựng trên một chuỗi niềm tin và nếu để cho bất kỳ ai là cơ quan ký, chúng tôi sẽ hoàn toàn tin tưởng mọi người. Đó là một chút đáng sợ ngày hôm nay mặc dù, kể từ khi có hơn 200 cái gọi là "cơ quan đáng tin cậy" có certs được xây dựng vào trình duyệt của bạn!
Có một CA miễn phí mà tôi biết mặc dù: StartCom. Họ phát hành chứng chỉ SSL miễn phí, nhưng chúng chỉ được chấp nhận trong Firefox chứ không phải IE. (Không chắc chắn về Safari hoặc Opera).
Toàn bộ doanh nghiệp của CA thật tuyệt vời. Tôi đã mua một vài chứng chỉ từ rapidssl.com và tất cả "bằng chứng" mà họ yêu cầu là:
Đó là nó. Hãy ghi nhớ, khi tin tưởng vào các ổ khóa nhỏ trong trình duyệt.
Chỉ cần FYI, RapidSSL là CA đã được khai thác trong cuộc tấn công MD5/SSL. Họ đã được chọn vì họ phát hành chứng chỉ với ID có thể dự đoán được, tuần tự. –
Cảm ơn thông tin. Tôi đã chọn chúng vì chúng tương đối rẻ tiền.May mắn là tôi không chạy bất kỳ công cụ cấp ngân hàng nào, chỉ muốn giữ trình duyệt yên lặng trong khi sử dụng ssl. –
Có một lý do chứng chỉ gốc của RapidSSL bị xóa khỏi trình duyệt của tôi - tôi chỉ đơn giản là không tin tưởng chúng. – MSalters
Bạn trả tiền cho một giấy chứng nhận để khi bạn đi HTTPS (mà bạn nên cho bất cứ điều gì một chút nhạy cảm) khách hàng của bạn không nhận được cảnh báo lớn và đi gọi hỗ trợ của bạn nói rằng bạn đã bị nhiễm chúng & al ...
Rất ít bảo mật, rất nhiều FUD.
Nếu bạn có khả năng cung cấp trực tiếp cho khách hàng của mình chứng chỉ của riêng bạn, hãy làm điều đó. Nhưng đó là một trường hợp hiếm hoi.
Thứ nhất, một số nền tảng về công mạnh mẽ/mật mã khóa bí mật, mà SSL dựa trên:
Một khóa có hai phần, phần tư nhân và một phần nào. Khóa công khai có thể được sử dụng để mã hóa tài liệu yêu cầu khóa riêng để giải mã. Điều này cho phép sử dụng các kênh giao tiếp mở để giao tiếp an toàn.
Một khía cạnh quan trọng của mật mã khóa công khai/riêng tư là khóa riêng tư có thể được sử dụng để ký điện tử một thư có thể được xác minh bằng khóa công khai. Điều này cho phép người nhận tin nhắn khả năng xác minh cụ thể rằng thông báo họ nhận được được gửi bởi người gửi (người giữ chìa khóa).
Chìa khóa để chứng chỉ SSL là bản thân các khóa mã hóa có thể được ký điện tử.
"Chứng chỉ" bao gồm cặp khóa công khai/riêng tư cũng như dữ liệu được ký điện tử. Khi ai đó mua chứng chỉ SSL, họ tạo khóa riêng/khóa công khai và gửi khóa công khai tới Tổ chức phát hành chứng chỉ (CA) để được ký.CA thực hiện mức độ thẩm định phù hợp đối với người mua chứng chỉ SSL và ký giấy chứng nhận với khóa riêng của họ. Chứng chỉ SSL sẽ bị ràng buộc vào một trang web hoặc tập hợp trang web cụ thể và về cơ bản là CA cho biết rằng họ tin tưởng chủ sở hữu khóa cá nhân của chứng chỉ là chủ sở hữu chính xác của các trang web đó.
Chứng chỉ gốc (khóa công khai và siêu dữ liệu khác) cho CA đáng tin cậy được bao gồm theo mặc định trong trình duyệt vận chuyển chính và hệ điều hành (trong cửa sổ, nhập "certmgr.msc" vào lời nhắc chạy để xem trình quản lý chứng chỉ) . Khi bạn kết nối với máy chủ web bằng SSL, máy chủ sẽ gửi cho bạn chứng chỉ SSL bao gồm khóa công cộng và dữ liệu meta khác, tất cả đều được ký bởi CA. Trình duyệt của bạn có thể xác minh tính hợp lệ của chứng chỉ, thông qua chữ ký và chứng chỉ gốc được tải sẵn. Điều này tạo ra một chuỗi tin cậy giữa CA và máy chủ web mà bạn đang kết nối đến.
Tại sao? Bởi vì bạn đang trả tiền để đi dọc theo ai đó danh tiếng elses .... để xác nhận cho bạn.
Tất cả về việc xác thực quyền sở hữu của bạn là bạn. Mặc dù một số phim tài liệu mà tôi đã xem gần đây, và cuộc suy thoái, tôi vẫn có nhiều khả năng tin tưởng vào công ty Mỹ khi họ xác nhận danh tính của bạn với tôi, hơn tôi là mafia Nga. Mặc dù cả hai có thể dễ dàng cấp chứng chỉ.
Số tiền bạn trả về cơ bản chỉ là (chi phí để bảo đảm danh tiếng đó và/hoặc ngăn chặn bất kỳ vi phạm an ninh nào) + (tuy nhiên họ có thể đủ khả năng để thanh toán thị trường dưới dạng%).
Bây giờ các rào cản để nhập cảnh khá cao, cos nó thực sự đắt tiền để kiếm được sự tin tưởng đó, vì vậy không có nhiều cạnh tranh. Vì vậy rất có thể là giá sẽ không giảm bất cứ lúc nào sớm .... trừ khi Sony hoặc GE vv quyết định chơi.
Các câu trả lời khác đã giải thích về hệ thống CA. Dự án quan điểm nhằm mục đích triển khai một phương pháp tiếp cận mới cho SSL, nơi bạn có thể chọn ai để tin tưởng: http://perspectives-project.org/
Có thể, nhưng vẫn vô cùng khó khăn. Họ đã khai thác thực tế rằng nhà phát hành SSL của họ đang sử dụng ID tuần tự trên các chứng chỉ được phát hành và rất may là hầu hết họ không làm điều đó. Nó cũng mất 2 tuần của cranking trên một tấn PS3 để tạo ra vụ va chạm, và phải mất 4 lần thử trước khi họ có may mắn. –
Tôi sẽ làm rõ rằng nó khó, nhưng đáng chú ý là nó đã được thực hiện. =) –
Tôi nghe nói rằng có thể giả mạo toàn bộ chuỗi chứng chỉ càng nhiều. Đối với ai đó kiểm soát đường lên (ví dụ: đối với quản trị viên xây dựng doanh nghiệp) thì không khó để phân phối giả mạo Firefox (ví dụ) với các Root Root giả tạo cho nó, và sau đó chuyển hướng lưu lượng HTTP sang phân phối giả này. Kết quả là, người dùng bắt đầu bằng trình duyệt với Root CA. Bất kỳ khi nào phiên SSL được bắt đầu, các chứng chỉ sẽ được thay thế (thậm chí được tạo khi đang di chuyển) nếu yêu cầu đến từ một ứng dụng khách giả mạo. Có tất cả các quản trị viên khóa riêng có thể giám sát toàn bộ lưu lượng truy cập. –