Lascia che ti spieghi tramite un esempio pratico.
Ci sono un insieme di Autorità di certificazione (CA) che i browser considerano implicitamente attendibili. È possibile visualizzare l'elenco di CA attendibili nel browser. Per es. le CA fidate dal browser Chrome sono disponibili nel menu "Menu chiave inglese > Preferenze > Sotto la cappa > HTTPS / SSL (Gestisci certificati) > Autorità".
Quindi, il certificato che mail.google.com presenta al tuo browser è 'firmato' da Thawte SGC CA. Questa CA è implicitamente attendibile dal browser. Queste CA emetteranno i certificati solo dopo una verifica approfondita (e manuale).
Tu e io non possiamo ingannare Thawte o Verisign per firmarci un certificato falso per google. Anche se tali casi si verificano , ma sono rari e richiedono per lo più un aiuto da parte di esperti.
Ora, sul tuo computer, puoi procedere e creare certificati indicando che sono di Google. com. Ma questi certificati sono "autofirmati" e non saranno considerati attendibili dal browser perché la CA (tu) non si trova nell'elenco dei certificati attendibili. In questo caso, il browser ti mostrerà l'avviso del certificato.
Quindi, ora per rispondere alla tua domanda, ci sono un paio di modi in cui vengono creati certificati falsificati (o fatti funzionare):
-
Proprio come ho detto sopra, una persona può ingannare una CA (che è attendibile dal browser) per rilasciare un certificato per un sito che non appartiene a te. Per questo motivo le persone rimuovono spesso manualmente le CA di fiducia dal proprio elenco. Dio sa quali procedure segue quell'AC in quel paese mai sentito. Ho visto persone paranoiche che rimuovono CA dall'elenco dei browser attendibili.
-
La CA viene violata (o è stata creata per emettere falsi certificati). In tale caso puoi rilasciare certs a la tua volontà. Per non parlare, tali CA cessano immediatamente l'attività una volta trovato questo.
-
Puoi anche avere un falso certificato "autofirmato" di google.com e continuare a ignorare il controllo di sicurezza del browser se aggiungi la tua CA alla lista di fiducia del browser. Le aziende possono farlo. Ho visto (e lavorato a) aziende in cui lo fanno apertamente per "ragioni di conformità". Dal momento che le macchine desktop sono sotto il loro controllo, installano la propria CA nell'archivio attendibile del browser e presentano un browser falso di Gmail al browser, quale browser si fida e intercetta felicemente TUTTE le conversazioni / email.
In tutti i casi - che cosa ottieni contraffando un certificato: puoi MITM (Man in the middle) il server e il computer degli utenti e decrittografare la sessione SSL.
Ho lasciato molte sfumature più minuziose nella creazione di un certificato nella mia descrizione sopra per presentare un quadro generale. Puoi leggere la Cert Patrol e perspectives per vedere come puoi evitare di cadere vittima di un falso certificato anche se la sua CA è nell'elenco dei browser attendibili.
Puoi anche leggere blocco dei certificati che può aiutare a prevenire tali dirottamenti del certificato.