Come si fidano gli emittenti di certificati?

13

Da quanto ho capito, lo schema di certificati su cui si basa TLS / SSL funziona perché il computer ha fiducia per i principali emittenti di CA incorporati.

Cioè, il tuo sistema operativo è installato con certificati per alcuni dei principali firmatari.

Ho così tante domande su questo, ma inizierò con le più elementari:

Ciò significa che è impossibile aggiungere per sempre nuove emittenti di certificati attendibili? È impossibile per uno avviare la propria CA radice senza il consenso dei produttori di computer?

Inoltre, che cosa impedisce a un utente malintenzionato di installare semplicemente certificati "attendibili" nei computer degli utenti?

    
posta CodyBugstein 04.12.2015 - 07:43
fonte

4 risposte

9

Is it impossible for one to start his or her own root CA without the consent of computer manaufacturers?

Tutti possono creare la propria CA e installarla su tutti i computer a cui ha il controllo. Non è insolito che le grandi aziende abbiano la propria CA interna.

Also, what is stopping an attacker from simply installing "trusted" certificates in people's computers?

Le misure di sicurezza esistenti dovrebbero in teoria rendere impossibile per un utente malintenzionato installare certificati aggiuntivi sul proprietario di macchine da parte di altri. Ma se l'hacker riesce a ottenere l'accesso alla macchina (malware, accesso fisico, gestione del venditore ...) è possibile aggiungere un'altra CA affidabile. Questo in realtà è fatto in pratica, vedi Superfish .

Oltre agli attacchi, la nuova CA radice affidabile viene in genere aggiunta nelle aziende per supportare la propria infrastruttura o per rendere possibile l'analisi del traffico SSL nei firewall (intercettazione SSL). Per l'analisi SSL anche diverse soluzioni antivirus personali installano tali nuovi certificati di root.

    
risposta data 04.12.2015 - 08:01
fonte
5

Does this mean it is impossible to add new trusted certificate issuers forever? Is it impossible for one to start his or her own root CA without the consent of computer manaufacturers?

È possibile creare una nuova CA e aggiungere i relativi certificati all'elenco di fiducia con la collaborazione dei produttori. Questo potrebbe essere il produttore del computer, il produttore del sistema operativo o il produttore del browser. Ad esempio, l'iniziativa letsencrypt.org richiederebbe ai browser di aggiungere il certificato nell'elenco di fiducia (che sarà fatto).

È anche possibile rimuovere una CA da un elenco di fiducia. Questo è successo di recente .

Giusto per chiarire, come altri utenti hanno menzionato che un utente può sempre creare i propri certificati e fidarsi di loro. Questo li rende una CA, ma questa non è una buona idea in quanto sconfigge lo scopo di una CA (una terza parte che verifica la legittimità di un certificato). In questi giorni ci sono progetti come LetCrypt che sperano di rendere facile e molto economico per le persone ottenere l'accesso ai certificati per i loro domini che sono considerati affidabili dai produttori. Davvero un segno dei tempi!

Also, what is stopping an attacker from simply installing "trusted" certificates in people's computers?

Qualsiasi utente con privilegi di amministratore può aggiungere un certificato fidato su un sistema. Oltre a ciò per i browser, qualsiasi utente può semplicemente dire al proprio browser di fidarsi sempre di un certificato.

Dell lo ha fatto di recente preinstallando un certificato si sono creati da soli e includono accidentalmente la chiave privata.

    
risposta data 04.12.2015 - 08:06
fonte
4

Does this mean it is impossible to add new trusted certificate issuers forever? Is it impossible for one to start his or her own root CA without the consent of computer manaufacturers?

Come può la mia organizzazione diventare una CA root?

what is stopping an attacker from simply installing "trusted" certificates in people's computers?

È richiesto il privilegio di amministratore per aggiungere il certificato sul tuo sistema. Sul computer Windows, è possibile controllare i certificati installati digitando certmgr.msc nella finestra di dialogo "Esegui". Qui puoi vedere tutti i certificati preinstallati sul tuo sistema. Puoi aggiungere i tuoi certificati autofirmati ma devi fare attenzione prima di farlo. Qual è il rischio di utilizzare SSL autofirmato?

    
risposta data 04.12.2015 - 07:58
fonte
1

Does this mean it is impossible to add new trusted certificate issuers forever? Is it impossible for one to start his or her own root CA without the consent of computer manufacturers?

Non è impossibile aggiungere per sempre un nuovo certificato di fiducia.
È possibile avviare la propria CA. Ma il solo problema è che non puoi installarlo su tutti gli altri computer senza il consenso dei produttori o dei produttori di hardware o software (browser e software normalmente).

Also, what is stopping an attacker from simply installing "trusted" certificates in people's computers?

Le misure di sicurezza a bordo come i privilegi dell'utente, quelle esterne come il software antivirus e le misure di sicurezza del browser assicurano che i certificati indesiderati non siano installati nei nostri sistemi.

    
risposta data 04.12.2015 - 14:41
fonte

Leggi altre domande sui tag