Ho svolto alcuni lavori sui certificati SSL e ho scoperto che ci sono dei posti che ti fanno pagare per un certificato SSL, ma come ottengono i diritti per farlo? E, in che modo, possono entrare in un elenco di siti "fidati" che il browser può identificare come autentici?
Le grandi compagnie di browser (Google, Mozilla, Microsoft, Apple e Opera, principalmente) includono qualsiasi certificato radice delle autorità di certificazione che vogliono: non ci sono regolamenti o leggi governative che lo governano. Tuttavia esiste un organismo volontario chiamato CA / Forum del browser che stabilisce gli standard, e dal momento che tutte le società di browser elencati sopra sono membri, quindi in pratica un'autorità di certificazione deve soddisfare quegli standard per ottenere il certificato incluso.
Affinché un certificato possa essere accettato, deve esserci una catena di trust da un certificato di root nel trust store dei clienti.
In genere il certificato radice non viene utilizzato per firmare direttamente i certificati dell'entità finale. Invece viene creato un "certificato intermedio". Il vantaggio di questo è che i certificati intermedi possono essere revocati più facilmente se compromessi, ma un certificato intermedio compromesso è ancora un problema di sicurezza molto grave in quanto la revoca è un processo fragile.
Per ottenere il loro certificato di root incluso nel trust store dei principali browser, le CA devono impegnarsi a seguire determinate procedure e ad essere controllate. Sfortunatamente i controlli sono di utilità limitata perché è praticamente impossibile dimostrare che le copie della chiave privata per i certificati root o intermedi non esistono al di fuori dell'infrastruttura controllata.
Le CA con i loro certificati di base nel browser possono anche emettere certificati intermedi ad altre entità che rendono queste entità essenzialmente CA. Il titolare del certificato di base dovrebbe assumersi la responsabilità delle azioni dei suoi subordinati, ma di nuovo è praticamente impossibile dimostrare che le chiavi dei certificati intermedi sono ben controllate.
Recentemente i fornitori di browser hanno iniziato a interessarsi maggiormente delle attività delle CA e in particolare hanno iniziato a cercare attivamente certificati emessi in uso su Internet. Hanno anche introdotto un sistema chiamato "trasparenza del certificato" che, se applicato, richiederà alle CA di dichiarare pubblicamente i certificati prima di essere accettati come validi.
Alcuni siti che vendono certificati sono gestiti da CA che detengono certificati radice. Alcuni sono gestiti da organizzazioni che hanno certificati intermedi ma non certificati root. Molti sono solo i rivenditori che inoltrano richieste di certificati alle organizzazioni nelle prime due categorie.
Per essere inclusi nel "Certificate Store" contenente i riferimenti CA principali dei principali browser Web o fornitori di sistemi operativi (Apple, Microsoft, Mozilla, Linux), è necessario soddisfare gli standard del settore definiti dal Forum CABBrowser .
È inoltre richiesto che l'infrastruttura CA sia conforme ad altri aspetti come i processi (come ottenere un certificato, dove sono archiviate le chiavi private, come si certifica l'identità dei richiedenti, ecc.). Al fine di dimostrare la tua conformità, la tua CA verrà sottoposta a verifica. Tradizionalmente è fatto da una delle quattro grandi società di revisione. Questa procedura espansiva non è un processo una tantum; devi rinnovare regolarmente la tua certificazione.
Ad esempio, Mozilla ha definito la procedura seguente da includere nei loro browser web.
Leggi altre domande sui tag openssl certificates