Come vengono confrontati i certificati digitali?

I certificati sono firmati e la firma crittografica è verificata; se la firma corrisponde, i contenuti del certificato sono esattamente come erano quando il certificato è stato firmato. Questo, ovviamente, non risolve il problema, si limita a spostarlo. La struttura completa è chiamata PKI . I certificati preinstallati nel tuo computer (forniti con il sistema operativo o il browser) sono i certificati CA radice , cioè le chiavi pubbliche che conosci "a priori" e da cui inizi tutte le verifiche della firma processo.

Per rendere la storia breve, se qualche entità ostile potrebbe inserire una CA radice canaglia nel tuo computer, allora perdi. Naturalmente, nelle stesse condizioni, lo stesso attaccante ostile (ad esempio un virus) potrebbe alterare il codice del browser e dirottare i dati da esso, o registrare tutti i tuoi colpi di chiave o, più in generale, completamente oscurarti in mille modi. Quando un virus viene eseguito sul tuo computer, sei già al di là della redenzione.

Inserire una CA radice fasulla è, in effetti, un modo piuttosto scadente per attaccare le persone, perché potrebbero notarlo. L'iniezione di uno spioncino di dati all'interno delle interiora del browser non richiede molto sforzo aggiuntivo, può essere eseguito nelle stesse condizioni e si traduce in una distruzione della tua sicurezza e molto più completa.

Se un virus installa un nuovo certificato di root sul tuo computer e un sito web falsificato presenta un certificato con una catena di firma valida da quel certificato di origine, il tuo computer lo accetterà come certificato valido. Ma questo non dovrebbe essere visto come un problema con SSL / TLS - se hai un virus con quel livello di accesso, allora ci sono molti modi in cui puoi ottenere le tue informazioni, e lo spoofing di un certificato di root è in realtà uno dei meno probabilmente.