Perché SSL utilizza una terza parte (autorità di certificazione) ma SSH non [duplicato]

9

Le operazioni SSL richiedono l'utilizzo di una terza parte affidabile: l'autorità di certificazione per verificare una chiave pubblica presentata da un server a un client.

SSH d'altro canto si basa sul client che ha la chiave pubblica del server con altri mezzi (ad esempio, accedendo fisicamente dal server e salvandolo sul client).

Perché questi protocolli hanno una tale differenza nei meccanismi operativi? Voglio dire che potrebbero entrambi utilizzare l'approccio di terze parti che a me sembra più user-friendly e possibilmente più sicuro.

    
posta Minaj 12.06.2016 - 03:20
fonte

2 risposte

14

Perché sono usati in modo diverso. I certificati TLS / SSL x509 utilizzati comunemente in HTTPS vengono utilizzati per connettersi a sistemi pubblici, ovvero a sistemi a cui accede un numero elevato di persone, la maggior parte dei quali non aveva una precedente connessione out-of-band con il proprietario del sistema. / p>

SSH, d'altra parte, vengono principalmente utilizzati per accedere ai sistemi privati da un piccolo numero di amministratori di server che hanno avuto accesso precedente al sistema per configurare le chiavi del server o altre forme di accesso fuori banda al sistema per verificare l'impronta digitale della chiave del server.

Si noti che il modello SSH non è sicuro se non si verifica che l'impronta digitale della chiave presentata dal server corrisponda a quanto previsto prima della connessione. In TLS, la responsabilità di controllare la proprietà dell'impronta digitale della chiave viene scaricata in Autorità di certificazione (CA).

TLS può anche essere utilizzato con un certificato autofirmato o con una CA privata, che funziona come modello di affidabilità simile a SSH.

    
risposta data 12.06.2016 - 03:45
fonte
2

Ai fini dell'autenticazione di un server a un utente che effettua la connessione, la differenza nell'implementazione che hai osservato non è propriamente tecnica. In particolare:

  • SSL non richiede l'uso di una terza parte attendibile ー è possibile utilizzare SSL con certificati autofirmati (che equivarrebbe a come funziona l'autenticazione delle chiavi SSH).

  • SSH può utilizzare un metodo di autenticazione del server che non si basa sulla verifica umana (vedi Kerberos ).

La differenza è come, per cosa e da chi vengono utilizzati i due protocolli:

L'attuale infrastruttura PKI SSL globale è destinata a un numero enorme di utenti tecnicamente non esperti per i quali fornisce un modo per verificare i servizi pubblici.

SSH in confronto ha un utilizzo molto limitato e non è destinato al pubblico in generale. L'onere di stabilire un trust centrale (anche Kerberos per le organizzazioni più piccole) è grande rispetto al valore guadagnato.

    
risposta data 12.06.2016 - 03:50
fonte

Leggi altre domande sui tag