Perché i certificati del sito web sono sicuri?

8

Capisco come funzionano le connessioni HTTPS e capisco anche che richiedono un certificato per sapere che la connessione sicura che hai è con il server giusto (e non qualcuno che finge di essere il server giusto). La mia domanda è: come sono sicuri questi certificati? Perché è difficile falsificarli?

    
posta Paul Manta 04.12.2011 - 14:31
fonte

1 risposta

12

SSL si basa su crittografia a chiave pubblica / privata . Ciò significa che

  • tutto ciò che è crittografato con una chiave pubblica può essere decodificato solo con la chiave privata associata
  • la chiave privata può essere utilizzata per firmare un oggetto e tale firma può essere verificata con la chiave pubblica.

Un certificato è una chiave pubblica con informazioni sul proprietario ad esso allegato. Il proprietario può essere una persona o un dominio.

Quando visiti https://stackauth.com, il server presenterà il suo certificato al tuo browser . Il controllo del browser indica che il nome nel certificato corrisponde al nome del sito web che hai richiesto e se le date di scadenza sono valide.

Quindi il browser controlla se il certificato è stato firmato da un'autorità di certificazione che il browser conosce come affidabile . Chiunque crei un certificato falso ha la sfida di farlo firmare da un'autorità di certificazione che è considerata affidabile dai browser. Potrebbe esserci una catena di firme da parte delle autorità di certificazione intermedie che deve infine portarne a termine una fidata.

Se uno di questi controlli fallisce, il browser ti mostrerà un avviso e richiederà conferma. Se tutti i controlli vengono passati (o sovrascritti dall'utente), il browser utilizzerà la chiave pubblica del certificato per crittografare alcune informazioni che solo il server può decrittografare. Questa informazione viene utilizzata per impostare una sessione sicura in un paio di ulteriori passaggi.

I problemi principali con questo modello sono che le autorità di certificazione rappresentano il punto debole. Esiste un numero enorme di CA, che sono considerati direttamente o indirettamente dai browser comuni. Tutti possono emettere firme fasulle e questo è successo in passato più volte (es. Verisign , Comodo , Diginotar )

    
risposta data 04.12.2011 - 17:04
fonte

Leggi altre domande sui tag