cacert.org è più dannoso dell'auto-firma?

Naviga le tue risposte
7

Non capisco il modello di sicurezza https da me provato da The OpenBSD Journal (undeadly.org).

Invece di utilizzare certificati autofirmati per https come in passato, per un certo periodo hanno firmato certificati di 6 mesi dalla CA radice, che sembrano cambiare almeno in qualche modo prontamente. Immagino che cacert.org abbia qualche tipo di limite di 6 mesi per i certificati?

Come utente non-morto.org, dovrei accettare ciecamente un nuovo certificato ogni 6 mesi?

Importa Autorità di certificazione CA Cert CA principale dal link nel mio browser?

Chiedi invece agli amministratori di fare un percorso autofirmato, creando un certificato per forse da 2 a 10 anni, che dovrei accettare solo una volta?

P.S. Sembra che cacert.org sia stato incluso in cert.pem e ports / security / nss a un certo punto, ma è stato successivamente rimosso il 2014/04/09 e il 2014/04/29, rispettivamente, a seguito di un licenza di ridistribuzione recensione di incompatibilità.

    
posta cnst 16.04.2015 - 19:20
fonte

2 risposte

3

Il modello PKI funziona sulla fiducia che puoi dare alla terza parte iniziale. Vale a dire, la CA principale. Se ti fidi della CA radice, dovresti importare il loro certificato di origine, in modo che qualsiasi certificato emesso (segno) venga automaticamente accettato dal tuo sistema.

Se non ti fidi della CA, beh non c'è più niente che puoi fare. Allora perché ti fidi di CAcert.org ? Bene, puoi dare un'occhiata al loro sistema Web of Trust, dove puoi ottenere la certezza sui certificati (non entrerò nei dettagli qui). Un'altra domanda è: perché ti fidi degli altri certificati di root già presenti sulla tua macchina più di cacert?

Quindi alla domanda è più affidabile di uno autofirmato? Bene, potresti sostenere che il processo coinvolge almeno due persone, la CA e il sito web. A meno che non siano complice, di solito è meglio di solo autofirmato. Naturalmente, tutto si basa sulla fiducia che puoi concedere alla CA.

    
risposta data 17.04.2015 - 09:24
fonte
1

Affidarsi a una CA significa affidarsi alla CA per tutti i certificati emessi da questa CA. Ma poiché tutte le CA vengono trattate allo stesso modo dal browser (ad eccezione dei certificati EV), qualsiasi CA può creare un certificato per qualsiasi sito. Ciò significa che è sufficiente se una singola CA attendibile non è affidabile come necessario e questo tipo di problemi di affidabilità successo diversi volte nel blogspot.ro/2013/12/further-improving-digital-certificate.html">past.

E poiché ci sono già problemi con le CA attualmente attendibili dalla maggior parte dei browser, ci si potrebbe pensare due volte prima di importare una CA come attendibile che provato ma non riuscito da aggiungere come attendibile ai browser e ai sistemi operativi.

D'altra parte, se si accetta solo un certificato autofirmato senza verificarlo correttamente, allora si è vulnerabili. È possibile effettuare una verifica corretta ottenendo l'impronta digitale dei certificati da una fonte attendibile tramite un trasporto a prova di manomissione e quindi confrontandolo con l'impronta digitale mostrata dal browser. Se esegui la verifica in questo modo, un certificato autofirmato può essere effettivamente più affidabile di un certificato emesso da una delle CA attendibili nel browser.

    
risposta data 17.04.2015 - 12:38
fonte

Leggi altre domande sui tag

Come funziona WifiKill? Come funziona l'attacco OpenSSL Alternative chains forgery certificate (CVE-2015-1793)?