"Certificati CA attendibili" e "Certificati remoti attendibili"

I certificati CA affidabili sono convalidati da una terza parte, denominata Autorità di certificazione . In senso crittografico, le CA sono un'autorità di convalida trusted third party (TTP) in un public -key infrastructure (PKI) :

The primary role of the CA is to digitally sign and publish the public key bound to a given user. This is done using the CA's own private key, so that trust in the user key relies on one's trust in the validity of the CA's key. When the CA is a third-party separate from the user and the system, then it is called the Registration Authority (RA), which may or may not be separate from the CA. The key-user binding is established, depending on the level of assurance the binding has, by software or under human supervision.

In poche parole, forniscono una più facile fiducia di un client al server a cui si stanno connettendo e la root certificati (chiavi pubbliche CA) utilizzati per verificare che tali certificati emessi dalla CA vengano preinstallati su molti client Web (browser, client di posta elettronica, ...) per impostazione predefinita, il che significa che possono essere utilizzati in modo trasparente, dove non è richiesta una interazione utente aggiuntiva.

I livelli presunti di fiducia dell'utente finale nella connessione al server giusto si riducono generalmente a quello che viene chiamato tipo di convalida del certificato:

• Certificati convalidati dal dominio : questi sono i più frequenti, principalmente perché di solito sono i certificati emessi dalla CA più economici. Questi sono generalmente convalidati inviando un token di autenticazione via e-mail alla CA che emette il certificato e stanno solo convalidando il significato del loro nome - che l'utente si stia realmente connettendo al dominio per cui è stato rilasciato il certificato.
• Certificato convalidato dall'organizzazione : questi certificati contengono informazioni aggiuntive sull'organizzazione a cui sono registrati e, in alcuni casi, possono essere utili per stabilire la fiducia richiesta. La maggior parte dei client Web non assume una maggiore fiducia in tali certificati convalidati rispetto al dominio convalidato e non differenzia visivamente tra di essi .
• Certificato di convalida esteso : come suggerisce il nome, questi proprietari dei tipi di certificato sono convalidati in modo rigoroso. Non sono economici e dovrebbero fornire i massimi livelli di fiducia dell'utente finale che il proprietario del certificato è effettivamente quello a cui si suppone che si connettono. I criteri per il rilascio di tali certificati sono descritti in maggior dettaglio qui . Un ulteriore vantaggio è che sono anche chiaramente contrassegnati nella maggior parte dei client Web da una barra degli indirizzi verde, un lucchetto verde o simili.

Ora, ciò che descrivi come certificato remoto affidabile è anche noto (o forse meglio conosciuto) come certificato autofirmato , che l'utente finale installa manualmente nell'elenco dei certificati attendibili nei client Web che utilizzano per comunicare con il server che li emette. Cioè, a condizione che si fidino dell'emittente di tale certificato, dal momento che non prevedono alcuna convalida da parte di terzi del suo proprietario di alcun tipo. Sono comunque utili, in quanto possono essere utilizzati per crittografare la comunicazione tra il client e il server (più comunemente per crittografia dei livelli di trasporto ), ma il livello di fiducia è qualcosa che l'utente finale deve decidere. Tali certificati sono ovviamente gratuiti (cioè possono essere firmati da strumenti open source, come ad esempio OpenSSL ).