Perché CAcert non è considerato affidabile dal mio browser?

Naviga le tue risposte
4

Sono abbastanza nuovo per la crittografia e SSL. Oggi ho cercato su Google un po '(leggi alcuni atricles sulla sicurezza) e ho incontrato il sito link . Ho cliccato e sono rimasto sorpreso. Chrome mi ha mostrato un errore "non affidabile". Il certificato SSL sembra non essere valido. Ho cercato il certificato e mi ha mostrato che l'agenzia di certificazione non ha più fiducia. Ho alcune domande ora:

  • CAcert non è un'agenzia di certificazione?
  • Perché è così?
  • Potrebbe essere questo un approccio di attacco? (MITM)
  • Che cosa posso fare?
  • Dove posso ottenere ulteriori informazioni?
posta licklake 09.06.2016 - 08:53
fonte

2 risposte

7

In caso di cacert.org, stanno presentando un certificato autofirmato ed è per questo che il tuo browser si lamenta. Non esiste una catena di fiducia che conduce dal certificato a una CA radice di cui ti fidi.

Se si stesse utilizzando una distribuzione Linux fornita con il certificato preinstallato, non si vedrebbe un avviso. Si potrebbe dedurre che usando un tale sistema ti fidi della comunità.

Nel caso di altri sistemi operativi, ci si fida della PKI pubblica supportata (e fornita sotto forma di archivio di certificati radice incorporato nei propri prodotti) da Microsoft, Apple, Google o Mozilla.

Cacert.org è al di fuori di questa infrastruttura ed è per questo che viene visualizzato un avviso.

Perché?

La loro decisione "aziendale". Sono liberi di fare ciò che vogliono quando forniscono servizi web. Potrebbero chiedere agli utenti di installare la CA radice, potrebbero investire denaro e ottenere un certificato firmato per il loro sito Web, oppure non investire e ottenere un certificato di permesso di crittografia gratuita * .

Hanno scelto il primo modello, apparentemente perché si adatta al loro scopo e all'idea "mangia il tuo cibo per cani".

Che cosa puoi fare?

Dipende da cosa vuoi fare. Puoi accedere al sito con link e leggere.

Se vuoi accedervi con HTTPS, puoi visualizzare il certificato fornito, esaminarlo tu stesso. Quindi prendi la decisione tua di fidarti di esso.

La parte difficile è che in effetti potrebbe essere un attacco MitM, quindi devi confrontare la firma dell'impronta digitale del certificato che hai ottenuto con una firma ottenuta tramite un'altra connessione attendibile. Pubblicano le impronte digitali qui ma fino a quando non ti fidi di loro, non puoi davvero fidarti del fatto che il sito appartenga a vero allora. Catch 21.

Potresti confermare la firma con un'altra fonte di cui ti fidi (amico, o semplicemente cercare su google l'impronta digitale che hai ottenuto e valutare, se è ovunque affidabile, ha possibilità di essere valida) o usare Debian che viene fornito con loro certificato di root preinstallato per accedere al sito tramite HTTPS.

È quindi possibile seguire il collegamento per istruzioni su come installare la CA radice, installare e fidarsi dei certificati firmati da ora in poi (incluso il proprio).

* Tecnicamente potrebbero utilizzare un certificato riconosciuto da un'infrastruttura pubblica per il loro sito ed evitare il problema della fiducia iniziale, ma forse hanno deciso che farti chiedere una simile domanda è meglio per la diffusione della conoscenza ...

    
risposta data 09.06.2016 - 09:01
fonte
3

I certificati CAcert emessi non sono autofirmati. Il loro certificato di origine è autofirmato, come tutte le altre CA.

Perché CAcert root non è incluso in nessuno dei principali browser (rendendo il tuo Chrome non sicuro) è completamente un'altra storia. Hanno fatto domanda per questo, ma alla fine non sono mai stati in grado di apportare le modifiche richieste nelle loro politiche / procedure e provare le modifiche al CA / Forum del browser.

La pagina di Wikipedia link afferma:

CAcert withdrew its request for inclusion at the end of April 2007.

Quindi ora stanno svanendo.

    
risposta data 11.03.2018 - 14:14
fonte

Leggi altre domande sui tag

Come verificare se un codice sorgente è sicuro prima di compilarlo? Telefonata dal numero strano