Perché non esiste una radice globale per SSL?

3

Mi stavo chiedendo perché sul tuo computer ci sia un file che implementa le CA radice fidate invece di qualcosa di simile al DNS dove c'è un file sui server root con cui i computer eseguono il check-in per recuperare l'elenco delle CA attendibili?

Grazie ancora, Francis

    
posta Francis 08.01.2014 - 22:20
fonte

4 risposte

7

Non esiste un Signore del Mondo perché ci sono troppi candidati per il posto.

L'intero protocollo X.509 è completamente all'altezza di avere una singola CA radice. Tuttavia, non esiste una singola CA radice perché le persone non sono d'accordo su chi dovrebbe quindi essere affidato il potere completo su tutti i certificati.

Oppure, da un altro punto di vista, è una radice globale. Si chiama Bill Gates. Internet Explorer convaliderà un certificato con un elenco di CA radice locale noto e attendibile e tale elenco viene fornito con Windows e viene aggiornato tramite i meccanismi di aggiornamento ufficiali di Microsoft. Pertanto, per il 99,9% delle persone (che non violano la CA radice installata localmente), Microsoft decide, in ultima analisi, quale CA radice è attendibile. In questo senso, Microsoft è la radice globale (almeno per tutti gli utenti Windows).

    
risposta data 09.01.2014 - 17:59
fonte
5

DigiNotar era una CA attendibile, ed era suddivisa in. Gli aggressori sono stati in grado di emettere certificati fraudolenti per i siti che non possedevano. I fornitori di browser hanno rimosso rapidamente il certificato di DigiNotar dal loro elenco di fiducia.

Quale pensi che sarebbe la conseguenza, dovresti invece essere solo una singola radice globale ed è stata violata con successo?

    
risposta data 08.01.2014 - 23:08
fonte
1

Probabilmente perché non risolve un problema che esiste. Di chi ti fidi per certificare che tutti gli altri sono affidabili? Microsoft? Mozilla? Canonico? Verisign? Thawte? A quel livello, qual è la differenza tra tirarli fuori da un negozio e tracciare le loro firme su un altro livello?

Peggio ancora, come si aggiunge una root di fiducia locale in un tale sistema? Ad esempio, il mio datore di lavoro ha creato la propria CA Root e ha inviato tale certificato a tutti i computer con sede di lavoro. Sotto un sistema globale, come li vedresti aggiunti a quella lista globale? Vorresti che il certificato di ExampleCo firmasse la radice globale One-True-Già-autofirmata e sostituisse la radice globale con la propria? Come funziona quando la Global Root è già autofirmata? E se hai intenzione di consentire due root globali in questo caso, qual è la differenza tra quello e tre root globali o addirittura 172 root CA?

    
risposta data 09.01.2014 - 05:46
fonte
1

La radice globale è il proprietario del computer.

Decidono quali radici sono attendibili o, in pratica, accettano il giudizio del venditore, e possibilmente ne aggiungono alcune.

Ma possono anche rimuovere elementi dall'elenco dei fornitori - molti amministratori, incluso me, hanno abbandonato diginotar per esempio anche se MS li ha mantenuti.

Se su una rete, i tuoi amministratori (forse sei tu da quando stai leggendo S.SE) possono anche esercitare il loro giudizio. Voglio che i miei utenti si fidino di un CA brasiliano o ucraino? Potrebbero andare bene ma a) come faccio a sapere eb) perché i miei utenti sono comunque in un sito web ucraino o brasiliano per motivi di lavoro? Facciamo mai affari in quei paesi?

Il controller definitivo è l'amministratore del computer, non il governo mondiale, non Microsoft, Google, il Commissariato FireFox o chiunque altro.

    
risposta data 09.01.2014 - 21:38
fonte

Leggi altre domande sui tag