Scopo dei certificati firmati e considerati affidabili da CA.

3

Un'altra domanda per principianti, ma non ottengo lo scopo dei certificati firmati e considerati attendibili dalla CA. Abbiamo già chiavi pubbliche / private, funzioni di hash per firmare / crittografare i messaggi, quindi perché abbiamo bisogno di certificati?

    
posta Cemre 21.11.2011 - 23:59
fonte

1 risposta

9

— Hello, I'm Facebook. Trust me, now type your Facebook password.

Ok, quindi hai la chiave pubblica di un sito web. E quel sito web dichiara che è Facebook. Come fai a sapere che questo è davvero "il" Facebook, e non un imitatore di Facebook?

Quando il tuo browser visita il link , recupera non solo una chiave pubblica, ma un certificato di chiave pubblica . Reso in inglese, quel certificato dice approssimativamente (in un modo che è verificato in chiave crittografica):

  1. Mi chiamo facebook.com , e questo è il mio sito web.
  2. Verisign ha verificato che ho diritto al nome facebook.com .

Verisign è un'autorità certificata . Il suo ruolo è accertarsi che la chiave pubblica sia realmente di Facebook. Facebook ha ottenuto questo certificato dimostrando di avere accesso alla chiave privata e mostrare una sorta di prova di identità a Verisign.

Il tuo browser o il tuo sistema operativo sono precaricati con un breve elenco (di un paio di centinaia) di autorità di certificazione. Si fida di queste autorità per verificare l'identità dei siti web. Il tuo browser non potrebbe essere precaricato in modo realistico con la lista di siti Web che dura da milioni di persone. Né sarebbe possibile verificare fuori dalle bande (come, comunque?) L'identità di ogni sito web a cui accedi tramite HTTPS.

Le autorità di certificazione sono uno dei modi per configurare una infrastruttura a chiave pubblica . Ci sono alcune parti (le CA) che tutti conoscono; conosci altre persone perché le CA hanno dato loro documenti di identità. I documenti di identità, a proposito, sono una forma non crittografica di rete di fiducia: ci si fida che questo ragazzo laggiù sia davvero John Smith perché il suo passaporto rilasciato dal governo dice che è John Smith.

L'alternativa principale alle CA è una rete di fiducia , dove tutti conoscono poche altre persone e tu provi a stabilire un percorso da te stesso attraverso chi conosci a chi vuoi parlare. Non funziona bene sul Web perché le persone in genere desiderano accedere a siti Web che hanno appena scoperto tramite Google, non vogliono spendere molto tempo ed energie per verificare un certificato mumbo-jumbo.

Si noti che la descrizione sopra rappresenta la teoria. In pratica, come sempre, le cose possono andare storte, specialmente le CA che effettuano il pasticcio della verifica. Ma la maggior parte delle volte - abbastanza del tempo per essere utile - le CA fungono da radici di fiducia per le identità dei siti web.

Lettura di follow-up: Autorità di certificazione per una PKI

    
risposta data 22.11.2011 - 00:46
fonte

Leggi altre domande sui tag