I certificati SSL / TLS gratuiti sono affidabili? I fornitori di Cert possono trafficare? [duplicare]

2

Non so nulla di crittografia, SSL, TLS, certificati e ho trovato diverse società che offrono certificati SSL / TLS gratuiti .

Quanto sono affidabili queste offerte? Perché dovrei adottare questo cambiamento quando non sono sicuro se posso fidarmi di quelle offerte?

Inoltre, i fornitori di tali certificati potrebbero spiare il traffico tra il browser e il server, in ultima analisi le autorità che costringono i fornitori di servizi di certificazione a fare ciò (azione legale del governo | NSA | ecc.) o i provider volontariamente facendo così, una backdoor di qualche tipo per attingere traffico "sicuro" e "crittografato"?

Trovo difficile credere che qualcosa che viene dato gratuitamente dovrebbe aumentare la sicurezza di molti molti siti web. Ancora di più potrei persino pensare che si tratti di una sorta di strategia di contrasto in modo che i governi | agenzie | ecc. può più facilmente curiosare sul traffico con una specie di copia della chiave master o un'altra tecnica sconosciuta che implica l'emissione di certificati "sicuri" mentre in realtà non lo sono.

Perdonami la mia mancanza di conoscenza in questo campo, forse sto mescolando alcuni termini qui, in ogni caso sto facendo fatica a fidarmi di questa iniziativa. Sono semplicemente troppo paranoico o la cattiva notizia del passato ha aumentato la mia sensibilità nei confronti di questo?

link

link

C'è qualche motivo di sicurezza tecnica per non acquistare il certificato SSL più economico che riesci a trovare?

link

    
posta lowtechsun 18.03.2016 - 14:31
fonte

1 risposta

7

I certificati SSL utilizzati sui server Web hanno due scopi:

  1. Loro identificano il server web, in modo che le persone che accedono a quel sito possano essere sicuri di non accedere al sito sbagliato.
  2. Loro crittografano il traffico, in modo che nessuno possa curiosare nel traffico.

Identificazione

Affinché qualsiasi CA possa essere inclusa nei browser comuni (ad esempio Firefox, Safari, Chrome, Internet Explorer, ...), la CA deve seguire le regole stabilite da il CA / forum del browser . Ciò significa che devono fare uno sforzo per assicurarsi che un certificato che identifica example.com non venga rilasciato a chiunque non sia il proprietario di quel dominio. CA diverse lo fanno in modi diversi. Sul lato costoso, per ottenere un certificato EV da Verisign, è necessario mostrare la prova di proprietà del dominio, nonché la prova della propria identità e dell'autorità per richiedere il certificato. Ciò includerà documenti effettivi che verranno ispezionati dagli esseri umani - il che ovviamente è il motivo per cui i loro certificati sono costosi. Quindi un certificato emesso nel loro programma di convalida estesa è il più affidabile possibile; dovresti essere in grado di essere certo che non solo il dominio è corretto ma anche l'organizzazione menzionata nel certificato.

Sul lato libero, LetsEncrypt richiede solo che tu aggiunga un record DNS specifico o una risorsa HTTP per dimostrare la tua proprietà del dominio / server web. In questo modo non hanno idea della tua vera identità, ma sanno che la persona che effettua la richiesta di un certificato ha anche il controllo del dominio. Questa è tutta l'identificazione che offrono i loro certificati.

Se non sei una società che deve avere il livello di fiducia implicito in un certificato EV, avere un certificato economico o gratuito può essere tutto ciò che serve. Se sei una banca, o una grande azienda, probabilmente vuoi che le persone si sentano sicure, e quindi sarai disposto a pagare per il livello più alto di identificazione per ottenere il nome della società accanto al lucchetto nella finestra del browser.

crittografia

TLS / SSL utilizza una coppia di chiavi pubblica / privata. La CA che rilascia il certificato lo fa firmando la chiave pubblica , ovvero il certificato. Ma non vedono mai la chiave privata ed è la chiave privata utilizzata per crittografare il traffico. Ciò significa che la CA non ha modo di curiosare nel traffico.

    
risposta data 18.03.2016 - 15:01
fonte

Leggi altre domande sui tag