Qual è il punto delle autorità di certificazione che non sono attendibili dai browser (= trusted delle CA radice)?

2

Vedi qui: link

Chrome, Firefox e Internet Explorer avvertono che non è attendibile, rendendo praticamente inutile l'intera faccenda. Se voglio un qualche tipo di certificato SSL, posso anche creare il mio con makecert.exe, l'effetto sarebbe lo stesso, non lo farebbe: ogni browser avvertirà con lettere rosse enormi che non è valido.

Cosa non sto ricevendo su questo sistema?

    
posta Blub 09.04.2014 - 10:44
fonte

2 risposte

1

I consumatori del servizio che si sta tentando di autenticare con certificati forniti da una terza parte non affidabile potrebbero essere più disposti a installare il certificato radice di qualche parte indipendente nella loro catena di fiducia, vs. una CA radice unica creata per il tuo servizio.

In tal caso, cacert (o entità equivalente) assume l'onere dell'affidabilità, proprio come farebbero VeriSign o COMODO; semplicemente non sono considerati implicitamente attendibili dai sistemi operativi o dai browser dei tuoi consumatori.

    
risposta data 11.04.2014 - 13:19
fonte
4

Una teoria è che, idealmente , l'utente finale dovrebbe gestire il proprio archivio di CA radice affidabile, prendendo una decisione informata in base alle Pratiche di certificazione pubblicate dalla CA esistente.

Teoria e pratica coincidono solo in teoria, però. Non sorprende che la maggior parte degli utenti non possa e non possa gestire un simile processo di gestione, se non altro perché si basa su concetti altamente tecnici (non solo concetti crittografici, ma anche e soprattutto i concetti legali ). Pertanto, i fornitori di sistemi operativi e browser si assumono la responsabilità di decidere un elenco di "CA radice predefinita" che inseriranno nei loro browser e verranno considerati attendibili dalla stragrande maggioranza dei client distribuiti. Questi fornitori lo fanno come parte di procedure relativamente complesse con requisiti elevati sulla CA, ad es. assicurazioni e procedure dettagliate in vigore sul lato CA. (Vedi questa risposta .)

Al momento, CAcert è una CA "wannabe" che tenta di diventare una "CA fidata di predefinito ", ma non ha ancora raggiunto un'ampia accettazione da parte dei fornitori di OS / browser. Parte del problema è che i requisiti procedurali per una CA sicura hanno una strong controparte finanziaria: i requisiti di sicurezza fisica non sono economici (non si mette una CA seria "nel cloud", sono necessari locali protetti) e la CA deve dimostrare che ha i mezzi per continuare a lavorare a lungo, o almeno per fare una "chiusura pulita" in caso di cessazione dell'attività. Il denaro è la chiave. La posizione di CAcert di "rilasciamo certificati gratuiti" non aiuta a guadagnare abbastanza denaro per questo.

    
risposta data 11.04.2014 - 15:03
fonte

Leggi altre domande sui tag