Lo scopo dei certificati è di dimostrare l'identità della parte remota con la quale stai comunicando. In caso contrario, la rappresentazione potrebbe avere luogo: gli attaccanti MITM attivi potrebbero intercettare il traffico e alterarlo per farlo passare come se fossero i propri.
È abbastanza simile a verificare l'identità di qualcuno controllando un passaporto. Supponiamo che tu voglia verificare il nome della persona che ti sta di fronte, che ti sta mostrando il passaporto.
-
Vuoi verificare che ti fidi dell'autenticità del passaporto stesso. Una tessera del club sportivo locale potrebbe non essere sufficiente. Il controllo di questo aspetto di un certificato è la creazione di un percorso di certificazione per una CA attendibile nella specifica PKIX (RFC 5280 / RFC 3280) è per; fornisce anche altri aspetti, come lo scopo per cui la CA era disposta a consentirglielo.
-
Vuoi verificare che il passaporto appartenga alla persona di cui stai cercando di verificare l'identità. (In questa analogia, il nome del server è più simile all'immagine della persona, dal momento che stai cercando di trovare il nome della persona, sapendo che aspetto hanno (*).)
Una cosa è fidarsi del fatto che il passaporto sia reale, ma dovrebbe essere rilasciato alla persona che ne rivendica l'utilizzo. In caso contrario, chiunque abbia ottenuto il passaporto di un Paese che riconosci lo può dichiarare di essere qualcuno in qualsiasi Paese tu riconosca.
Nel mondo HTTPS, questo viene fatto seguendo le regole in RFC 2818 (Sezione 3.1) , e più in generale in SSL / TLS in RFC 6125 .
-
L'ultimo punto non fa rigorosamente parte della verifica del certificato stesso. Vuoi verificare di legare l'immagine sul passaporto alla persona di fronte a te. In questa analogia, il link picture to person è garantito dallo scambio di chiavi autenticate in TLS , che garantisce che la parte remota abbia la chiave privata che corrisponde alla chiave pubblica in questo certificato.
Dopo aver eseguito correttamente questi tre passaggi, puoi associare il nome sul passaporto alla persona fisica di fronte a te.
I certificati in SSL / TLS hanno lo stesso ruolo: assicurati che il certificato provenga da una CA di cui ti fidi, assicurati che sia rilasciato sul server con cui vuoi comunicare e assicurati di parlare con parte a cui è stato rilasciato quel certificato.
Più precisamente nel tuo esempio, il certificato è stato emesso a DI-PRE-UFCG
, che è un nome diverso da quello che stai cercando di contattare e sec_error_untrusted_issuer
indica che il browser non lo riconosce nemmeno come emesso da un entità che si fida (che ha senso per un certificato autofirmato che non verrebbe importato esplicitamente).
(*) Sto solo facendo l'analogia in quell'ordine perché è più naturale nella mia esperienza. Raramente inizi a cercare una persona specifica per nome, dati da una folla e dai loro passaporti, ma in alcune circostanze questo potrebbe avere senso. Avresti problemi simili se qualcuno avesse più alias, ma quello che stai cercando non era quello del loro passaporto.