Qual è lo scopo di un'autorità di certificazione SSL? Come può una CA impedire a dishonestcompany.com di fare qualcosa di disonesto? Che cosa rappresenta veramente la firma della CA del certificato SSL / TLS per dishonestcompany.com?
Qual è lo scopo di un'autorità di certificazione SSL? Come può una CA impedire a dishonestcompany.com di fare qualcosa di disonesto? Che cosa rappresenta veramente la firma della CA del certificato SSL / TLS per dishonestcompany.com?
Quale OP sta chiedendo, è "Ciò che impedisce a dishonestcompany.com di acquistare un certificato SSL per dishonestcompany.com e quindi eseguire un falso negozio online da lì, raccogliendo i dettagli della carta."
Il fatto è che questo non è qualcosa che i certificati SSL sono progettati per prevenire. I certificati SSL sono progettati per impedire a qualcuno di impersonare un altro sito.
I certificati forniscono anche una carta d'identità per il sito web in questione, quindi se l'organizzazione in questione ha acquistato un certificato di grado superiore, o anche un certificato EV, il proprietario del sito web può essere identificato e perseguito in caso di eventuali frodi .
Puoi vedere i certificati come una carta d'identità nella vita reale. Come con tutte le carte d'identità, non puoi semplicemente accettare chiunque abbia una carta d'identità, quindi ti manca una fase di "autorizzazione". Questo è lo stesso con il software firmato ad esempio. Quello che devi fare è verificare che l'identità verificata sia l'identità con cui desideri parlare.
Puoi vedere questo come: Real Identity - Claimed Identitiy - Wanted Identity.
Una CA fornisce un collegamento tra Real Identity e Claimed Identity. Ma affinché tutto funzioni, devi anche assicurarti di verificare che l'Identità reclamata corrisponda all'identità ricercata. Ad esempio, se vai su "dishonestcompany.com" per effettuare il tuo banking online quando intendi andare su "internetbank.com", i certificati SSL non ti impediranno di abbattere la trappola.
Tuttavia, senza CA, non esiste alcun collegamento tra identità reale e identità rivendicata, quindi anche se si verifica che Identità dichiarata è identica a Identità ricercata, è possibile cadere nella trappola se si è vittime di un attacco MITM.
Il browser verifica che il certificato corrisponda al nome host che hai digitato, ma TU come umano, devi verificare che l'hostname digitato sia proprio quello che avevi intenzione di visitare!
In parole povere, diciamo che sei Barack Obama e vuoi far entrare Joe Biden nella casa bianca.
Che CA è in questo caso, colui che mi rilascia una carta d'identità con il nome "Sebastian Nielsen" su di esso. MA: Diciamo che ti mostro la mia carta d'identità "Sebastian Nielsen", e tu mi fai entrare perché possiedo una carta d'identità. La carta d'identità non è indicativa del fatto che non sia di alcuna utilità o che non faccia alcun danno. È solo una carta d'identità. Quello che devi verificare è che il nome sulla carta d'identità corrisponda al nome con cui vuoi parlare. Si parla di "autorizzazione", ad esempio per verificare che l'identità sia autorizzata ad accedere alla Casa Bianca. Ad esempio, è necessario verificare che il nome sia presente nell'elenco dei visitatori autorizzati, ad esempio che il nome sulla carta d'identità in questo caso sia Joe Biden.
Lo "scopo di un'autorità di certificazione SSL" si spera che possa aiutare a implementare l'infrastruttura a chiave pubblica.
Una CA farebbe la sua parte nell'impedire a "dishonestcompany.com di fare qualcosa di disonesto" non fornendo a dishonest un certificato per qualsiasi sito che non sia di proprietà di dishonest.
La "firma CA del certificato SSL / TLS per dishonestcompany.com" indica che la CA ritiene che qualcuno autorizzato da dichiarazioni disoneste sostengano di aver generato la chiave pubblica inclusa per SSL / TLS.
Leggi altre domande sui tag tls certificate-authority