Qual è l'uso reale dei certificati sul Web?

Naviga le tue risposte
0

Quando ottieni un certificato da un sito web che visiti, firmato da una CA attendibile, è affidabile perché l'autorità CA ha eseguito un controllo in background su di essi?

Ma in che modo questo aiuta a spoofare i siti web?

Immagina questo:

  • qualcuno ha creato un fakebook.com e lo ha fatto apparire esattamente come Facebook
  • l'utente ha effettivamente digitato lo stesso fakebook.com (per errore)
  • fakebook.com ha acquisito un certificato dalle CA di fiducia
  • Il certificato dice che è "Fakebook" e non "Facebook" che è giusto
  • L'utente vede l'icona verde ed è felice. Continua a utilizzare Fakebook.

Per evitare quanto sopra, tutte le CA possono controllare manualmente il sito Web e vedere se è intenzionalmente creato come un altro sito web?

Ho letto di una CA che erroneamente ha fornito certificati a un individuo che dichiara di essere Microsoft. ( link ) Che cosa significa? Qualcuno ha creato un sito Web e ha utilizzato "Microsoft" come nome del proprietario? Quando gli utenti visitano i siti Web, non è come se effettivamente vedessero chi è il proprietario. Tutto quello che interessa è se è firmato da qualche CA di fiducia. Che importanza ha il nome del proprietario utilizzato per acquisire un certificato?

    
posta learner 29.03.2015 - 09:13
fonte

2 risposte

5

is it trust-worthy because the CA authority did a background check on them?

No. Un certificato SSL è paragonabile a un passaporto: indica chi è la persona e in quale Paese è stato rilasciato il passaporto. Ma non dice quanto sia affidabile la persona.

L'uso principale del certificato è di rendere possibile la crittografia end-to-end, che protegge dagli attacchi man-in-the-middle verificando che quel nome host nell'URL corrisponda al nome dato nel certificato e che il certificato è rilasciato da una CA attendibile. Niente di più, niente di meno.

Nella maggior parte dei casi l'unico controllo che la CA emittente farà è vedere se si ha accesso a un indirizzo email specifico del dominio, cioè [email protected] o simile. Per i certificati EV verranno effettuati ulteriori controlli, ma nessuno eseguirà controlli in background della tua cronologia criminale.

Quindi l'unica fiducia che si ottiene dal certificato è che il proprietario del certificato probabilmente possiede questo dominio. E anche questo non è vero in tutti i casi, perché la CA potrebbe essere compromessa o il sito ha una configurazione non sicura in modo che l'autore dell'attacco sia in grado di ottenere un certificato, ecc.

In nessun caso puoi derivare dal certificato se il sito stesso è affidabile, se è in grado di proteggere i tuoi dati privati, se è stato violato, ecc. E un certificato non ti protegge da siti falsificati o da cattivi che affermano di sii bravi ragazzi

    
risposta data 29.03.2015 - 10:43
fonte
1

"fakebook.com ha acquisito un certificato dalle CA di fiducia": Normalmente (e ho detto normalmente , perché per dirlo così "il mondo non è perfetto") questo passaggio non dovrebbe accadere.

Una CA davvero affidabile dovrebbe beneficiare di servizi specifici di società terze (come Netcraft ) così, quando provi a registrare un nuovo nome di dominio, lo controllano automaticamente con questi servizi prima di permetterti di procedere. Hai più informazioni sulla pagina collegata, ma per dirla in breve tale servizio associerà un livello di rischio al nome di dominio richiesto, a seconda della somiglianza con un dominio attualmente esistente (inclusi diversi tipi di trasformazione nel nome), consentendo al registrar sistema per prendere le misure appropriate (rifiutare automaticamente, controllare manualmente, ecc.).

    
risposta data 29.03.2015 - 14:03
fonte

Leggi altre domande sui tag

difendersi dagli attacchi LOIC Hive Mind server SSH: che cos'è l'autenticazione della chiave pubblica più sicura o dell'autenticazione basata su Google Authenticator?