Voglio assicurarmi di collegarmi al server giusto con il mio lato client (è una chat crittografata, irrilevante). Sto usando SSL3. Qualcuno può solo falsificare un certificato? Posso davvero fidarmi che la connessione sia al server giusto?
Voglio assicurarmi di collegarmi al server giusto con il mio lato client (è una chat crittografata, irrilevante). Sto usando SSL3. Qualcuno può solo falsificare un certificato? Posso davvero fidarmi che la connessione sia al server giusto?
TL, DR: Sì, puoi fidarti del certificato.
Versione lunga:
Il tuo browser ha un elenco di entità affidabili, denominato Autorità di certificazione (o CA, in breve). Hanno il compito di firmare certificati SSL lungo la strada. Devono essere conformi a molte regole e, se si incasinano, possono essere escluse da questo elenco e tutti i certificati emessi non sono validi da un giorno all'altro.
(Che è successo con DigiNotar )
Quando qualcuno vuole un certificato SSL (ad esempio, John Doe), si rivolge a una di quelle società e ne chiede una. Di solito l'emittente ha qualche tipo di verifica per determinare se si possiede il certificato per il quale si richiede un certificato. In tal caso, ottieni il certificato (è solo un file di testo) e lo metti sul tuo server web.
Il certificato può essere modificato se si è sotto un proxy aziendale che esegue l'ispezione del traffico SSL (un proxy di intercettazione). Intercettano la connessione, decodificano il traffico, analizzano, creano un altro certificato e restituiscono. In questo caso, un certificato che appare da Google.com non è stato emesso per Google, ma emesso dal tuo proxy.
A volte, le persone possono ottenere un certificato per un dominio che non possiedono. Ciò accade solitamente quando queste persone intendono eseguire un attacco di phishing contro gli utenti del dominio legittimo.
Se qualcuno ha rilasciato un certificato senza utilizzare i servizi della CA, il tuo browser si lamenterà. A seconda di come è stato creato il certificato, il certificato sarà autofirmato o la catena di certificati non è valida. In questi casi, ovviamente non puoi fidarti di esso.
Quindi, salvo in situazioni quasi trascurabili, puoi fidarti del certificato.
Leggi altre domande sui tag tls certificates