Ho cercato di capire il funzionamento di SSL. So che qualsiasi sito Web https ha un certificato digitale con esso. Quindi, quando il client richiede qualcosa dal server, il server invia con un certificato firmato da alcune CA. Poiché il client si fida delle CA, si fiderà anche del server.
La mia domanda è: come viene eseguita questa fiducia? Dato che chiunque può creare una coppia di chiavi pubblica / privata e ottenerlo firmato. Si prega di chiarire.
Il bit importante di informazioni è che il certificato fa riferimento al sito web. Tutto quello che il certificato dovrebbe fare è abilitare la crittografia tra il client e la destinazione: nominare il sito Web significa che la connessione può essere considerata attendibile.
Se stai chiedendo se puoi fidarti del sito web, allora non è quello che sono i certificati o le CA. I certificati non indicano che il server sia in qualche modo affidabile.
Il tuo browser è impostato per fidarsi di determinate CA. Quando vai su www.facebook.com, ottieni il certificato di www.facebook.com, il tuo browser verifica se il certificato è realmente rilasciato per www.facebook.com, e verifica anche se è emesso da una CA che (il tuo browser) si fida.
Non riesco a ottenere un certificato rilasciato per www.facebook.com da ben note e affidabili CA e ciò significa che non posso fingere di essere www.facebook.com. Se prendo il certificato che www.facebook.com manda a me, e trasmetto a qualcun altro, fingendo di essere www.facebook.com (facendo anche qualche dns spoofing), mi imbatto in un problema perché la vittima sta usando il certificato / chiave pubblica di facebook per crittografare i dati e non potrò decodificarlo perché non ho la chiave privata per www.facebook.com.
Leggi altre domande sui tag tls