Kérdés:
Miért nem megbíznak az önaláírt tanúsítványokkal, és van-e mód arra, hogy megbízhatóvá tegyék őket?
Praz
2016-02-04 18:46:16 UTC
view on stackexchange narkive permalink

Helyben készítettem egy Root CA tanúsítványt. A CA tanúsítványt használtam az IA tanúsítvány aláírásához, az IA tanúsítványt pedig a szerver tanúsítvány aláírásához. Amikor megpróbálok hozzáférni a helyi szerverhez, amely a szerver tanúsítványt használja, biztonsági figyelmeztetést kapok. Van rá mód, hogy ne adja ki a figyelmeztetést?

Alapvetően csak annyit szeretnék tudni, hogy megbízhatóvá lehet-e tenni az önaláírt tanúsítványt?

Az önaláírt igazolás olyan, mintha arany színű jelvényt készítene otthonában, majd körbemutatná azt az embernek, aki azt mondja, hogy rendőr vagy. Lehet, hogy megragadhatja ezt a trükköt családtagjaival, akik elfogadják, hogy te vagy a felelős, de ha igazi, nyilvános, bűnüldöző tisztviselő akarsz lenni, akkor ** egy központi hatóságnak ** megbíznia kell benned abban, hogy mindenki más bizalom, például a város vagy a város kormánya. Ellenkező esetben csak egy rendőrnek adja ki magát, és az emberek bölcsek lennének, ha nem bíznának meg benneteket.
@CristianTM: Gyakran, amikor valaki "STFW" választ ad egy kérdésre, a StackExchange a legfőbb eredmény - ami nagyszerű, és nagyon sokat beszél a StackExchange-ről! Nem hiszem, hogy ez jogos ok arra, hogy kizárják a kérdés ide való közzétételét. BadSkillz alatti válasza egyszerű, hasznos, és ezt az oldalt mindenki a témával kapcsolatos keresési eredmények tetejére terjesztheti - ÉS annyi időbe telt, ameddig elkészítette, ameddig kellett megtennie * megjegyzését. :-)
Az „önaláírt” merőleges a „megbízhatóra”. A bizalmi boltomban minden tanúsítvány önaláírt, mi van a tieddel? Tehát a kérdések egyszerűen "hogyan mondjam el a böngészőmnek, hogy bízzon egy korábban nem megbízható tanúsítványban?".
Ezért nem fogadunk el saját kezűleg aláírt igazolásokat:> Kérem, bocsássa meg Juan tegnapi iskolai hiányát. >> -Epstein anyja. (Ha nem ismeri a * Welcome Back, Kotter * tévéműsort, lehet, hogy nem kapja meg a hivatkozást.)
@ToddWilcox nagyon szép, pontról szóló magyarázat. Lehet, hogy végül ezt használom. \ * yoink \ *
@kubanczyk - A szerver tanúsítványát a böngésző megbízhatja úgy, hogy közvetlenül a bizalmi tárba teszi, az IA tanúsítványt beteszi, vagy a CA tanúsítványt helyezi el. Általában a CA-t szeretné beilleszteni, de a a trust store nem csak önaláírt tanúsítványok lehetnek; keresztaláírás esetén a tanúsítványok lehetnek önaláírt gyökerek és más tanúsítványok is.
@ToddWilcox Ugyanezt teszi a "központi hatóság" is, kivéve, hogy mindannyian bízunk a hitelesítőkben, csak a közeli család helyett. A matrica kitűző helyett gondoljon csak így: Ez megegyezik azzal, hogy egy buli legmenőbb gyereke meghív és mindenkinek azt mondja: "jó", mert te fizettél neki ezért. A monolit gránitkőzeten, amely az SSL-hitelesítők, néhány másik klassz gyerek mellett a legmenőbb gyerek nevén kívül nincs tényleges tekintély, bizalom stb. Comodo? Gyerünk .... emlékszel, hogy voltak a 90-es években? Még mindig: idegesítő könyörtelen SSL telemarketinges spammerek. Nincs megbízható;)
@ToddWilcox Egy kissé durva analógia, amely azt sugallja, hogy van valami eredendően törvényellenes vagy tisztességtelen az önaláírt igazolásokkal kapcsolatban. Nincs. Az önaláírt igazolás nem más, mint ami. Olyan tanúsítvány, amelyet olyan személy írt alá, aki nem nyerte el az operációs rendszer, a böngésző vagy az alkalmazás készítő bizalmát.
Mellékjegyzet: ha érvényes tanúsítványt akarsz megszerezni egy nyilvános domainhez, használhatod a letsencryptet. Végre nyilvános bétaverzióban vannak, ezt tegnap este fedeztem fel, miközben egy kliens szerverén dolgoztam, és percek alatt 4-5 domaint kaptam tanúsítvánnyal. Ingyenes és nyílt forráskódú - https://letsencrypt.org/
@ToddWilcox Ez nagyszerű _válasz _...
Ugyancsak kihagyhatja a CA részt, létrehozhat egy önaláírt szerver tanúsítványt, és eloszthatja azt az összes böngészőnek, amelyeknek megbízniuk kell benne.Ez valójában eltávolít egy csomó bonyodalmat és implicit bizalmat (csak nem skálázódik túl jól)
Nyolc válaszokat:
BadSkillz
2016-02-04 18:51:58 UTC
view on stackexchange narkive permalink

Importálnia kell a gyökértanúsítványt a böngésző megbízható tárolójába. Miután a böngésző megtudta, hogy megbízik ebben a gyökértanúsítványban, az összes aláírt tanúsítvány megbízhatóként jelenik meg.

Vegye figyelembe, hogy ez csak a kapcsolatot fogja megbízhatóvá tenni számodra, bárki más számára, aki nem rendelkezik gyökértanúsítvánnyal. telepítve továbbra is hibát fog kapni.

Vegye figyelembe, hogy a tanúsítvány konfigurálásának és hozzáadásának módjától függően ez lehetővé teszi, hogy az önaláírt tanúsítvány bármely tanúsítványt aláírjon. (Ezt * nem * akarod.)
@duskwuff: Valójában _lehet_ pontosan az, amire vágysz - ha saját tanúsító hatóságot akarsz létrehozni, olyat tesz, amit sok vállalat tesz a belső hálózatáért. Valószínűleg azonban itt nem ez a helyzet.
@duskwuff, pontosan így működik egy https-proxy, például a BlueCoat. A szervezet megvásárolja a proxyt, majd telepíti a proxy saját aláírású tanúsítványát a szervezet minden számítógépének megbízható gyökértárába. Ezután a proxy MITM-ével kezeli az összes kapcsolatot, beleértve a titkosított kapcsolatokat is, annak biztosítása érdekében, hogy a "rossz dolgok" ne engedjék át a proxyt.
sethmlarson
2016-02-04 18:52:10 UTC
view on stackexchange narkive permalink

Az önaláírt tanúsítványokat eredetileg nem bízza meg a böngészője, mert a tanúsítvány önmagában nem képez bizalmat, a bizalom abból adódik, hogy MINDENKI megbízik egy tanúsító hatóság által. A böngésző egyszerűen nem bízik az önaláírt tanúsítványban, mintha egy gyökértanúsítvány lenne. Ahhoz, hogy böngészője elfogadja a tanúsítványt, lépjen be a böngészőbeállításokba, és adja hozzá a tanúsítványt gyökértanúsítványként.

Az önaláírt tanúsítvány megbízható megszerzésének legjobb módja egy kulcstartás, amely alapvetően egy nagy nyilvános esemény, ahol az összes kriptográfus és biztonsági szakértő összegyűlik, hogy tanúi lehessenek egy gyökér CA-nak, hogy létrehozzák a kulcspárjukat, és gyökér CA-nak nyilvánítják magukat. Mindent rögzítenek: videót, ki mindenki, és mindenki mit csinál az ügyvédek. A magánkulcsot sok különböző részre osztják, és külön tárolják a széfekben, általában egyetlen tanúsítvány aláírása után, amelyet közvetítőként használnak más tanúsítványok aláírására. Ha akarja, olvassa el a tipikus eljárást. Ehhez természetesen rendelkeznie kell a legkorszerűbb technológiai és fizikai biztonsággal, és bárki meg akarja használni a root CA-t, vagy megbízhat benne. Ezt követően a tanúsítványai szerepelhetnek a böngésző terjesztésében, majd a nagyközönség felhasználhatja bizalmas tanúsítványláncok létrehozására.

A fenti állítás "mindenki bízik" része az egész rendszer kulcshibája. Véleményem szerint az egész TLS infrastruktúra kártyaházra épül, és senki sem akarja ezt beismerni.
@JonTrauntvein Egyetértek ezzel (és mások hajlandók elismerni), hogy a TLS egyes részei nem jók. Az első a tanúsítvány-visszavonási rendszer, amely alapvetően nem tesz semmit, mivel a legtöbb böngésző figyelmen kívül hagyja, hogy a tanúsítvány visszavonásra kerül-e, és másodszor, hogy egyes nemzetállami CA-k ** nem ** követik a fenti biztonsági irányelveket, de továbbra is minden fontosabb csomaggal ellátva vannak böngészők üzletpolitikai okokból.
Azt mondanám, hogy "a bizalmat egy tanúsító hatóság írja alá, amelyben a böngésző-készítő megbízik, és te bízol a böngésző-készítőben".Ha vannak különbségek Ön és a böngésző készítője között, akkor hozzáadhat / eltávolíthat gyökér CA-kat a böngészőjéből.
BlueRaja - Danny Pflughoeft
2016-02-04 23:41:22 UTC
view on stackexchange narkive permalink

Valójában az önaláírt tanúsítványok biztonságban lehetnek , csak nem a jelenleg használt modellnél.

A széles körben elterjedt CA alatt (tanúsító hatóság) ) modellt, amelyet mindenki jelenleg használ, a megbízható hitelesítésszolgáltató által aláírt tanúsítvány célja a hitelesítés biztosítása.

Amikor tanúsítványt kapunk, valójában csak 1-et látunk 0 jön be a fal aljzatából; fogalmunk sincs, honnan jöttek azok az 1-esek és 0-k. Mivel azonban a tanúsítványt egy hitelesítésszolgáltató írja alá , amit a világon senki nem tud megtenni - és mivel megbízunk a CA-ban a tanúsítvány tulajdonosának személyazonosságának ellenőrzésében, abban bízunk a tanúsítvány annak származik, akinek állítja.

Természetesen, ha a hitelesítésszolgáltató sérül, vagy nem igazolja helyesen a tulajdonosát, az összes fogadás ki.

Van azonban egy másik modell is, amely alatt az önaláírt tanúsítványok nem biztosítanak hitelességet. Közjegyzői modellnek hívják.

Lényegében ahelyett, hogy egyetlen CA-ban bíznánk, a bizalmat tetszőleges számú közjegyzőnek osztjuk el. Ezek a közjegyzők tanúsítványok után kutatnak az interneten, és megőrzik az összes tanúsítvány gyorsítótárát. Amikor először látogat meg egy webhelyet, és megszerzi a tanúsítványt, akkor számos globális terjesztésű közjegyzőtől megkérdezi, hogy mi volt az utolsó tanúsítvány, amelyet láttak. Ha nem értenek egyet azzal, amit látsz, akkor részese lehetsz egy ember a középen támadásnak.

Ebben a modellben az önaláírt tanúsítványok tökéletesen biztonságosak, amennyiben feltételezzük a kiszolgáló nincs azonnal veszélyeztetve, mielőtt bármelyik közjegyző megtekintheti a tanúsítványát.

A közjegyzői modell még mindig gyerekcipőben jár, és kétséges, hogy valaha is átveszi-e a CA modellt (valójában nem muszáj - tandemben is használhatók) . Az eddigi legígéretesebb projekt a Convergence.io, amely rendelkezik egy pluginnel a Firefox számára.

+1 egy jobb modell elmagyarázásáért, ahelyett, hogy csak újra megismételnénk az auth sémát (más néven "profitmodell"), amellyel jelenleg engedjük magunkat gördülni. Adja Isten, hogy a CA veszítsen azért, mert nem tett semmit. (GlobalSign -> 250 USD / év DV -> ... ROFL)
Ez lényegében egy tankönyvben elosztott hitelesítési algoritmus, amelyben mindaddig, amíg a csomópontok bizonyos küszöbértéke megbízik egy tanúsítványban, a hálózat megbízik benne. Ezen a területen még mindig sok kutatás folyik, és érdekes, ha ilyen dolgokkal foglalkozik.
Giacomo1968
2016-02-05 11:25:34 UTC
view on stackexchange narkive permalink

Rövidebb válasz.

Sok válasz itt, de úgy tűnik, hogy egyik sem jut egyenesen a lényegre: Semleges és elismert harmadik fél - például tanúsító hatóság - nélkül, igazolva a tanúsítvány tulajdonjogát, a tanúsítvány értelmetlen.

Hosszabb válasz.

A jobb megértés érdekében a HTTPS-kapcsolat létrehozásakor a következő láncot használhatja:

  • kliens web böngésző, amely a szervernek kéri a kérést.
  • A távoli webszerver adatokat küld vissza az ügyfélnek.
  • És egy semleges harmadik fél által engedélyezett HTTPS-tanúsítvány, amely igazolja, hogy a szerver ki ez van, és a titkosítás ezért érvényes.

Az önaláírt tanúsítvány eredendően nem megbízható, mert bárki előállíthat önaláírt tanúsítványt . Bárki, aki olyan entitást is tartalmaz, amely szándékosan úgy tesz, mintha valaminek / valakinek lennénk. Egy önaláírt tanúsítvánnyal egyszerűen nincs olyan megbízható harmadik fél, akinek az alapvető emberi eljárásai vannak beállítva, hogy egyszerűen kijelentsék: „Rendben, ennek a domainnek van tanúsítványa, amelyet mi kiadtunk, és így megbízhat bennük. Azt mondjuk, hogy valójában ők azok a domainek, amelyekre hivatkoznak, és nem csalók. ”

És mivel a világon bárki létrehozhat önállóan aláírt tanúsítványt, a használat magában rejti a bizalom problémáit. A tanúsítvány érvényességének nagyon kevés köze van a mélytechnikához vagy a titkosítási technikákhoz , de ami érvényessé teszi, az egy olyan folyamat, amely egy semleges - és elismert - harmadik fél köré összpontosul, használati eljárások és a böngészőkészítők betartják ezen eljárások tiszteletben tartását.

A nap végén egy titkosítási kulcspár egy teljesen értelmetlen bit- és bájthalom, az őket körülvevő folyamatok és eljárások érvényesítése nélkül. .

Benoit Esnard
2016-02-05 19:54:05 UTC
view on stackexchange narkive permalink

Az önaláírt tanúsítványokat nem lehet megbízni, mert bárki képes elkészíteni.

Egy MITM támadást végrehajtó támadó bármely tanúsítványt könnyen helyettesítheti saját aláírással. az egyik, és megszemélyesíti az Ön által böngészett webhelyeket, még akkor is, ha HTTPS-t használ.

Ezért megbízható tanúsító hatóságokat használunk annak biztosítására, hogy a tanúsítványokat ne lehessen meghamisítani.

jwilleke
2016-02-05 21:12:50 UTC
view on stackexchange narkive permalink

Mindannyiunknak szüksége van egy kis kontextusra.

Különbség van a "nem megbízható" és a biztonságos között.

És a "Megbízható" nem feltétlenül jelenti a biztonságos (vagy a hiteles) jelentést

Az önállóan aláírt tanúsítvány egy elkülönített hálózaton, ahol csak egy szerver és egy kliens működik, valószínűleg biztonságosabb, mint bármelyik "megbízható" tanúsítvány.

A "megbízható" pedig CSAK azt jelenti, hogy egy tanúsító hatóság tanúsítvány hozzá lett adva az ügyfél "Megbízható tanúsítványtárolójához". Ha a tanúsító hatóság tanúsítványát egy "adathalász" munkamenet során adták hozzá, akkor a tanúsítványban nincs semmi biztonságos.

Nem vagyok rajongó, hogy gyakran több száz "megbízható" tanúsító hatóságot helyeznek el a kliensben a "mások", de én sem tudok jobb megközelítésről.

A tanúsító hatóságoknak természetesen jobb "ellenőrzési" folyamatot kell végrehajtaniuk ( általában), mint most teszik, mielőtt kiadnák a Tanúsítványt.

Gryzorz
2016-02-04 20:22:51 UTC
view on stackexchange narkive permalink

Minden alkalmazásnak meg kell adnia a megbízható "gyökértanúsítványok" listáját.

Böngésző esetén van egy meghatározott lista, amely alapértelmezés szerint bármelyik böngészővel érkezik, de ez a lista nem tartalmazza a tanúsítványt.

Képzelje el, hogy nem kell megadnia a megbízható tanúsítványok listáját, akkor bárki képes lesz létrehozni egy https-webhelyet, amelyet a világ böngészője elfogadna, figyelmeztetés nélkül. biztonsági kockázat.

Másrészt a dobozból kifolyólag működne, ha a CA tanúsítványát maga az egyik alapértelmezett megbízható tanúsítvány írja alá ... de fizetnie kell.

Van elég válasz arra vonatkozóan, hogyan adhat hozzá CA tanúsítványt a megbízható listához, így ezt a részt kihagyom.

Dio Phung
2017-06-28 12:24:37 UTC
view on stackexchange narkive permalink

Ha böngészőknél szeretné megtenni, akkor tegye a következőket:

Chrome 58+ esetén: - Beállítások -> Speciális beállítások megjelenítése -> Tanúsítványok kezelése -> Importálás -> böngészés -> válassza a Megbízható lehetőséget Gyökértanúsító hatóságok -> kattintson az előugró ablakban az Igen gombra.



Ezt a kérdést és választ automatikusan lefordították angol nyelvről.Az eredeti tartalom elérhető a stackexchange oldalon, amelyet köszönünk az cc by-sa 3.0 licencért, amely alatt terjesztik.
Loading...