Как я могу доверять центру сертификации

Центр сертификации должен проверять, действительно ли веб-сайт является тем, за кого себя выдает, верно. Но центры сертификации подписывают там собственные сертификаты. Таким образом, эти сертификаты являются самоподписанными. Есть ли способ узнать, являются ли самоподписанные сертификаты, которые они используют на своем веб-сайте, авторитетными и заслуживающими доверия?


ssl ssl-certificate certificate-authority
person Arian Faurtosh    schedule 24.05.2014    source источник

Ответы (3)


arrow_upward
2
arrow_downward

Вы должны доверять ЦС, выдавшему сертификат. В противном случае мы сталкиваемся с классической проблемой куриного яйца, когда нет конкретных границ для доверия и уверенности.

Как только вы доверяете издателю ЦС, вы можете проверить, действительно ли сертификат, который у вас есть, был выпущен соответствующим ЦС, написав в командной строке следующее:

$ openssl verify -verbose -CAfile cacert.pem  server.crt

Ожидаемый результат: server.crt: OK

Если вы получите любое другое сообщение, сертификат не был выдан этим ЦС.

Посетите https://kb.wisc.edu/middleware/page.php?id=4543 для получения дополнительной информации

person amey91    schedule 24.05.2014

arrow_upward
0
arrow_downward

Нет, вы просто доверяете им! Самый распространенный способ — следовать за толпой... например, извлекая их из браузеров (http://curl.haxx.se/docs/caextract.html). Мы всегда предполагаем, что браузеры проверяют это для нас... так же, как и операционные системы...

person Wagner Patriota    schedule 24.05.2014

arrow_upward
0
arrow_downward

Есть ли способ [вы] узнать, являются ли самоподписанные сертификаты, которые они используют на своем веб-сайте, авторитетными и заслуживающими доверия?

Вы можете изучить центр сертификации самостоятельно.

Некоторые люди могут не доверять центру сертификации, включая Google. Google опубликовал список органов, которым они не доверяли еще в мае 2016 года:

https://www.theregister.co.uk/2016/03/23/google_now_publishing_a_list_of_cas_it_doesnt_trust/

Вы либо должны быть уверены, что предустановленные сертификаты, поставляемые с вашими инструментами (веб-браузер и т. д.), являются доверенными производителями этих инструментов, либо вы можете провести небольшое исследование и посмотреть, действительно ли вы им доверяете сами. Это в основном то же самое, что спрашивать, как вы можете доверять кому-либо или чему-либо. Могу я доверять тебе?

Я доверяю центрам сертификации, которые устанавливаются вместе с моим браузером, потому что если я не могу им доверять, то у всех нас есть проблема, и эта проблема больше, чем моя. Я думаю, что хорошо задавать такие вопросы, и мне интересно, задает ли кто-нибудь, кроме Google, вопросы к центрам сертификации.

person ADJenks    schedule 18.04.2019