Jak weryfikowane są certyfikaty ssl?

Warto zauważyć, że oprócz zakupu certyfikatu (jak wspomniano powyżej), możesz również utworzyć swój własny za darmo; jest to określane jako "certyfikat z własnym podpisem". Różnica między certyfikatem podpisanym samodzielnie a zakupionym jest prosta: zakupiony certyfikat został podpisany przez urząd certyfikacji, o którym twoja przeglądarka już wie. Innymi słowy, przeglądarka może łatwo zweryfikować autentyczność zakupionego certyfikatu.

Niestety to ma doprowadziło to do błędnego przekonania, że certyfikaty podpisane samodzielnie są z natury mniej bezpieczne niż te sprzedawane przez komercyjne urzędy certyfikacji, takie jak GoDaddy i Verisign, i że musisz żyć z ostrzeżeniami/wyjątkami przeglądarki, jeśli ich używasz; jest to nieprawidłowe .

Jeśli bezpiecznie rozpowszechnisz certyfikat z podpisem własnym (lub certyfikat CA, jak sugerował bobince) i zainstalujesz go w przeglądarkach, które będą korzystać z twojej witryny, jest on tak samo bezpieczny jak zakupiony i nie jest podatny na ataki man-in-the-middle i fałszerstwo cert. Oczywiście oznacza to, że jest to możliwe tylko wtedy, gdy tylko kilka osób potrzebuje bezpiecznego dostępu do twojej witryny (np.).

W celu zwiększenia świadomości i zachęcenia innych małych blogerów, takich jak ja, do ochrony siebie, napisałem samouczek na poziomie podstawowym, który wyjaśnia bardziej szczegółowo pojęcia stojące za certyfikatami i jak bezpiecznie tworzyć i używać certyfikatów podpisanych samodzielnie (wraz z sample kodu i screeny). Oto link na wypadek, gdyby był pomocny dla kogokolwiek w przyszłości: http://www.clintharris.net/2009/self-signed-certificates/.

You said that

Przeglądarka pobiera informacje o wystawcy certyfikatu z tego certyfikat, a następnie używa go do kontaktu z wystawcą i jakoś porównuje certyfikaty pod względem ważności.

Klient nie musi sprawdzać u Emitenta, ponieważ dwie rzeczy:

1. wszystkie przeglądarki mają wstępnie zainstalowaną listę wszystkich głównych kluczy publicznych CAs
2. certyfikat jest podpisany, a sam podpis jest wystarczającym dowodem na to, że certyfikat jest ważny ponieważ klient może samodzielnie i bez kontaktu z serwerem wystawcy upewnić się, że certyfikat jest autentyczny. Na tym polega piękno szyfrowania asymetrycznego.

Zauważ, że 2. nie da się zrobić bez 1.

To jest lepiej wyjaśnione w tym Duży diagram zrobiłem jakiś czas temu

(przejdź do "co to jest podpis ?"na dole)

Klient ma wstępnie ustawiony magazyn kluczy publicznych urzędów certyfikatów SSL. Aby serwer mógł być zaufany, musi istnieć łańcuch zaufania od certyfikatu dla serwera przez władze pośredniczące do jednego z tak zwanych certyfikatów "root".

Możesz sprawdzić i / lub zmienić listę zaufanych organów. Często robisz to, aby dodać certyfikat dla lokalnego organu, któremu ufasz - jak firma, dla której pracujesz, Szkoła, do której uczęszczasz lub co nie.

Wstępnie ustawiona lista może się różnić w zależności od klienta, którego używasz. Najwięksi dostawcy certyfikatów SSL zapewniają, że ich certyfikaty główne są we wszystkich głównych przeglądarkach ($$$).

Ataki typu "Małpa w środku" są "niemożliwe", chyba że atakujący ma klucz prywatny zaufanego certyfikatu głównego. Ponieważ odpowiednie certyfikaty są szeroko stosowane, narażenie takiego klucza prywatnego miałoby poważne konsekwencje dla ogólnego bezpieczeństwa handlu elektronicznego. Z tego powodu, te klucze prywatne są bardzo, bardzo pilnie strzeżone.

Jeśli jesteś bardziej technicznie myślący, ta strona jest prawdopodobnie tym, czego chcesz: http://www.zytrax.com/tech/survival/ssl.html

Uwaga: królicza Nora idzie głęboko :).