Целый бизнес CA удивителен. Я купил несколько сертификатов у rapidssl.com, и все "доказательство", которого они потребовали, было:

1. я мог получить почту к домену.
2. я мог ответить на свой телефон.

, Который был этим. Следует иметь в виду при положении, что мало привязывает браузер.

Во-первых, некоторый фон на сильной общественности/шифровании с закрытым ключом, на основе которой SSL:

ключ А имеет две части, половой орган и общедоступную часть. Открытый ключ может использоваться для шифрования материала, который требует, чтобы закрытый ключ дешифровал. Это позволяет использованию каналов открытого общения связываться надежно.

Один важный аспект общественности/шифрования с закрытым ключом - то, что закрытый ключ может использоваться для снабжения цифровой подписью сообщения, которое может быть проверено с помощью открытого ключа. Это дает получатель сообщения способность проверить конкретно, что сообщение, которое они получили, было отправлено отправителем (держатель ключа).

ключ к сертификатам SSL - то, что сами ключи шифрования могут быть снабжены цифровой подписью.

А "сертификат" состоит из частной/с открытым ключом пары, а также снабженных цифровой подписью данных. Когда кто-то покупает сертификат SSL, они генерируют частное/с открытым ключом и отправляют открытый ключ Центру сертификации (CA), который будет подписан. CA выполняет соответствующий уровень должной осмотрительности на покупателе сертификата SSL и подписывает сертификат с их закрытым ключом. Сертификат SSL будет связан с конкретным веб-сайтом или набором веб-сайтов и является по существу CA, указывающим, что они доверяют владельцу закрытого ключа сертификата, чтобы быть надлежащим владельцем тех веб-сайтов.

корневые сертификаты (открытые ключи и другие метаданные) для доверяемой АВАРИИ включены по умолчанию в главных браузерах поставки и операционных системах (в окнах, введите "certmgr.msc" в подсказку выполнения для наблюдения менеджера по сертификату). Когда Вы соединитесь с веб-сервером с помощью SSL, сервер отправит Вам свой сертификат SSL включая открытый ключ и другие метаданные, все из которых подписываются Приблизительно. Ваш браузер в состоянии проверить законность сертификата через подпись и предварительно загруженные корневые сертификаты. Это создает цепочку доверия между CA и веб-сервером, с которым Вы соединяетесь.

Если Вы не будете использовать одного из принятых людей АВАРИИ, то получит окно сообщения при доступе к сайту, говорящему о недоверяемом сертификате. Это не поможет генерировать трафик на сайт.

блокировка только означает, что владелец сайта показал CA некоторое доказательство, что он действительно - то, кем он утверждает, что был. Необходимо судить самостоятельно при доверии тому человеку/сайту.

Это похоже на незнакомца, показывающего Вам удостоверение личности с фотографией. Вы доверяете ему больше, потому что Вы знаете наверняка его зовут John Doe? Вероятно, нет.

, Но то, когда люди Вы доверяете, сказало Вам: "John Doe" является хорошим парнем. Доказательство, что парнем перед Вами на самом деле ЯВЛЯЕТСЯ "John Doe", чем Вы могло бы принять решение доверять ему также.

Вы платите за сертификат так, чтобы, когда Вы идете HTTPS (который Вы должны для чего-либо немного чувствительного) Ваши клиенты don’t получили большие предупреждения и пошли, называют Вашу поддержку, говоря, что Вы заразили их & al†¦

Очень мало безопасности, партии FUD.

, Если у Вас есть возможность предоставления Вашим клиентам Вашего собственного сертификата непосредственно, сделайте это. Но это - редкий случай.

Поскольку мы должны доверять кому-то.

Доверяемые сертификаты SSL имеют подписи доверяемых полномочий. Например, VeriSign имеет соглашение с Microsoft, что их сертификат создается в Вашем браузере. Таким образом, можно доверить каждой странице сертификат VeriSign, которому доверяют.

Эта диаграмма действительно выбирает точку:

• РА = Орган регистрации
• CA = Центр сертификации
• ВА = полномочия Проверки

Грубая схема: пользователь запрашивает сертификат со своим открытым ключом в органе регистрации (RA). Последний подтверждает идентификационные данные пользователя к центру сертификации (CA), который в свою очередь выпускает сертификат. Пользователь может тогда снабдить цифровой подписью контракт с помощью своего нового сертификата. Его идентификационные данные тогда проверяются договаривающейся стороной с полномочиями проверки (VA), которые снова получают информацию о выпущенных сертификатах центром сертификации.

Почему? Поскольку Вы платите для поездки вперед на ком-то elses репутация...., чтобы ручаться за Вас.

все, о чей, проверяя Ваше требование быть Вами. Несмотря на некоторые документальные фильмы я смотрела в последнее время, и рецессия, я, еще более вероятно, буду верить корпоративной Америке, когда они подтвердят Ваши идентификационные данные мне, чем я - русская мафия. Даже при том, что оба могут так же, как легко выпустить сертификаты.

сумма, которую Вы платите, в основном просто (какого количества она стоит им, чтобы защитить ту репутацию и/или подавить любые нарушения защиты) + (однако очень, они могут позволить себе выдолбить рынок как граничный %).

Теперь барьеры для доступа довольно высоки, потому что ее действительно дорогое для завоевывания того доверия, таким образом, нет большого количества конкуренции. Поэтому возможности являются ценой, не собирается падать в ближайшее время...., если Sony или GE и т.д. не решают играть.

Сертификаты основаны на цепочке доверия и, если бы позволено любого быть полномочиями подписания, мы слепо доверили бы всем. Это немного страшно сегодня хотя, так как существует более чем 200 так называемых "доверяемых полномочий", сертификаты которых встроены в Ваш браузер!

существует один свободный CA, который я знаю хотя: StartCom. Они выпускают бесплатные сертификаты SSL, но они только приняты в Firefox, не IE. (Не уверенный в Safari или Opera).

Давайте создадим сценарий нападения.

предположим DNS был поврежден и https://facebook.com / точки к IP взломщика.

Вы садитесь к своему ПК и открываете Facebook для выпуска нескольких минут на бессмысленной прокрутке. И затем УДАР, Certificate invalid ошибка показывает на Вашем экране. Взломщик подписался https://facebook.com / с его собственным сертификатом, чтобы удостовериться, что никто не сбежит из его скопированной страницы Facebook, потому что это не шифруется. Если браузер не проверит полномочия сертификата, то взломщик мог подписать поврежденную страницу со своим сертификатом, и Вы не будете знать, что соединяетесь с неправильным IP.

, Таким образом, у взломщика есть 2 опции выбрать:

1. Знак повредил страницу Facebook с его сертификатом, таким образом, пользователи будут видеть ошибку.
2. не используют http на его поврежденной странице.