Другими словами, какова будет угроза безопасности, связанная с не подписанием сертификатов открытых ключей уполномоченными сертификатами (с точки зрения пользователя)? Я имею в виду, что данные все еще зашифрованы ... Что может сделать человек посередине с не подписанным сертификатом?
security
ssl-certificate
https
encryption
Оливье Лалонд
источник
источник
Ответы:
Целью SSL при использовании с HTTP является не только шифрование трафика, но и проверка подлинности того, кто является владельцем веб-сайта, и что кто-то готов инвестировать время и деньги в доказательство подлинности и владения своим доменом.
Это похоже на покупку отношений, а не только шифрования, и эти отношения создают или предполагают определенный уровень доверия.
Тем не менее, я задал похожий вопрос несколько месяцев назад, и основной ответ, который вернулся, был: «SSL - это афера».
источник
Представьте себе ситуацию, когда вы должны доставить 1 000 000 долларов человеку по имени Джон Смит, с которым вы никогда не встречались и не общались. Вам сказали, что вы можете встретить его в людном общественном месте. Когда вы идете на встречу с ним, вам понадобится какой-то способ убедиться, что он действительно тот человек, которого вы ищете, а не какой-то другой случайный человек, претендующий на звание Джона Смита. Вы могли бы попросить некоторый государственный ID, визитную карточку. Вы можете попросить человека, которому вы доверяете, который действительно встретил Джона Смита, помочь идентифицировать его.
Самозаверяющий сертификат однозначно идентифицирует систему, но он ничего не делает, чтобы доказать, что система является тем, кем она себя считает. Я могу легко подписать сертификат и заявить, что он - serverfault.com, google.com или yourbank.com. Центры сертификации в основном выступают в роли третьей стороны, которой клиент доверяет, чтобы убедиться, что сертификат действительно действителен для имени, на которое претендует сайт.
источник
Бизнес SSL действительно немного афера. Фактически более чем немного, когда вы платите около 20 пенсов за байт за некоторые криптографически интересные данные. Вы платите за то, какой CA вы используете для подписи сертификата одним из своих закрытых ключей после того, как докажете себе, что действительно имеете право использовать имя домена / хоста, для которого предназначен сертификат. Как говорит Farseeker, это доверительные отношения - CA доверяет вам (после того как вас проверят), мировые веб-браузеры доверяют CA (обычно), и поэтому веб-браузеры мира будут доверять вашему сертификату. И не начинайте меня с расширенной проверки ...
источник