Надежные центры сертификации - как это работает?

может кто-нибудь объяснить, пожалуйста, о модели доверия в знающих CA ?? вот что я имею в виду:

Например, microsoft.com может использовать Verisign Certificate для своего домена - каковы шансы злоумышленника запросить домен M1crosoft.com ?? очень похожи, но все же могут использовать злоумышленников для запуска «защищенного фишингового веб-сайта».

Какие проверки выполняет ЦС перед выдачей сертификатов людям? есть эталон что ли ??? мне нужно предполагать, а не доверять безопасным веб-сайтам в действительности?

Спасибо


ssl certificate ca pki verisign
person user3209554    schedule 09.04.2014    source источник
comment
Этот вопрос кажется не по теме, потому что он касается безопасности, и его следует переместить на security.stackexchange.com.   -  person Ocaso Protal    schedule 09.04.2014

Ответы (2)


arrow_upward
0
arrow_downward

На самом деле вы правы. Боюсь, что если какой-либо ЦС, установленный в вашем браузере, выдает сертификаты m1crosoft.com, то это может быть какая-то фишинговая атака.

Однако, поскольку доверие исходит от CA, обойти это невозможно. К счастью, существует некоторый механизм аудита, когда CA выдает сертификат. Думал, я не уверен, что это за механизм аудита.

Вы можете обратиться к вопросу в здесь:

Но центр сертификации может заставить меня доверять любому серверу, который они хотят!

Да, и именно здесь возникает доверие. Вы должны доверять ЦС, чтобы не создавать сертификаты, как им заблагорассудится. Однако, когда такие организации, как Microsoft, Apple и Mozilla, доверяют ЦС, ЦС должен проводить аудит; другая организация периодически проверяет их, чтобы убедиться, что все по-прежнему работает в соответствии с правилами.

Выдача сертификата осуществляется тогда и только тогда, когда регистрант может доказать, что он владеет доменом, для которого выпущен сертификат.

Я не уверен, что это то, что вы хотите знать.

person ytliu    schedule 09.04.2014

arrow_upward
0
arrow_downward

Сертификат выдается для домена microsoft.com. И если злоумышленник использует этот сертификат на M1crosoft.com, ваш веб-браузер или другое приложение покажет предупреждение, что этот сертификат не заслуживает доверия. Некоторые CA проверяют, кто дает сертификат. Корневые сертификаты некоторых из этих центров сертификации находятся в вашем веб-браузере.

person Petr Flídr    schedule 09.04.2014
comment
я имею в виду, что, если доверенный центр сертификации даст мне сертификаты m1crosoft.com ?? - person user3209554; 09.04.2014
comment
Затем вы можете использовать его в домене m1crosoft.com. Что в этом плохого? - person Petr Flídr; 09.04.2014
comment
его можно использовать для злонамеренных действий, я спросил, проводит ли доверенный центр сертификации какое-либо исследование клиента, который запрашивает выдачу нового сертификата - person user3209554; 09.04.2014
comment
CA не исследует, каким образом клиент будет использовать выданный сертификат. - person Petr Flídr; 09.04.2014