に署名しましたほとんどのブラウザでは、CA証明書はどのように実際のセキュリティに役立ちますか?私は一般的にman-in-the-middle攻撃の最大の脅威を聞いています。自己署名証明書を使ってこの脅威を理解していますが、CA証明書がこれを防ぐ方法を理解していません。 CAが独自のセキュリティアルゴリズムを実行することは知っていますが、自己署名証明書で同じアルゴリズムを使用することはできません。利点は、私が起因して発生回避警告にCA証明書のメリットを理解して...これは自己署名証明書およびCA証明書の間で論争についてちょうど一般的な質問であるSSL証明書に</p> <p>を
私は、CA証明書の必要性を巡って大企業に少しでも苛立ちますが、これらのセキュリティチェック以外には何か違うものを見つけることはできません。自己署名証明書では証明できないセキュリティの観点から、CAが提供できるものはありますか?
なりすまし。相手方が自己署名証明書を偽った場合、これを確認する方法はありません。あなたが偽造品ではなく有効な証明書を受け取ったことを確認するには、簡単に偽装できないサードパーティのチェックが必要です。これは、ルートCA証明書(およびいくつかの中間証明書)のリストをクライアント側のソフトウェア(Windowsはあなたと主要なブラウザ用に同じ証明書を含みます)で運び、それらのCA証明書を使用してサーバーから受け取った証明書を検証することによって行われます。自己署名証明書では、このような検証はできません。
もちろん、クライアントアプリケーションで自己署名証明書を持ち運ぶことができます(これは一部の開発者が特に社内アプリケーション用に行うものです)が、これはブラウザでは機能しません。
違いはアルゴリズムにはありません。人々が認証局を信頼するかどうかにあります。
証明書のポイントは、接続しようとしている相手と誰かが接続していることを確認することです。
私はあなたに「私は正しいサーバーです。これを信頼してください」と言えば、あなたは私を信じない(結局、あなたが私を知らない)ことを選ぶかもしれません。
「私は正しいサーバーだし、証明する証明書があります」と言うと、「OK」と言って、誰があなたにこの証明書を渡しましたか?私の返事が「コーナーの周りのジョー」である場合、あなたはまだ私を信じないことを選ぶかもしれません。
「証明書があり、信頼できる第三者と確認できる」と言うと、これは身元証明が良いと判断することがあります。
標準の内容を確認する方法です(例:RFC 5280に記載されています)。しかしそれは単なる技術的なことです。 VeriSignから発信された証明書と自分で生成した証明書について、まったく同じアルゴリズムを使用できます。
本当の質問は信頼についてです。あなたに「アイデンティティの証明」を与えている人は誰でも信頼できますか? VeriSignは、VeriSignからのアイデンティティの証明がすべてのブラウザで受け入れられるようにするために、VeriSignを十分に信頼しています。独自の自己署名証明書を生成する個人を信頼すべきでしょうか?場合によっては、証明書をブラウザに手動でインストールすることもできますが、原則としてではありません。
ありがとうございます。あなたのデータが侵害されているかどうかとは対照的に、ビジネスが評判の良い立場かどうかということから、セキュリティは意味をなさないと思います。ユージーンの応答は後者に対処する。 – user1019084
多かれ少なかれ本物であることが保証されている組み込みのCA証明書が一般的なブラウザに含まれているとは思わなかった。 CAは依然として「大企業」になっていますが、データセキュリティは向上します。 – user1019084
修正。彼らの署名証明書が危うくなったことが発見されたとき、Diginotarとの(最近の)スパートを見てください。一言で言えば、DNの証明書は主要なブラウザごとに1週間以内に取り消され、同社は比較的短期間で破産した。 CAの企業は、文字通り「あなたの*人生でこれらを守りなさい」と考えています。 – Shadur