¿Por qué mi navegador no confía en CAcert?

4

Soy bastante nuevo en cifrado y SSL. Hoy busqué en Google un poco (leí algunos artículos sobre seguridad) y encontré el sitio enlace . Hice clic y me sorprendió. Chrome me mostró un error "no confiable". El certificado SSL no parece ser válido. Busqué el certificado y me muestra que la agencia de certificación ya no es confiable. Tengo algunas preguntas ahora:

  • ¿No es CAcert una agencia de certificación en sí misma?
  • ¿Por qué es eso?
  • ¿Podría ser este un tipo de enfoque de ataque? (MITM)
  • ¿Qué puedo hacer?
  • ¿Dónde puedo obtener más información?
pregunta licklake 09.06.2016 - 08:53
fuente

2 respuestas

7

En el caso de cacert.org, están presentando un certificado autofirmado y es por eso que su navegador se queja. No hay una cadena de confianza que lleve del certificado a una CA raíz en la que confíe.

Si estaba usando una distribución de Linux que viene con su certificado preinstalado, no vería una advertencia. Se deduciría que al usar un sistema de este tipo confía en la comunidad.

En el caso de otros sistemas operativos, confía en la PKI pública que es compatible (y se proporciona en forma de un almacén de certificado raíz integrado en sus productos) por Microsoft, Apple, Google o Mozilla.

Cacert.org está fuera de esta infraestructura y es por eso que ves una advertencia.

¿Por qué?

Su decisión de "negocio". Son libres de hacer lo que quieran cuando prestan servicios web. Podrían pedir a los usuarios que instalen su CA raíz, podrían invertir dinero y obtener un certificado firmado para su sitio web, o no invertir y obtener un certificado gratuito de letencrypt * .

Escogieron el primer modelo, aparentemente porque se ajusta a su propósito y la idea de "come tu propia comida para perros".

¿Qué puedes hacer?

Depende de lo que quieras hacer. Puede acceder al sitio con enlace y leer.

Si desea acceder a él con HTTPS, puede mostrar el certificado proporcionado y examinarlo usted mismo. Luego tome su propia decisión de confiar en ella.

La parte difícil es que, de hecho, podría ser un ataque MitM, por lo que debe comparar la firma de la huella digital del certificado que obtuvo con una firma que obtuvo a través de otra conexión de confianza. Publican las huellas digitales aquí pero hasta que no confíes en ellas, no puedes confiar en que el sitio pertenece a real entonces Captura 21.

Puede confirmar la firma con otra fuente en la que confíe (amigo, o simplemente buscar en Google la huella digital que obtuvo y evaluar, si se trata de lugares confiables, tiene posibilidades de ser válida) o usar Debian que viene con su certificado raíz preinstalado para acceder al sitio a través de HTTPS.

Luego puede seguir el enlace a las instrucciones sobre cómo instalar su CA raíz, instalar y confiar en los certificados que firmaron a partir de ahora (incluido el suyo).

* Técnicamente, podrían usar un certificado reconocido por la infraestructura pública para su sitio y evitar el problema de la confianza inicial, pero tal vez decidieron que hacer una pregunta así es mejor para difundir el conocimiento. ...

    
respondido por el techraf 09.06.2016 - 09:01
fuente
3

Los certificados emitidos por CAcert no son autofirmados. Su certificado raíz es autofirmado, como todos los demás CA tienen.

La razón por la que CAcert root no se incluye en ninguno de los principales navegadores (hacer que Chrome se muestre como no seguro) es una historia completamente diferente. Ellos solicitaron eso, pero en última instancia nunca pudieron realizar los cambios solicitados en sus políticas / procedimientos y probar los cambios en CA / Browser Forum.

página de Wikipedia enlace dice:

  

CAcert retiró su solicitud de inclusión a fines de abril de 2007.

Entonces, ahora solo se están desvaneciendo.

    
respondido por el Jari Turkia 11.03.2018 - 14:14
fuente

Lea otras preguntas en las etiquetas