Otra pregunta para principiantes, pero simplemente no obtengo el propósito de los certificados firmados y confiados por CA. Ya tenemos claves públicas / privadas, funciones hash para firmar / cifrar mensajes, ¿por qué necesitamos certificados?
- Hola, soy Facebook. Confía en mí, ahora escribe tu contraseña de Facebook.
Bien, entonces tienes la clave pública de un sitio web. Y ese sitio web declara que es facebook. ¿Cómo sabes que esto es realmente "el" Facebook, y no un imitador de Facebook?
Cuando su navegador visita enlace , recupera no solo una clave pública, sino una certificado de clave pública . El certificado, emitido en inglés, dice aproximadamente (de una manera que se verifica criptográficamente):
facebook.com
, y este es mi sitio web. facebook.com
. Verisign es una autoridad de certificación . Su función es asegurarse de que la clave pública sea realmente de Facebook. Facebook obtuvo este certificado demostrando que tenía acceso a la clave privada y mostrando algún tipo de prueba de identidad a Verisign.
Su navegador o su sistema operativo están precargados con una lista corta (un par de cientos) de autoridades de certificación. Confía en estas autoridades para verificar la identidad de los sitios web. Su navegador no podría ser precargado de manera realista con la lista de sitios web en constante cambio de millones de personas. Tampoco sería factible verificar fuera de las bandas (¿cómo, de todos modos?) La identidad de todos y cada uno de los sitios web a los que acceda a través de HTTPS.
Las autoridades de certificación son una de las formas de configurar una infraestructura de clave pública . Hay algunas partes (las CA) que todos conocen; Llegas a conocer a otras personas porque las AC les han entregado documentos de identidad. Los documentos de identidad, por cierto, son una forma no criptográfica de red de confianza: usted confía en que este tipo de allí sea realmente John Smith porque su pasaporte emitido por el gobierno dice que es John Smith.
La alternativa principal a las AC es una web de confianza , donde todo el mundo conoce a algunas otras personas, y usted intenta establece un camino desde ti mismo a través de quien sabes con quien quieres hablar. No funciona bien en la web porque las personas normalmente desean acceder a sitios web que acaban de descubrir a través de Google, no quieren gastar mucho tiempo y energía en la verificación de algunos certificados de jumbo.
Tenga en cuenta que la descripción anterior representa la teoría. En la práctica, como siempre, las cosas pueden salir mal, especialmente las AC pueden dañar la verificación. Pero la mayor parte del tiempo, el tiempo suficiente para ser útil, las CA sirven como raíces de confianza para las identidades de sitios web.
Lectura de seguimiento: Autoridades de certificación para una PKI
Lea otras preguntas en las etiquetas certificates certificate-authority