¿Cuál es el propósito de una Autoridad de Certificación SSL? ¿Cómo evitaría una CA deshonestcompany.com hacer algo deshonesto? ¿Qué representa realmente la firma CA del certificado SSL / TLS para dishonestcompany.com?
¿Cuál es el propósito de una Autoridad de Certificación SSL? ¿Cómo evitaría una CA deshonestcompany.com hacer algo deshonesto? ¿Qué representa realmente la firma CA del certificado SSL / TLS para dishonestcompany.com?
Lo que están preguntando los OP, es "Lo que evita que dishonestcompany.com compre un certificado SSL para dishonestcompany.com y luego ejecute una tienda web falsa desde allí, recolectando los detalles de la tarjeta".
Lo que pasa es que esto no es algo que los certificados SSL están diseñados para evitar. Los certificados SSL están diseñados para evitar que alguien se haga pasar por otro sitio.
Los certificados también proporcionan una tarjeta de identificación para el sitio web en cuestión, por lo que si la organización en cuestión compró un certificado de mayor grado, o incluso un certificado EV, el propietario del sitio web puede ser identificado y procesado en caso de fraude .
Puedes ver certificados como una tarjeta de identificación en la vida real. Al igual que con todas las tarjetas de identificación, no puede aceptar a todas las personas que tienen una tarjeta de identificación, entonces le falta un paso de "autorización". Esto es lo mismo con, por ejemplo, el software firmado. Lo que debe hacer es verificar que la identidad verificada es la identidad con la que desea hablar.
Puedes ver esto como: Identidad real - Identidad reclamada - Identidad buscada.
Una CA proporciona un vínculo entre la identidad real y la identidad reclamada. Pero para que todo funcione, también debe asegurarse de verificar que la identidad reclamada coincida con la identidad solicitada. Por ejemplo, si va a "dishonestcompany.com" para realizar sus operaciones bancarias por Internet cuando intenta ir a "internetbank.com", los certificados SSL no evitarán que caiga en la trampa.
Sin embargo, sin CA, no existe un vínculo entre la identidad real y la identidad reclamada, por lo que incluso si verifica que la identidad reclamada es idéntica a la identidad solicitada, puede caer en la trampa si es víctima de un ataque MITM.
¡El navegador verifica que el certificado coincida con el nombre de host que ingresaste, pero TÚ, como humano, debes verificar que el nombre de host escrito es realmente el que querías visitar!
En términos simples, digamos que eres Barack Obama y quieres dejar entrar a Joe Biden en la casa blanca.
Lo que CA es en este caso es, el que me emite una tarjeta de identificación con el nombre "Sebastian Nielsen". PERO: Digamos que te muestro mi tarjeta de identificación "Sebastian Nielsen" y me dejaste entrar porque tengo una tarjeta de identificación. La tarjeta de identificación no es una indicación de que sea confiable o que no haga ningún daño. Es sólo una tarjeta de identidad. Lo que debe verificar es que el nombre en la tarjeta de identificación coincida con el nombre con el que desea hablar. Esto se denomina "autorización", por ejemplo, verificar que la identidad esté autorizada para acceder a la Casa Blanca. Por ejemplo, debe verificar que el nombre esté en la lista de visitantes autorizados, por ejemplo, que el nombre en la tarjeta de identificación en este caso sea Joe Biden.
Se espera que el "propósito de una Autoridad de Certificación SSL" ayude a implementar la Infraestructura de Clave Pública.
Una CA haría su parte de evitar que "dishonestcompany.com haga algo deshonesto" al no otorgarle un certificado a ningún sitio que no sea de su propiedad.
La "firma CA del certificado SSL / TLS para dishonestcompany.com realmente" representa que la CA cree que alguien autorizado por deshonestcompany afirma haber generado la clave pública incluida para SSL / TLS.
Lea otras preguntas en las etiquetas tls certificate-authority