¿En qué confían los emisores de certificados?

13

Por lo que entiendo, el esquema de certificado en el que se basa TLS / SSL funciona porque su computadora tiene confianza para los principales emisores de CA incorporados.

Es decir, su sistema operativo está instalado con certificados para algunos de los principales firmantes.

Tengo muchas preguntas sobre esto, pero comenzaré con las más básicas:

¿Esto significa que es imposible agregar nuevos emisores de certificados de confianza para siempre? ¿Es imposible para uno iniciar su propia CA raíz sin el consentimiento de los fabricantes de computadoras?

Además, ¿qué impide que un atacante simplemente instale certificados "confiables" en las computadoras de las personas?

    
pregunta CodyBugstein 04.12.2015 - 07:43
fuente

4 respuestas

9
  

¿Es imposible para uno iniciar su propia CA raíz sin el consentimiento de los fabricantes de computadoras?

Todos pueden crear su propia CA e instalarla en todas las computadoras a las que él (él) tiene control. No es raro que las empresas más grandes tengan su propia CA interna.

  

Además, ¿qué impide que un atacante simplemente instale certificados "confiables" en las computadoras de las personas?

Las medidas de seguridad existentes en teoría deberían hacer imposible que un atacante instale certificados adicionales en el propietario de las máquinas por parte de otros. Pero si el atacante logra obtener acceso a la máquina (malware, acceso físico, tratar con el proveedor ...), es posible agregar otra CA confiable. Esto se hace en la práctica, consulte Superfish .

Además de los ataques, la nueva CA raíz de confianza se agrega normalmente en las compañías para respaldar su propia infraestructura o para hacer posible el análisis del tráfico SSL en los cortafuegos (intercepción de SSL). Para el análisis SSL, también varias soluciones antivirus personales instalan tales nuevos certificados raíz.

    
respondido por el Steffen Ullrich 04.12.2015 - 08:01
fuente
5
  

¿Esto significa que es imposible agregar nuevos emisores de certificados de confianza?   ¿Siempre? ¿Es imposible para uno iniciar su propia CA raíz?   ¿Sin el consentimiento de los fabricantes de computadoras?

Se puede crear una nueva CA y sus certificados se pueden agregar a la lista de confianza con la cooperación de los fabricantes. Este podría ser el fabricante de la computadora, el fabricante del sistema operativo o el fabricante del navegador. Por ejemplo, la iniciativa letsencrypt.org requeriría que los navegadores tengan el certificado agregado en la lista de confianza (que se realizará).

También es posible eliminar una CA de una lista de confianza. Esto ha sucedido recientemente .

Solo para aclarar, como mencionan otros pósteres, un usuario siempre puede hacer sus propios certificados y confiar en ellos. Esto los convierte en un CA pero no es una buena idea, ya que anula el propósito de un CA (un tercero que verifica la legitimidad de un certificado). En estos días, hay proyectos como letsencrypt que esperan que sea fácil y muy barato que las personas tengan acceso a certificados para sus dominios en los que confían los fabricantes. ¡Verdaderamente un signo de los tiempos!

  

Además, ¿qué impide que un atacante simplemente instale "de confianza"?   ¿Certificados en las computadoras de las personas?

Cualquier usuario con privilegios de administrador puede agregar un certificado de confianza en un sistema. Además de eso, para los navegadores, cualquier usuario puede simplemente decirle a su navegador que confíe siempre en un certificado.

Dell hizo esto recientemente preinstalando un certificado se crearon a sí mismos e incluyeron accidentalmente la clave privada con él.

    
respondido por el pureooze 04.12.2015 - 08:06
fuente
4
  

¿Esto significa que es imposible agregar nuevos emisores de certificados de confianza para siempre? ¿Es imposible para uno iniciar su propia CA raíz sin el consentimiento de los fabricantes de computadoras?

¿Cómo puede mi organización convertirse en una CA raíz?

  

¿Qué impide que un atacante simplemente instale certificados "confiables" en las computadoras de las personas?

Se requiere privilegio de administrador para agregar el certificado a su sistema. En Windows Machine, puede verificar los certificados instalados escribiendo certmgr.msc en el cuadro de diálogo "Ejecutar". Allí puede ver todos los certificados preinstalados en su sistema. Puede agregar sus propios certificados autofirmados allí, pero uno debe tener cuidado antes de hacerlo. ¿Cuál es el riesgo de usar SSL autofirmado?

    
respondido por el roguesecurity 04.12.2015 - 07:58
fuente
1
  

¿Esto significa que es imposible agregar nuevos emisores de certificados de confianza para siempre? ¿Es imposible para uno iniciar su propia CA raíz sin el consentimiento de los fabricantes de computadoras?

No es imposible agregar un nuevo certificado de confianza para siempre.
Es posible iniciar su propio CA. Pero el único problema es que no puede instalarlo en todas las demás computadoras sin el consentimiento de los fabricantes, ya sea de fabricantes de hardware o software (normalmente los navegadores y el software).

  

Además, ¿qué impide que un atacante simplemente instale certificados "confiables" en las computadoras de las personas?

Las medidas de seguridad a bordo como los privilegios de usuario, los externos como el software antivirus y las medidas de seguridad del navegador garantizan que no se instalen certificados no deseados en nuestros sistemas.

    
respondido por el Arun Anson 04.12.2015 - 14:41
fuente

Lea otras preguntas en las etiquetas