¿Es cacert.org más dañino que el autofirmación?

7

No entiendo el modelo de seguridad https que me intentó The OpenBSD Journal (undeadly.org).

En lugar de usar certificados autofirmados para https como lo hicieron en el pasado, durante un tiempo han tenido certificados de 6 meses firmados por Root CA, que parecen cambiar al menos de manera inmediata. ¿Supongo que cacert.org tiene algún tipo de límite de 6 meses para los certificados?

Como usuario de undeadly.org, ¿debo aceptar ciegamente un nuevo certificado cada 6 meses?

Importar CA Cert Signing Authority Root CA de enlace en mi navegador?

Pida a los administradores que tomen una ruta autofirmada, en vez de eso, hacen un certificado de 2 a 10 años, que solo tendría que aceptar una vez.

P.S. Parece que cacert.org solía incluirse en cert.pem de OpenBSD y ports / security / nss en un momento dado, pero en lo sucesivo se eliminó el 2014/04/09 y el 2014/04/29, respectivamente, siguiendo a licencia de redistribución revisión de incompatibilidad.

    
pregunta cnst 16.04.2015 - 19:20
fuente

2 respuestas

3

El modelo PKI funciona con la confianza que puede dar al tercero inicial. A saber, la CA raíz. Si confía en la CA raíz, debe importar su certificado raíz, de modo que el sistema acepte automáticamente cualquier certificado que emita (firme).

Si no confías en la CA, bueno, no hay nada más que puedas hacer. Entonces, ¿por qué confiarías en CAcert.org ? Bueno, puede echar un vistazo a su sistema de Web of Trust, donde puede obtener seguridad sobre los certificados (no voy a entrar en detalles aquí). Otra pregunta es: ¿por qué confiaría en los otros certificados raíz que ya están en su máquina más que en cacert?

Entonces, ¿es más confiable que uno autofirmado? Bueno, podría argumentar que el proceso involucra al menos a dos personas, la AC y el sitio web. A menos que sean cómplices, generalmente es mejor que solo autofirmado. Por supuesto, todo se basa en la confianza que puede otorgar a la autoridad de certificación.

    
respondido por el M'vy 17.04.2015 - 09:24
fuente
1

Confiar en una CA significa que confías en la CA para todos los certificados emitidos por esta CA. Pero debido a que todas las CA son tratadas de la misma manera por el navegador (excepto los certificados EV), cualquier CA podría crear un certificado para cualquier sitio. Esto significa que es suficiente si una única CA de confianza no es tan confiable como es necesario y este tipo de problemas de confianza sucedió varias veces en past .

Y debido a que ya existen problemas con las CA en las que confía la mayoría de los navegadores, puede pensar dos veces antes de importar una CA como confiable, que probé pero no pude agregarse como confiable para los navegadores y sistemas operativos.

Por otro lado, si solo acepta un certificado autofirmado sin verificarlo correctamente, entonces usted también es vulnerable. Se puede realizar una verificación adecuada obteniendo las huellas digitales de los certificados de una fuente confiable a través de un transporte a prueba de manipulaciones y luego comparándolas con las huellas digitales que muestra el navegador. Si realiza la verificación de esta manera, un certificado autofirmado puede ser realmente más confiable que un certificado emitido por cualquiera de las CA confiables en el navegador.

    
respondido por el Steffen Ullrich 17.04.2015 - 12:38
fuente

Lea otras preguntas en las etiquetas