نوشته‌شده در

چرا مجوز صدور گواهینامه

همانطور که من آن را درک می کنم، CA ها کار می کنند تا اطمینان حاصل شود که رمزنگاری نامتقارن (کلید عمومی) هنگام بازدید از یک وب سایت (https: //) از وب سایت خود و دیگران به وجود می آید. بنابراین، برای مثال، یک CA اطمینان می دهد که هنگام بازدید از https://stackexchange.com تمام ترافیک شبکه با کلید عمومی رمزگذاری می شود، که از طریق stackexchange و هیچ کس دیگری ساخته شده است.

  1. دلیل "تنها" می توانید تصور کنید، چرا CA وجود دارد این است که کسی از یک حمله در میان مرد استفاده می کند و کلید های عمومی را که او، مهاجم پیش از آن، ایجاد کرده است، ارسال می کند. چرا دیگر از CA استفاده میکنید؟ از آنجا که وقتی از https://stackexchange.com بازدید میکنم، یک وبسایت واضح با IP مشخص و همه چیز است. آنها فقط می توانند کلید عمومی خود را برای رمزگذاری به من بفرستند و همه چیز خوب است، آیا این نیست؟

  2. چگونه می توانم، تا آنجا که من می دانم، هیچ مفاهیمی مانند CA در مرور Tor وجود ندارد؟ شما یک آدرس پیاز (http://hahgstsbsjservice.onion) دارید و هنگام بازدید از سرویس پنهان کلید عمومی را دریافت می کنید. تا آنجا که من می دانم، کلید در جایی بر روی سرور قرار می گیرد که سرویس پنهان را فراهم می کند. چرا CA وجود ندارد؟

نوشته‌شده در

مرد در وسط – چرا مرورگرها اجازه می دهد CA های سفارشی ریشه؟

یکی از دلایل اصلی اجازه دادن به CA CA سفارشی برای توسعهدهنده وب است. Dev و تست ساخت اغلب از گواهی در خانه استفاده می کنند (عمدتا برای هزینه و سهولت خلق). به شما امکان اضافه کردن CA ریشه خود را نمی دهد (بیشتر) حالت های مختلف به عنوان مثال خود را dev / build و تولید است که می تواند سخت برای تعمیر اشکالات تولید کند.

همچنین پروکسی شرکت، به عنوان یک شرکت (در اکثر قوانین ) مسئولیت آنچه شما با اینترنت انجام می دهید، اغلب از مردی در وسط استفاده می کنند، که در عین حال اخلاقی مشکوک است، عمدتا قانونی است و انتظار می رود.

یکی دیگر از دلایلی که نمی تواند یک کد root CA را مرتفع کند، این است که به شما اجازه حذف آن را ندهید اعتماد دیگران (شاید آنها تحت کنترل اداره ای باشند که اعتماد نکنید، شاید اخیرا کلید را نابود کرده اند و غیره) به طور مستقل از توجه مرورگر خود نسبت به آنها.

نوشته‌شده در

شفافیت گواهی چگونه اجرا می شود؟

آیا کروم از گواهینامه های شرکتها (یا "داخلی") توسط کروم رد می شود؟

این در حال حاضر در جمله دقیق شما ذکر شده پاسخ داده شده است: "… نیاز به شفافیت گواهی برای همه تازه صادر شده، به طور عمومی اعتبار گواهی ". از آنجا که CA داخلی به طور عمومی قابل اعتماد نیست، هیچ شفافیت گواهی برای این مورد نیاز نخواهد بود.

آیا هر گواهی که توسط مرورگر مشاهده می شود، پرس و جو به سرور CT گوگل را نشان می دهد؟

شفافیت گواهی در Chrome روند تأیید را به شرح زیر شرح می دهد: 19659003] کروم ممکن است بررسی کند که یک SCT توسط CT Log که آن را صادر کرده است، احترام گذاشته شده است، یعنی که گواهی مربوطه در واقع این نشریه CT منتشر شده است. … کروم این کار را با ارسال یک پرس و جو DNS به طور خاصی انجام می دهد که درخواست ورودی را از ورود به سیستم نشان می دهد. استفاده از DNS اجازه می دهد تا کاربر از دیدگاه CT ورود ناشناخته باقی بماند و امکان تایپ محتویات را در آن ذخیره کند.

از درک من همیشه اگر اطلاعات CT مورد نیاز در گواهینامه باشد، بررسی خواهد شد. اما من فکر نمی کنم که این بدان معناست که همیشه این اطمینان را می گیرد که این اطلاعات درست هستند و در CT logs منعکس می شوند. حدس من این است که آن را همیشه، اما اغلب به اندازه کافی، بررسی خواهد شد به طوری که گواهینامه های اطلاعات CT جعلی شناسایی شده است.

نوشته‌شده در

مجوز گواهی – MITM بیش از TLS اعتماد از طریق همگرایی

من برخی از مزایای بزرگ (هم اکنون قدیمی) Moxie's Convergence یا چشم انداز CM را می بینم. با این حال، چگونه آنها با حمله یک MITM در راه مشترک شبکه هر دو مشتری و دفتر اسناد رسمی در راه به سرور نشسته؟ هر دو دفتر اسناد رسمی و مشتری همان گواهی جعلی را می بینند و به درستی اعتبار خواهند یافت.

بله، متخلفان مختلف در مکان های مختلف هستند، اما اگر همه آنها باید از یک مسیر مشترک شبکه عبور کنند؟ (به عنوان مثال دیوار بزرگ چین)

نوشته‌شده در

از کجا برای دریافت گواهینامه ریشه CA کجاست؟

آیا مکان مشترک وجود دارد که ما می توانیم تمام مراجع CA ریشه را دانلود کنیم و به روز رسانی های مکرر برای تغییرات را دریافت کنیم؟ این یک مکان است که ما می توانیم CA ها را پیدا کنیم، اما ما باید برای به روزرسانی ها باقی بمانیم. آیا مکان مشترک دیگری از این وجود دارد؟