web-dev-qa-db-ja.com

証明書発行者はどのようにして信頼されるようになりますか?

私の理解では、TLS/SSLが依存する証明書スキームは機能します。これは、コンピューターに組み込まれている主要なCA発行者に対する信頼があるためです。

つまり、OSには主要な署名者の一部の証明書がインストールされています。

これについては非常に多くの質問がありますが、最も基本的なものから始めます。

これは、新しい信頼できる証明書発行者を永久に追加することが不可能であることを意味しますか?コンピュータ製造業者の同意なしに自分のルートCAを起動することは不可能ですか?

また、攻撃者が「信頼された」証明書を単に人々のコンピュータにインストールするのを阻止しているのは何ですか?

12
CodyBugstein

コンピュータ製造業者の同意なしに自分のルートCAを起動することは不可能ですか?

誰でも独自のCAを作成し、すべてのコンピューターにインストールできますs(he)が制御できます。大企業が独自の内部CAを持つことは珍しくありません。

また、攻撃者が「信頼された」証明書を単に人々のコンピュータにインストールするのを阻止しているのは何ですか?

既存のセキュリティ対策では、理論上、攻撃者が他の人が所有者のマシンに追加の証明書をインストールすることは不可能です。しかし、攻撃者がなんとかしてマシンにアクセスできた場合(マルウェア、物理的アクセス、ベンダーとの取引...)別の信頼できるCAを追加することは可能です。これは実際には実際に行われます。 Superfish を参照してください。

攻撃とは別に、新しい信頼されたルートCAは通常、企業に追加されて独自のインフラストラクチャをサポートしたり、ファイアウォールでのSSLトラフィックの分析を可能にします(SSLインターセプト)。 SSL分析の場合、いくつかの個人用ウイルス対策ソリューションもそのような新しいルート証明書をインストールします。

8
Steffen Ullrich

これは、新しい信頼できる証明書発行者を永久に追加することが不可能であることを意味しますか?コンピュータ製造業者の同意なしに自分のルートCAを起動することは不可能ですか?

新しいCAを作成し、製造元の協力を得て、その証明書を信頼済みリストに追加できます。これは、コンピューターの製造元、OSの製造元、またはブラウザーの製造元である可能性があります。たとえば、letsencrypt.orgイニシアチブでは、ブラウザーが信頼済みリストに証明書を追加する必要があります(これが行われます)。

また、信頼できるリストからCAを削除することもできます。 これは最近起こった

明確にするために、他の投稿者が述べたように、ユーザーはいつでも自分の証明書を作成し、それらを信頼することができます。これによりCAになりますが、CA(証明書の正当性を検証する第三者)の目的に反するため、これは良い考えではありません。最近では、letsencryptのようなプロジェクトがあり、メーカーが信頼するドメインの証明書に人々が簡単かつ安価にアクセスできるようにしたいと考えています。本当に時代のしるし!

また、攻撃者が「信頼された」証明書を単に人々のコンピュータにインストールするのを阻止しているのは何ですか?

管理者権限を持つユーザーは、システムに信頼できる証明書を追加できます。その上、ブラウザーの場合、ユーザーはブラウザーに常に証明書を信頼するように指示することができます。

デルは最近、自分たちが作成した証明書をプレインストールし、誤って秘密鍵をそれに含めたことで、これを行いました。

5
pureooze

これは、信頼できる新しい証明書発行者を永久に追加することが不可能であることを意味しますか?コンピュータ製造業者の同意なしに自分のルートCAを起動することは不可能ですか?

私の組織はどのようにしてルートCAになれますか?

攻撃者が "信頼された"証明書をユーザーのコンピュータに単にインストールするのを阻止しているのは何ですか?

システムに証明書を追加するには、管理者権限が必要です。 Windowsマシンでは、[実行]ダイアログボックスにcertmgr.mscと入力して、インストールされている証明書を確認できます。システムにプリインストールされているすべての証明書が表示されます。ここに独自の自己署名証明書を追加できますが、追加する前に注意する必要があります。 自己署名SSLを使用するリスクは何ですか?

4
roguesecurity

これは、信頼できる新しい証明書発行者を永久に追加することが不可能であることを意味しますか?コンピュータメーカーの同意なしに自分のルートCAを開始することは不可能ですか?

新しい信頼できる証明書を永久に追加することは不可能ではありません。
独自のCAを開始することが可能です。しかし、唯一の問題は、ハードウェアメーカーまたはソフトウェアメーカー(ブラウザーとソフトウェア)のメーカーの同意なしに、他のすべてのコンピューターにインストールできないことです。

また、攻撃者が「信頼された」証明書を単に人々のコンピュータにインストールするのを阻止しているのは何ですか?

ユーザー特権などのオンボードセキュリティ対策、ウイルス対策ソフトウェアなどの外部セキュリティ対策、ブラウザのセキュリティ対策により、不要な証明書がシステムにインストールされないようにします。

1
Arun Anson