web-dev-qa-db-ja.com

ブラウザがCAcertを信頼しないのはなぜですか?

暗号化とSSLはかなり初めてです。今日、私は少しググって(セキュリティについてのいくつかの問題を読みました)、サイト https://cacert.org に出会いました。クリックしてビックリしました。 Chromeは「信頼できない」エラーを表示しました。SSL証明書は有効ではないようです。証明書を検索したところ、認証機関が信頼されていないことがわかりました。質問がいくつかありました。今:

  • CAcert自体が認証機関ではありませんか?
  • 何故ですか?
  • これはある種の攻撃アプローチでしょうか? (MITM)
  • 私に何ができる?
  • 詳細情報はどこで入手できますか?
7
licklake

Cacert.orgの場合、彼らは自己署名証明書を提示しており、それがあなたのブラウザーが不平を言う理由です。証明書から信頼できるルートCAに至る信頼チェーンはありません。

証明書がプリインストールされたLinuxディストリビューションを使用している場合、警告は表示されません。このようなシステムを使用することで、コミュニティを信頼できると推測されます。

他のOSの場合、Microsoft、Apple、Google、またはMozillaによってサポートされている(および製品に埋め込まれたルート証明書ストアの形式で提供されている)パブリックPKIを信頼します。

Cacert.orgはこのインフラストラクチャの外にあるため、警告が表示されます。


どうして?

彼らの「ビジネス」決定。彼らは彼らがウェブサービスを提供するとき、彼らが好きなことをすることは自由です。ルートCAをインストールするようユーザーに要求したり、投資してウェブサイトの署名付き証明書を取得したり、投資せずに無料のletscrypt証明書を取得したりできます*

彼らが最初のモデルを選択したのは、それが彼らの目的と「自分のドッグフードを食べる」という考えに合っているためと思われます。


何ができるの?

何をしたいかによります。 http://cacert.org/ でサイトにアクセスして読むことができます。

HTTPSでアクセスしたい場合は、提供された証明書を表示して、自分で確認できます。次に、あなた自身の決定を信頼してください。

トリッキーな部分は、それが実際にMitM攻撃である可能性があるので、取得した証明書の指紋署名を別の証明書から取得した署名と比較する必要があります信頼できる接続。彼らは指紋を公開します here しかし、あなたが本当の指紋を信頼するまで、そのサイトがその本物に属していることを本当に信頼することはできません。キャッチ21。

信頼できる別のソースで署名を確認するか(友達、または取得して評価した指紋をGoogleで検索して、信頼できる場所全体にある場合は有効である可能性があります)、事前にルート証明書が付属しているDebianを使用することができます-インストールされ、HTTPS経由でサイトにアクセスします。

次に、リンクをたどって、ルートCAをインストールする方法、これから署名する証明書(独自のものを含む)をインストールして信頼する方法を示します。


* 技術的には、彼らのサイトの公共インフラストラクチャによって認識されている証明書を使用して、初期信頼の問題を回避できますが、おそらく、あなたがそのような質問をすることは知識の普及のために優れていると判断しました...

10
techraf

CAcertが発行した証明書は自己署名されていません。ルート証明書は、他のすべてのCAと同様に自己署名されています。

主要なブラウザーのいずれにもCAcertルートが含まれていない理由(Chrome表示が安全でないこと)はまったく別の話です。それらはそれに適用されましたが、最終的にはポリシー/手順で要求された変更、およびCA /ブラウザフォーラムへの変更を証明します。

ウィキペディアのページ https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status 状態:

CAcertは、2007年4月の終わりに、登録の要求を取り消しました。

ですから、今は彼らは徐々に衰退しています。

6
Jari Turkia