LINUX.ORG.RU

Проверка сертификата

 


0

1

Помогите пжлста разобраться с проверкой сертификатов. Т.е. получается же такая схема — какой-то сервак присылает сертификат, браузер стучится в центр сертификации и он уже проверяет подлинность. Что мешает кому-то посередине вклиниться и отправить свой сертификат, который тоже есть в центре сертификации? Сертификат привязан к ip-адресу или домену?



Последнее исправление: hhe5er6musapu8D5wyi (всего исправлений: 1)

браузер стучится в центр сертификации и он уже проверяет подлинность.

нет, у браузера есть локальная копия корневого сертификата от центра сертификации, он проверяет у себя на месте

к сторонним серверам он может стучаться на предмет проверки, не отозван ли этот сертификат

Harald ★★★★★
()
Ответ на: комментарий от Harald

Там дерево сертификатов какой-то для?

В любом случае, как это помешает кому-то вклиниться посередине и отправить свой сертификат?

hhe5er6musapu8D5wyi
() автор топика
Ответ на: комментарий от hhe5er6musapu8D5wyi

Никак не мешает. Вся PKI держится на шатком допущении, что доверенные центры сертификации не выдают какие хочешь сертификаты кому попало.

anonymous
()
Ответ на: комментарий от hhe5er6musapu8D5wyi

У «кого-то» нет секретного ключа центра сертификации, и он не сможет подписать сертификат так, чтобы браузер его признал. По идее должно быть так.

Harald ★★★★★
()
Ответ на: комментарий от anonymous

Я к чему спросил, вычитал, что правоохранительные органы заставляют браузеры подменять сертификаты, получается что https вообще не защищает от анализа данных

hhe5er6musapu8D5wyi
() автор топика
Ответ на: комментарий от hhe5er6musapu8D5wyi

Только правительство Казахстана, например, это не осилило и просит граждан самих поставить корневые сертификаты…

vitruss ★★★★★
()
Ответ на: комментарий от hhe5er6musapu8D5wyi

Ну это раскрывается и убивает репутацию сертифицирующих центров. Браузеры кроме гугловского тоже не участвуют в подмене а используют сертификаты центров (хотя они могут относиться жестко или мягко к подмене или включать или отключать пининг по желанию). Тут просто решает лобби и денежка. Но откровенно на сотрудничество идут редко.

slapin ★★★★★
()
Ответ на: комментарий от vitruss

А, тут сейчас большая кампания против пиннинга, сертцентры хотят свою долю государственного пирога. Да и хедеры дропаются. Все нормально, уже все всё порешали.

slapin ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.