Другими словами, каков будет риск безопасности, если сертификаты открытого ключа не будут подписаны центрами сертификации (с точки зрения пользователя)? Я имею в виду, что данные все еще зашифрованы ... Что мог сделать человек посередине с неподписанным сертификатом?
Цель SSL при использовании с HTTP состоит не только в шифровании трафика, но и в аутентификации владельца веб-сайта и в том, что кто-то был готов потратить время и деньги на подтверждение подлинности и владения своим доменом.
Это как покупка отношений, а не только шифрования, и эти отношения создают или предполагают определенный уровень доверия.
Тем не менее, я задал аналогичный вопрос несколько месяцев назад, и основной ответ, который пришел, был "SSL - это немного мошенничество"
Представьте себе ситуацию, когда вы должны передать 1000000 долларов человеку по имени Джон Смит, с которым вы никогда не встречались и не общались. Вам говорят, что вы можете встретиться с ним в людном общественном месте. Когда вы пойдете на встречу с ним, вам понадобится какой-то способ убедиться, что это действительно тот человек, которого вы ищете, а не какой-то другой случайный человек, утверждающий, что он Джон Смит. Вы можете попросить какой-нибудь государственный документ, визитную карточку. Вы можете попросить человека, которому вы доверяете, который действительно встречался с Джоном Смитом, помочь его идентифицировать.
Самозаверяющий сертификат однозначно идентифицирует систему, но он ничего не делает, чтобы доказать, что система является тем, за кого себя выдает. Я могу легко подписать сертификат самостоятельно и заявить, что я serverfault.com, google.com или yourbank.com. Центры сертификации в основном действуют как третья сторона, которой клиент доверяет, чтобы убедиться, что сертификат действительно действителен для имени, на которое сайт претендует.
Бизнес с SSL действительно представляет собой мошенничество. Более чем немного, когда вы платите около 20 пенсов за байт за некоторые интересные с криптографической точки зрения данные. Вы платите за тот ЦС, который вы используете для подписи своего сертификата одним из своих закрытых ключей после того, как докажете себе, что вы действительно имеете право использовать имя домена / хоста, для которого предназначен сертификат. Как говорит Farseeker, это доверительные отношения - CA доверяет вам (после того, как они вас проверили), мировые веб-браузеры доверяют CA (обычно), и поэтому мировые веб-браузеры будут доверять вашему сертификату. И не заставляйте меня начинать насчет расширенной проверки ...