Недавно мой веб-хостинг начал отправлять моему почтовому клиенту самоподписанный корневой сертификат без заполненных полей (все говорит «Неизвестно») при подключении через SSL. Я почти уверен, что это нехорошо, но, поскольку это работает, парень из техподдержки говорит, что это нормально.
Я не дипломированный гуру, поэтому обращаюсь к вам, люди. Какой цели служат сертификаты? Это действительно нормально, что в каждом поле сертификата установлено значение «Неизвестно»? Я не часто проверяю сертификаты, но не помню, чтобы мне когда-либо отправляли корневой; в чем разница между корневым сертификатом и, ээээ, сертификатом другого типа?
Ценность, которую добавляет доверенный центр сертификации, заключается в том, что они предпринимают (или должны делать) некоторые усилия для проверки идентичности объекта, которому они выдают сертификат. Когда ваша почтовая программа или веб-браузер получает правильный сертификат от провайдера, он может проверить, был ли он выпущен соответствующим центром сертификации и действителен для сайта. Или как Википедия кладет это:
Обязанность ЦС в таких схемах заключается в проверке учетных данных заявителя, чтобы пользователи и доверяющие стороны могли доверять информации в сертификатах ЦС. Для этого центры сертификации используют различные стандарты и тесты. По сути, центр сертификации отвечает за то, чтобы сказать: «Да, этот человек является тем, кем они себя называют, и мы, центр сертификации, подтверждаем это».
Если пользователь доверяет ЦС и может проверить подпись ЦС, он также может проверить, что определенный открытый ключ действительно принадлежит тому, кто указан в сертификате.
Теперь, если ваш интернет-провайдер каким-то надежным образом передает вам новый корневой сертификат и просит вас импортировать его, а затем он всегда передает либо корневой сертификат, либо сертификат, который связывается с их корнем, вы действительно не сильно теряете из-за использования доверенная третья сторона. Основная опасность здесь заключается в том, что кто-то взламывает сервер сертификатов интернет-провайдера и выдает себе сертификаты, которые можно использовать для атаки.
Однако, если интернет-провайдер создает сертификаты наугад и предлагает вам просто просмотреть все всплывающие предупреждения, у вас может быть более серьезная проблема. Учтите, что если кто-то хочет выполнить человек посередине атаки, они могут составить любой случайный сертификат и отправить его вам вместо сертификата интернет-провайдера. У вас нет надежного способа узнать, действительно ли он от вашего интернет-провайдера или от злоумышленника. Фактически, если вы привыкли получать самозаверяющие корневые сертификаты, вы, вероятно, просто нажмете на любое предупреждение о том, что программное обеспечение может появиться. На этом этапе злоумышленник может прослушать ваш зашифрованный трафик и узнать ваш пароль или что-то еще, что он ищет.
Вы можете посмотреть статью в Википедии о промежуточные органы сертификации.