@JustMoose
Программист. Радиолюбитель. Прокрастинатор ;)

Зачем нужен корневой сертификат?

Вторая попытка ;)
Собственно, я понимаю, что корневой сертификат подписывает все остальные и позволяет убедиться, что сертификат сайта настоящий.
Но.
6256f2639655f969468796.png
Сайты обычно уже отдают всю цепочку сертификатов, включая корневой.
Зачем же его обычно добавляют в систему? Оо
Его ж сайт отдаёт!
Или корневой сертификат на сайте и в системе - это две разные сущности?
  • Вопрос задан
  • 101 просмотр
Решения вопроса 1
@Akela_wolf
Extreme Programmer
Ну вот представьте: мошенник Вася выпустил корневой самоподписанный сертификат. А затем подписал им цепочку до фишингового сайта mmoney.com
Пользователь Петя зашел на сайт, получил всю цепочку сертификатов, включая корневой сертификат; цепочка, разумеется, валидна. И ввел данные своей кредитки, будучи уверен что имеет дело с нормальным сайтом.

Вот чтобы такого не происходило, не только цепочка сертификатов должна быть валидна, но и корневой сертификат (с которого собственно начинается цепочка) должен быть признан надежным. Именно для этого надежные сертификаты добавляют в операционную систему (и пользователь может сам добавить новый корневой сертификат, если считает его заслуживающим доверия)
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@galaxy
Это вопрос доверия. Сертификаты могут быть подписаны другими сертификатами, это гарантирует целостность цепочки, но в итоге все это должно быть заверено стороной, которой вы (браузер) безусловно доверяет.

Если сайт вам сам присылает корневой сертификат, как вы можете ему доверять?

Распространение таких корневых точек доверия - важная часть построения всей системы PKI (Public key infrastructure), и это не криптографическая проблема, а социально-техническая.
Ответ написан
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
Внимание! Изменился адрес почты!
Я не так давно отвечал на этот вопрос.

Вот

Если что-то непонятно - спрашивайте, зачем задавать один и тот же вопрос повторно?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы