Es gibt viele Leute, die das Gefühl haben, dass dieses System kaputt ist.
Hier ist die Logik, warum Ihr Browser Sie so alarmiert, wenn ein SSL-Zertifikat ungültig ist:
Zu den ursprünglichen Designzwecken der SSL-Infrastruktur gehörte die Authentifizierung von Webservern. Wenn Sie die Website www.bank.com besuchen, ermöglicht SSL grundsätzlich, dass der Webserver, der antwortet, beweist, dass er tatsächlich zu Ihrer Bank gehört. Dies hindert einen Betrüger daran, DNS zu manipulieren oder eine andere Methode zu verwenden, damit ein böswilliger Server reagiert.
Das "Vertrauen" in SSL wird dadurch geboten, dass ein vertrauenswürdiger Dritter (Unternehmen wie VeriSign und Thawte Consulting) das Zertifikat signiert, was darauf hinweist, dass der Inhaber des Zertifikats dessen Eigentümer ist (theoretisch beim Besuch des IT-Administrators im Internet) Eine Person oder eine andere Methode, die ein direktes Vertrauen schafft, obwohl Beweise zeigen, dass sie eigentlich ziemlich nachlässig sind - für ein signiertes SSL-Zertifikat genügen häufig 800er-Nummern und ein bisschen Schauspielkunst.
Wenn Sie also eine Verbindung zu einem Webserver herstellen, der ein SSL-Zertifikat bereitstellt, dieses jedoch nicht von einem vertrauenswürdigen Dritten signiert ist, könnte dies theoretisch bedeuten, dass Sie mit einem Betrüger kommunizieren, der vorgibt, ein Server einer anderen Organisation zu sein .
In der Praxis bedeutet ein selbstsigniertes Zertifikat im Allgemeinen nur, dass die Organisation, die den Server betreibt, sich dafür entschieden hat, kein signiertes Zertifikat zu bezahlen (dies kann je nach den gewünschten Funktionen recht teuer sein) oder es fehlte das technische Fachwissen, um eines zu konfigurieren ( Einige Small-Business-Lösungen bieten einen Klick mit einem Klick für ein selbstsigniertes Zertifikat. Um ein vertrauenswürdiges Zertifikat zu erhalten, sind jedoch mehr technische Schritte erforderlich.
Ich persönlich glaube, dass dieses System fehlerhaft ist und dass die Kommunikation mit einem Server, der keine Verschlüsselung bietet, viel gefährlicher ist als die Kommunikation mit einem Server, der SSL mit einem selbstsignierten Zertifikat anbietet. Es gibt drei Gründe, warum Browser sich nicht so verhalten:
- Unverschlüsselte Kommunikationen sind im Internet die Norm. Wenn Sie also durch Browser dazu aufgefordert wurden, Websites anzuzeigen, die keine Verschlüsselung anbieten, werden Sie schnell ärgerlich und deaktivieren die Warnung.
- Aufgrund der schrecklichen Warnungen an Kunden ist es nicht normal, ein selbstsigniertes Zertifikat auf einer Produktionswebsite zu sehen. Dadurch entsteht ein sich selbst erhaltendes System: Selbst signierte Zertifikate sind misstrauisch, weil sie selten sind, sie sind selten, weil sie misstrauisch sind.
- Das klingt zynisch von mir, aber es gibt Unternehmen, die mit dem Unterzeichnen von SSL-Zertifikaten ( Husten- Verisign- Husten ) eine Menge Geld verdienen können. Daher verwenden sie Whitepapers (ein IT-Begriff für "lange und langweilige Werbung") und andere Publikationen die Idee durchzusetzen, dass nicht signierte Zertifikate gefährlich sind.