Vad är ett CA-certifikat, och hur fungerar det?

[ware_item id=33][/ware_item]

En illustration av ett CA-certifikat.


Nyligen tvingade Kazakstans regering tillfälligt medborgarna att installera en Certificate Authority (CA) som gjorde det möjligt för staten att dekryptera allt innehåll och kommunikation i en man-i-mitt-attack.

Certifikatet tillät till och med regeringen att förändra data och lura användare att köra och ladda ner virus och spionprogram. Initiativet från den Kazakstanska regeringen kan ha misslyckats för närvarande, men hotet är verkligt.

Certifikatmyndigheterna förklarade

En certifikatutfärdare verifierar att en webbplats är vad den säger att den är när man krypterar data mellan sina servrar och dig. CA kommer att underteckna webbplatsens krypteringscertifikat, som presenteras för användaren varje gång en webbplats öppnas.

ExpressVPN-certifikatet, undertecknat av en Certificate Authority (Amazon).

Webbläsare och operativsystemleverantörer kan inte validera ägandet av alla webbplatser på egen hand, så de delegerar det till ett antal betrodda CA: er. Alla behöriga myndigheter måste ha processer och kontroller på plats för att säkerställa att certifikat endast utfärdas till den rättmätiga ägaren av en domän.

När du till exempel besöker din banks webbplats vill du vara säker på att du verkligen använder din banks webbplats och inte en ansträngare. Så din webbläsare kommer att kontrollera att certifikatet som presenteras av webbplatsen har utfärdats av en betrodd CA och därmed bildar en "kedja av förtroende" som ger bevis på att du verkligen använder rätt webbplats.

Tidigare har det förekommit flera fall där leverantörer av webbläsare och operativsystem har tagit bort rättigheterna från certifikatutfärdare eftersom de visade sig vara inkompetenta eller skadliga när de utfärdade certifikat. Om certifikatmyndigheten undertecknar förfrågningar för andra, till exempel nationstater eller hackare, fungerar inte systemet.

Din dator levereras med en uppsättning certifikatmyndigheter som är förinstallerade, medan Firefox använder sin egen lista, kontrollerad av sina egna experter. Kazakstan har försökt få sin skadliga certifikatmyndighet inkluderad i Firefox, men Mozilla avvisade artigt. CA ingår inte i någon annan större webbläsare, men det är möjligt att lägga till någon CA manuellt. Webbläsarutvecklare är medvetna om detta kryphål, med vissa som föreslår permanent blockering av skadliga CA och gör det omöjligt för användare att installera dem eller kringgå begränsningar.

En falsk certifikatmyndighet

Genom att skapa sin egen certifikatutfärdare och ge sig själv möjligheten att efterge sig en webbplats som den vill, försöker den kazakstanska regeringen att undvika denna viktiga kedja av förtroende.

Så länge den kontrollerar dataströmmen kan den presentera valfri server som "legitim" och använda den för att phish dina referenser. Till exempel bevisar det giltiga certifikatet på twitter.com att du verkligen är ansluten till Twitter och att det är säkert att ange ditt användarnamn och lösenord. Men om din dator litar på en falsk CA kan någon annan rikta din anslutning till sin egen server medan du poserar som Twitter.

Vad är ett HTTPS-certifikat?

Hypertext Transfer Protocol Secure (HTTPS) är ett protokoll som används för att kryptera webbplatser. När du navigerar till en webbplats som stöder HTTPS (för närvarande majoriteten av alla webbplatser) skapas en krypterad kanal mellan din enhet och webbplatsens server, vilket ser till att ingen däremellan kan läsa dina lösenord eller känslig information. Denna säkerhetsåtgärd indikeras ofta med ett lås i webbläsarens adressfält.

För att verifiera att din dator är ansluten till en riktig bankwebbplats och inte till en klon, är HTTPS-certifikatet undertecknat av en CA. När du navigerar till webbplatsen kommer servern att presentera en elektronisk signatur som visar att myndigheten har verifierat att den tillhör den webbplats du försöker besöka.

Eftersom HTTPS är väldigt tillförlitligt när det inte är undertryckt, förlitar en stor majoritet av webbplatser och applikationer enbart på säkerheten från HTTPS för att hålla data säkra under transporten.

Kryptering fungerar

Kryptering så enkel som HTTPS kan ha en djupgående effekt på säkerhet och integritet online, varför auktoritära regimer är benägna att attackera den.

Särskilt i stater med opålitliga rättssystem och bristande ansvar för makt kan vi inte lita på regeringar med tillgång till våra privata uppgifter. Som otaliga exempel har visat kommer privat information (som kreditkortsinformation och privata meddelanden) att sminka ner i händerna på regionala avdelningar, sedan individuella officerare och så småningom till organiserad brottslighet, där den hotar samhällets stabilitet.

Vad är ett CA-certifikat, och hur fungerar det?
admin Author
Sorry! The Author has not filled his profile.