Selbstsignierte Zertifikate können sicher sein, nur nicht unter dem Modell, das wir jetzt verwenden.
Unter der weit verbreiteten Zertifizierungsstelle (Zertifizierungsstelle) ) Modell, das jeder derzeit verwendet. Der Zweck des von einer vertrauenswürdigen Zertifizierungsstelle signierten Zertifikats besteht darin, eine Authentifizierung bereitzustellen.
Wenn wir ein Zertifikat erhalten, sehen wir nur 1 und 0 kommt von der Buchse in der Wand; Wir haben keine Ahnung, woher diese Einsen und Nullen kamen. Da das Zertifikat jedoch von einer Zertifizierungsstelle signiert ist - etwas, das niemand auf der Welt außer dieser Zertifizierungsstelle tun kann - und weil wir der Zertifizierungsstelle vertrauen, dass sie die Identität des Eigentümers des Zertifikats überprüft, vertrauen wir dem Das Zertifikat stammt von dem, auf den es Anspruch erhebt.
Wenn die Zertifizierungsstelle kompromittiert ist oder den Eigentümer nicht korrekt verifiziert, gelten natürlich alle Wetten aus.
Es gibt jedoch ein anderes Modell, bei dem selbstsignierte Zertifikate Authentizität bieten. Es wird als Notarmodell bezeichnet.
Anstatt einer einzelnen Zertifizierungsstelle zu vertrauen, verteilen wir das Vertrauen im Wesentlichen an eine beliebige Anzahl von Notaren . Diese Notare durchsuchen das Internet nach Zertifikaten und speichern alle Zertifikate, die sie gesehen haben. Wenn Sie zum ersten Mal eine Website besuchen und das Zertifikat erhalten, fragen Sie eine Reihe von weltweit verteilten Notaren, welches Zertifikat sie zuletzt gesehen haben. Wenn sie nicht mit dem übereinstimmen, was Sie sehen, können Sie Teil eines Man-in-the-Middle-Angriffs sein.
Bei diesem Modell sind selbstsignierte Zertifikate absolut sicher, solange wir davon ausgehen Der Server wird nicht sofort kompromittiert, bevor ein Notar jemals sein Zertifikat einsehen kann.
Das Notarmodell steckt noch in den Kinderschuhen und es ist zweifelhaft, ob es jemals das CA-Modell übernehmen wird (Eigentlich muss es nicht - sie können zusammen verwendet werden) . Das bisher vielversprechendste Projekt ist Convergence.io mit einem Plugin für Firefox.