एक वेब सर्वर के सार्वजनिक कुंजी प्रमाणपत्र को एक प्रमाणपत्र प्राधिकरण द्वारा हस्ताक्षरित क्यों करना पड़ता है?

दूसरे शब्दों में, सर्टिफिकेट ऑथराइज (यूजर के नजरिए से) सार्वजनिक कुंजी प्रमाणपत्र पर हस्ताक्षर नहीं करने का सुरक्षा जोखिम क्या होगा? मेरा मतलब है, डेटा अभी भी एन्क्रिप्टेड है ... बीच में एक आदमी एक गैर हस्ताक्षरित प्रमाण पत्र के साथ क्या कर सकता है?

HTTP के साथ उपयोग किए जाने पर SSL का उद्देश्य केवल ट्रैफ़िक को एन्क्रिप्ट करना नहीं है, बल्कि यह भी प्रमाणित करना है कि वेबसाइट का मालिक कौन है, और किसी को अपने डोमेन की प्रामाणिकता और स्वामित्व साबित करने में समय और पैसा लगाने के लिए तैयार होना चाहिए।

यह केवल एन्क्रिप्शन नहीं, और रिश्ते को एक निश्चित स्तर के विश्वास, या अनुमानों, या रिश्ते को खरीदने की तरह है।

उस ने कहा, मैंने कुछ महीने पहले इसी तरह का सवाल पूछा था, और जो मूल उत्तर वापस आया वह था "एसएसएल एक घोटाला है"

एक ऐसी स्थिति की कल्पना करें जहां आप जॉन स्मिथ नाम के एक व्यक्ति को $ 1,000,000 वितरित करने के लिए हैं, जिनसे आप कभी भी मिले या संवाद नहीं किए हैं। आपसे कहा जाता है कि आप उनसे भीड़ भरे सार्वजनिक स्थान पर मिल सकते हैं। जब आप उससे मिलने जाते हैं तो आपको यह सुनिश्चित करने के लिए किसी तरह की आवश्यकता होगी कि वह वास्तव में वह व्यक्ति है जिसे आप ढूंढ रहे हैं, न कि कुछ अन्य यादृच्छिक व्यक्ति जो जॉन स्मिथ होने का दावा कर रहे हैं। आप कुछ सरकारी आईडी, एक व्यवसाय कार्ड के लिए पूछ सकते हैं। आप एक ऐसे व्यक्ति से पूछ सकते हैं जिस पर आपको भरोसा है जो वास्तव में जॉन स्मिथ से उसकी पहचान करने में मदद के लिए मिला है।

एक स्व-हस्ताक्षरित प्रमाणपत्र विशिष्ट रूप से एक प्रणाली की पहचान करता है, लेकिन यह साबित करने के लिए कुछ भी नहीं करता है कि सिस्टम वह है जो यह होने का दावा करता है। मैं आसानी से एक प्रमाण पत्र पर स्व-हस्ताक्षर कर सकता हूं और serverfault.com, google.com या yourbank.com होने का दावा कर सकता हूं। प्रमाणपत्र प्राधिकारी मूल रूप से एक तृतीय पक्ष के रूप में कार्य करते हैं जो कि ग्राहक द्वारा एक प्रमाण पत्र को सत्यापित करने के लिए विश्वसनीय होता है, वास्तव में उस नाम के लिए मान्य है जो साइट का दावा है।

एसएसएल व्यापार वास्तव में एक घोटाला है। एक बिट से अधिक, वास्तव में, जब आप कुछ क्रिप्टोग्राफिक-दिलचस्प डेटा के लिए प्रति बाइट के बारे में 20p भुगतान कर रहे हैं। आप जो भी भुगतान कर रहे हैं वह CA के लिए है जो आप अपने प्रमाण पत्र पर हस्ताक्षर करने के लिए उपयोग करते हैं अपने निजी कुंजी के साथ अपने आप को साबित करने के बाद कि आप वास्तव में डोमेन / होस्ट नाम का उपयोग करने के हकदार हैं जो प्रमाण पत्र के लिए है। जैसा कि फ़ारसेकर कहते हैं, यह एक भरोसे का रिश्ता है - सीए आप पर भरोसा करता है (वे आपके जाने के बाद), दुनिया के वेब ब्राउज़र सीए (आमतौर पर) पर भरोसा करते हैं, और इसलिए दुनिया वेब ब्राउज़र आपके प्रमाणपत्र पर भरोसा करेंगे। और मुझे विस्तारित मान्यता के बारे में शुरू न करें ...