Une autorité de certification est censée vérifier qu'un site Web est bien ce qu'il prétend être. Mais les autorités de certification signent leurs propres certificats. Donc, ces certificats sont auto-signés. Existe-t-il un moyen de savoir si les certificats auto-signés qu'ils utilisent sur leur site Web sont réputés et fiables?Comment puis-je faire confiance à une autorité de certification?
Vous devez faire confiance à l'autorité de certification qui a délivré le certificat. Sinon, nous rencontrons le problème classique de l'œuf de poule où il n'y a pas de limite concrète pour la confiance et la certitude.
Une fois que vous faites confiance à l'émetteur CA, vous pouvez vérifier si le certificat que vous avez été effectivement émis par l'autorité de certification concernée par écrit ce qui suit sur une ligne de commande:
$ openssl verify -verbose -CAfile cacert.pem server.crt
Résultats escomptés: server.crt: OK
Si vous obtenez un autre message, le certificat n'a pas été émis par cette autorité de certification.
Visitez https://kb.wisc.edu/middleware/page.php?id=4543 pour plus d'informations
Non, vous venez de leur faire confiance! La façon la plus courante est de suivre le troupeau ... par exemple, en les extrayant des navigateurs (http://curl.haxx.se/docs/caextract.html). Nous supposons toujours que les navigateurs le vérifient pour nous ... ainsi que les systèmes d'exploitation ...