"SSL-fel webbplatsens säkerhetscertifikat är inte tillförlitligt"?

Jag förstår inte riktigt varför man måste ha ett cerfitikat på att webbplatser man besöker just är den webbplats man vill besöka.

Jag kan väl skapa en hemsida som heter flashblack.org och sedan certifiera den? Då kommer den ju också få SSL och ett grönt hänglås. Då kan jag ju lura folk att gå in på den hemsidan?

Om jag skriver in flashback.org så behöver jag väl inte ha nåt certifikat på att det är just den sida jag besöker? Jag fattar väl att jag är inne på Flashback om det står flashback.org i URL:en?

Nej, det kan du inte.

FÖr att få ett "grönt hänglås" (EVC, Enhanced Validation Certificate) så måste du uppvisa en hel del papper på att det är du som har laglig rätt att använda domännamnet.

Men även med ett vanligt cert kan an inte göra som du säger, sålänge du inte DESSUTOM lyckas ta kontrollen över DNS-servrarna för Flashback.org och ändra informationen i dem.

1. Du fixar en CSR för "Flashback.org" och får den signerad.
2. Du installerar detta falska cert på en server du kontrollera.
3. Hur skall du nu få mig att besöka din server, genom att skriva https://www.flashback.org i min browser?
4. Jooo Phail.

Men va?

Hur ska EVC veta att mitt syfte med sidan är att "kopiera" Flashbacks hemsida?

Jag skapar en hemsida som heter flashblack.org där jag säljer svarta ficklampor. Jag får sidan certifierad. Så fort jag fått den certifierad så gör jag en kopia av Flashback och lägger upp den på flashblack.org och snor allas inloggningsuppgifter. Förutsatt att de besöker min länk (flashblack.org).

Jag fattar inte...

Du KAN INTE lägga upp "Flashback.org" utan att hacka de DNS-servrar som hanterar Flashback.org

Vi börjar från början. Förstår du ens skillnaden och sambandet mellan ett hostnamn och en IP-adress?

Ja.

Jag försöker inte manipulera flashback.org. Jag försöker skapa en kopia av flashback.org, exempelvis flashblack.org.

Ja, och vad tror du då händer när webläsaren besöker flashblack.org?

Jo, webläsaren tittar på certifikatet som ställts ut på Flashback.org och tänker, men vänta nu.. det här certet säger Flashback.org, men sidan jag laddar heter flashblack.org AAAAH! Error! Röd skylt! Varningar! Jämmer! Elände!

Om folk dock är så korkade att de inte kontrollerar SSL-certen när de besöker en sida så.. Ptja. Synd. :=)

Men hur fan vet certifikatet att flashblack.org är förknippat med flashback.org?

Som jag sa: Certifikatet måste alltid matcha adressen som anges i webläsaren.

Det är alltså WEBLÄSAREN som jämför namnet i certifikatet med namnet på webplatsen som den kopplar upp sig emot.

H*n vill väl helt enkelt göra en kopia av sidan och farma inloggningsuppgifter.

Ja precis. Jag försöker inte styra trafiken från flashback.org till flashblack.org. Jag försöker bara kopiera flashback.org.

Vilken hemsida som helst kan väl skaffa ett SSL certifikat?

Det SSL (och certifikat) skyddar dig mot är (bl.a.) man in the middle-attacker och DNS-hijacking. Som Lper säger så kan han mycket riktigt registrera flashblack.org och skaffa ett certifikat till den. Om folk går dit och knappar in användaruppgifter så har han vunnit.
Vad certifikaten skyddar mot är dock att:

1) Lpers DNS-server pekar flashback.org mot hans egna IP-nummer istället för flashbacks, och jag därmed blir lurad att gå till hans maskin trots att jag knappat in flashback.org i URL-fältet.
2) Lper sitter på en router mellan mig och flashback och lyssnar av/modiferar datan jag och flashback skickar till varandra.

Äntligen någon som fattar vad jag menar!

Måste inte vi vara i samma nätverk för att jag ska kunna utföra en MiTM-attack mot dig?

Så om jag loggar in på GoDaddy och pekar om flashback.org till min IP så kommer det stå att SSL-certifikatet inte är giltigt?

Varför måste datorns klocka vara rätt inställd för att SSL-certifikatet ska fungera som det ska?