Estou viajando agora, então tenho lido muito sobre navegação segura em redes públicas desprotegidas. Meu entendimento é que se você estiver usando HTTPS e seu navegador indicar (clicando no botão à esquerda da barra de endereço na maioria dos navegadores, por exemplo) que o certificado está assinado por uma autoridade confiável, você estará seguro e saberá você está no site pretendido. Queria saber se existe alguma maneira de falsificar o fato de que um certificado foi assinado. Estou fazendo esta pergunta porque realmente não entendo o processo de verificação de que um certificado está assinado corretamente. Suponho que seu computador precise acessar a Internet para verificar a validade de um certificado. Nesse caso, um DNS hackeado poderia enviar você para uma versão falsa do site da CA e dizer que um certificado é legítimo, mesmo quando não é? Existe alguma outra maneira de fingir isso?
Responder1
As chaves usadas para verificar os certificados já estão instaladas no seu computador. Se você estiver no Windows, poderá visualizá-los usando oGerenciador de certificados. Se você expandir "Autoridades de certificação raiz confiáveis", poderá ver as chaves armazenadas em sua máquina.
Portanto, um DNS hackeado não pode substituir essas chaves. Se você estiver curioso para saber como os certificados se enquadram no cenário geral, você pode ler sobre ocadeia de confiança.