Per quanto posso dire, una CA è in grado di revocare unilateralmente un certificato tramite i meccanismi standard (CRL, OCSP).
In un mondo sempre più TLS, quale tecnologia attuale impedisce a una CA di chiudere un servizio che non gli piace?
Per quanto posso dire, una CA è in grado di revocare unilateralmente un certificato tramite i meccanismi standard (CRL, OCSP).
In un mondo sempre più TLS, quale tecnologia attuale impedisce a una CA di chiudere un servizio che non gli piace?
La pressione dei pari, efficacemente.
Esiste una struttura di trust a più livelli: le autorità di certificazione si fidano dei produttori di browser per includere i loro certificati di origine e non rimuoverli senza motivo. I produttori di browser si affidano alle CA per firmare solo i certificati per le richieste legittime e accettano implicitamente di crederlo, con la minaccia di rimuovere i certificati di origine delle CA che in realtà non lo fanno. I proprietari dei siti Web si affidano alle CA per mantenere i loro certificati di origine in tutti i più diffusi bundle del browser (poiché l'aggiunta manuale dei certificati è un enorme ostacolo all'esperienza utente) e i produttori di browser mantengono i certificati radice nei loro bundle, a meno che non vi sia una buona ragione per non a (ad esempio, la CA ha chiesto che vengano rimossi).
Pertanto, se una CA revoca unilateralmente un certificato, i produttori di browser potrebbero richiedere un motivo e, se hanno scoperto che il motivo era insufficiente, rimuovere i certificati radice appartenenti a tale CA. È improbabile che lo facciano, a meno che non si tratti di uno schema (ad esempio, la revoca di certificati appartenenti a siti a favore di un dato partito politico).
Per definizione , la CA sta gestendo la revoca. In effetti, è un modo concettualmente migliore per esprimere le cose come: la CA emette nuovamente tutti i certificati su base giornaliera. Il CRL è un tipo di compressione dei dati: dal punto di vista del verificatore (ad esempio, il browser Web che convalida il certificato del server SSL), il certificato è valido fino a quando la CA afferma che è OK. Per semplificare le cose, invece che la CA firma ogni giorno un nuovo certificato per ogni cliente, la CA firma certificati a vita lunga e include solo certificati revocati nel CRL. Questa è un'ottimizzazione che funziona nel presupposto che la maggior parte dei certificati non verrà revocata.
Poiché mantenere il certificato a galla è il lavoro giornaliero della CA, non esiste una tecnologia che possa impedire alla CA di smettere di farlo. Quale "forza" CA non revocare i certificati per un capriccio è legge contrattuale (hai pagato la CA per il servizio, quindi è vincolato dalla legge per mantenere tale servizio) e pressione del mercato (se la CA revoca i certificati senza giustificazione, i clienti trasferiranno semplicemente la propria attività a un concorrente).
Il proprietario del sito potrebbe semplicemente ottenere un altro certificato da un'altra CA e tornare attivo e funzionante.
Leggi altre domande sui tag certificates ocsp crl