Come puoi impedire ai dipendenti della tua azienda di creare certificati SSL validi? [duplicare]

17

Quando mi sono registrato per un certificato SSL, sono riuscito a convalidare che "possedevo" il dominio per il quale stavo creando il certificato avendo un indirizzo email @ dominio.com valido. Se ho lavorato per una grande azienda, per esempio Microsoft o qualcosa del genere, e ho un valido indirizzo email [email protected], come posso evitare di essere in grado di creare un certificato SSL valido per microsoft.com?

Forse Microsoft ha qualcosa in atto per gestire questo, ma cosa succede se la società è un po 'più piccola e non ha nulla sul posto?

    
posta Anthony Kraft 21.03.2014 - 02:50
fonte

2 risposte

22

Non è solo qualsiasi indirizzo email di quel dominio. Ho un indirizzo Gmail valido, ma non è sufficiente per convincere Verisign che possiedo gmail.com.

Invece, per lo meno, devi controllare uno specifico gruppo di indirizzi, incluso l'indirizzo email elencato nel record whois per il dominio, e spesso anche alcuni dei seguenti:

Inoltre, a seconda del dominio in questione e spesso attivato da un sistema di segnalazione automatica, possono richiedere una convalida manuale aggiuntiva da parte di un dipendente della CA. Ad esempio, se tentassi di ottenere un certificato per microsoft.com, probabilmente non funzionerebbe anche se hai il controllo di uno degli indirizzi email elencati sopra.

    
risposta data 21.03.2014 - 02:57
fonte
7

L' autorità di registrazione per un determinato certificato l'autorità ha regole che regolano il modo in cui verificheranno l'identità di un richiedente. Non tutte le autorità hanno pari sicurezza o controlli di qualità. Il sistema si basa sull'autorità di registrazione che fa la dovuta diligenza, ma se sono scadenti, qualcuno potrebbe ottenere un problema di certificazione che non dovrebbe.

Ecco perché sono stati introdotti i certificati Extended Validation (EV) . Per ottenere uno di questi certificati è necessario molto più controllo in background e due diligence dando all'utilizzatore finale una maggiore certezza. Esistono linee guida del settore per l'emissione di un certificato EV.

Ad esempio:

9.2.1 Subject Organization Name Field

Certificate field:subject:organizationName (OID 2.5.4.10 )

Required/Optional:Required

Contents:This field MUST contain the Subject’s full legal organization name as listed in the official records of the Incorporating or Registration Agency in the Subject’s Jurisdiction of Incorporation or Registration or as otherwise verified by the CA as provided herein. A CA MAY abbreviate the organization prefixes or suffixes in the organization name, e.g., if the official record shows “Company Name Incorporated” the CA MAY include “Company Name, Inc.”

Potresti trovare questo blog, W hy sono la certificazione Requisiti di base dell'autorità / del browser così importanti? , sul sito di Symantec utile per questa domanda.

    
risposta data 21.03.2014 - 03:54
fonte

Leggi altre domande sui tag