La convalida del certificato è stata eseguita completamente in locale?

Naviga le tue risposte
16

Ho ragione nel ritenere che la convalida di un certificato da parte di un cliente che desidera comunicare con un server che offre detto certificato, sia completamente locale? Come in, si suppone che il client abbia tutte le informazioni (ad esempio la chiave pubblica di CA, utilizzata per firmare il certificato dei server) già disponibili localmente?

Le eccezioni sono, a mio avviso, confrontando le informazioni sull'indirizzo IP / DNS offerte attraverso il certificato con l'indirizzo del server del mondo reale e il nome del dominio.

Una risposta in un'altra domanda ( Modello di certificato del certificato SSL ) in effetti dichiara esplicitamente "In effetti questa è l'idea dei certificati: consentire la convalida offline.". È vero?

    
posta JdeHaan 30.10.2016 - 09:43
fonte

2 risposte

21

È quasi vero. :) Ma non del tutto.

Un certificato può essere revocato in caso di compromissione. L'unico modo per scoprire se un certificato è revocato in un dato momento è fondamentalmente contattare la CA che lo ha rilasciato. Qualsiasi informazione firmata nel certificato stesso (adatta per la convalida offline) sarà valida per un certificato revocato.

Esistono due protocolli per il controllo della revoca, CRL e OCSP. Un CRL è solo un elenco di certificati revocati pubblicati dalla CA e OCSP è un tipo di servizio Web, ma l'idea è la stessa, qualsiasi client che esegue la convalida del certificato dovrebbe dare un'occhiata e controllare se il certificato è stato revocato.

In effetti, un difetto abbastanza comune nelle implementazioni di convalida del certificato è che non controllano la revoca.

    
risposta data 30.10.2016 - 10:11
fonte
19

La maggior parte della convalida viene eseguita utilizzando le informazioni disponibili localmente. Ma in alcuni casi è necessario l'accesso a Internet e se questo accesso non è possibile la convalida potrebbe non riuscire o la convalida richiederà molto tempo (cioè timeout per ottenere risorse online):

  • Per ottenere informazioni aggiornate sullo stato di revoca dei clienti certificatemost verrà eseguita una richiesta OCSP (almeno per i certificati EV) a meno che la risposta OCSP non sia già stata inviata all'interno dell'handshake TLS ( Pinzatura OCSP). Nota che questo non sarà fatto per ogni richiesta, cioè le informazioni saranno memorizzate nella cache per un po 'di tempo. Un client simile potrebbe essere online di volta in volta per aggiornare gli elenchi CRL che usano (ma la maggior parte non usa CRL più di default).
  • La convalida della catena di trust potrebbe fallire perché manca un certificato intermedio. Alcuni client (browser desktop Chrome?) Tentano di aggirare le impostazioni di questo server e tentano di scaricare il certificato intermedio mancante da Internet.
  • La convalida della catena di attendibilità potrebbe fallire perché la CA radice è sconosciuta. Alcuni sistemi operativi (Windows) potrebbero in questo caso richiedere online un server attendibile se dispongono di questa CA radice mancante e quindi scaricare la CA radice sconosciuta e automaticamente affidarsi a questa e alle connessioni future. Vedi Aggiornamenti automatici del certificato root della CA su Windows .
  • Inoltre potrebbero esserci controlli per rilevare i certificati emessi a causa di un compromesso di una CA o dovuti a bug e che sono utilizzati negli attacchi man in the middle. Tali verifiche potrebbero essere eseguite contro un trasparenza del certificato server o contro Convergence notai.
risposta data 30.10.2016 - 10:13
fonte

Leggi altre domande sui tag

Perché CSP è necessario per proteggere dalla perdita di img-src? Vantaggio di sicurezza dei browser che riscrivono automaticamente da HTTP a HTTPS? [duplicare]