Perché un'organizzazione come la DoD preferisce utilizzare i propri certificati di root?

Naviga le tue risposte
14

Durante la navigazione in alcuni siti militari e governativi statunitensi, ho notato che la loro connessione HTTPS faceva affidamento sui certificati di root DoD. Come molti di noi sanno, i browser Web sono pre-caricati con un set predefinito di autorità di certificazione radice che di solito non include le autorità di certificazione radice DoD Medium Assurance e Classe 3 tra il suo elenco di root intermedie e affidabili CAS. Di conseguenza, i Web browser non riconoscono il DoD come autorità di certificazione e compaiono secondo gli avvisi.

Come la maggior parte dei siti correlati mostra e spiega (es link e / o collegamento e / o collegamento ) il / i certificato / i previsto / i può essere installato manualmente o tramite uno strumento di installazione; ma questo ovviamente richiede all'utente di dedicare tempo e sforzi, mentre a giocherellare con le cose personalmente non mi aspetterei che un "utente / cliente" debba giocherellare in primo luogo. Soprattutto, dal momento che il download del certificato di root (o l'utilizzo dei programmi di installazione) sembra essere aperto a diversi vettori di attacco (MitM).

A prima vista, questo non sembra essere troppo diverso dal creare il tuo certificato di origine e costringere gli utenti a scaricare e installare i certificati autofirmati in modo che possano navigare nel tuo sito Web (civile) in modo sicuro e senza lamentarsi avvertenze. Normalmente le persone che pensano in questo senso stanno cercando di essere - chiamiamolo - "a buon mercato", ma dubito che sia un valido motivo quando parliamo di siti militari statunitensi. Assumo senza mezzi termini che il Dipartimento della Difesa non abbia problemi economici che potrebbero impedire loro di acquistare certificati da CA ben consolidate (come il resto di noi).

Questo mi fa meravigliare ... quali sono i potenziali vantaggi per un'organizzazione come il DoD che potrebbe spiegare il motivo per cui stanno usando i loro certificati di root? Oppure, guardandolo da un'altra angolazione, ci sono degli svantaggi se un'organizzazione come il Dipartimento della Difesa degli Stati Uniti si affida alle CA Root "pubbliche" generalmente conosciute e utilizzate?

    
posta e-sushi 07.01.2017 - 15:01
fonte

2 risposte

5

Loro fanno si basano su certificati CA di CA generalmente disponibili per i siti che dovrebbero essere generalmente disponibili al pubblico su HTTPS. Vedi link per un esempio di rilievo.

Tuttavia, il DoD ha un'infrastruttura CA interna significativa e si adatta a fare leva su quello invece per i siti che non sono previsti per essere serviti su HTTPS (come il tuo link esempio, dove le richieste HTTPS sono semplicemente 30x indietro a http) o siti progettati per uso interno da persone su apparecchiature DoD come link (che richiede una CAC [smart card rilasciata da DoD] anche per l'autenticazione) o link .

    
risposta data 12.01.2017 - 23:59
fonte
-4

Il DoD - e altre agenzie governative - creano in genere il proprio ambito di sicurezza (certs, smart-card, dongle, ecc.) al fine di implementare protocolli di contenimento rapidi della sicurezza.

    
risposta data 12.01.2017 - 22:38
fonte

Leggi altre domande sui tag

Cosa sta mangiando la mia entropia? O cosa mostra davvero entropy_avail? Bypass HSTS con SSLstrip2 + DNS2proxy