Come arrestare / rilevare qualcun altro che registra un certificato per il mio dominio

Questo è veramente un aspetto delle politiche di ciascuna CA. Molti di questi richiedono la prova della proprietà di un dominio prima di rilasciare un certificato. Anche con le CA poco costose, questo di solito comporta la verifica di una e-mail che può essere ricevuta da un contatto WHOIS o l'inserimento di voci nei record DNS per il dominio.

Sono d'accordo con AJ che anche le CA a basso costo implicano la verifica delle e-mail dai dati recuperati da una richiesta WHOIS. Ma questo tipo di verifica spesso ha molti buchi e non garantisce crittograficamente la convalida. Questo è un utente malintenzionato che può intercettare / alterare il traffico non crittografato su Internet potenzialmente:

• intercettare l'e-mail inviata su Internet dalla CA (SMTP è un protocollo in chiaro, solo a volte inviato con TLS),
• altera la risposta DNS (spesso inviata in testo normale) per il dominio del contatto amministrativo a cui viene inviata l'email,
• eseguire un attacco di spoofing ARP sulla CA che indirizza nuovamente il traffico dalla CA a un altro computer,
• modifica la richiesta WHOIS effettuata dalla CA (sostituendo l'indirizzo email di contatto amministrativo con un indirizzo controllato da un attaccante).

Un utente malintenzionato in grado di rimuovere uno di questi attacchi deve essere in grado di generare un certificato firmato da una CA. Di nuovo, questi non sono generalmente i tipi di attacchi che potrebbero fare i copioni, ma potenzialmente un ISP o un governo potrebbe fare.

I fornitori di browser e sistemi operativi (Firefox, Chrome, Microsoft ...) includono certificati CA nel loro predefinito "archivio CA attendibile" in alcune condizioni rigorose su come opera la CA, la sua dichiarazione sulla certificazione . La premessa è che se una CA si comporta male, ad es. essendo troppo facile da truffare per emettere certificati falsi, i fornitori di browser / OS rimuoveranno la CA dall'archivio CA di fiducia predefinito. E i produttori di browser / OS lo faranno solo se rispondono ai loro interessi, un concetto che è meglio esprimere in termini finanziari.

Quindi l'unica cosa che puoi fare, in realtà, è mantenere il tuo avvocato pronto e pronto a sparare. Se una CA si comporta in modo anomalo e rilascia un certificato falso per il proprio dominio, minaccia la CA e minaccia i fornitori di browser / OS, che devono, per necessità, essere coloro che assicurano la pulizia degli archivi fiduciari predefiniti. In fin dei conti, è tutta una questione di pressione del mercato. "La paura manterrà i sistemi locali in linea."

AJ ha ragione, c'è pochissimo che un cliente possa fare. La natura di questo sistema è interessante in quanto non importa ciò che fa il cliente, ma può ancora essere vittimizzato. L'utilizzo di una CA di livello superiore (e probabilmente il pagamento di più) non ti rende sicuro, le altre CA possono rilasciare un certificato per il tuo dominio.

In un certo senso, i produttori di browser sono i veri clienti della CA. Accettano e utilizzano il prodotto delle AC sotto forma di certificati firmati. Se una CA si comporta male o ha cattive pratiche che portano a certificati dannosi, i produttori di browser possono scegliere di rimuovere quella CA dal loro negozio fidato. Questa è probabilmente una chiamata difficile perché la rimozione di una CA potrebbe avere un impatto su un numero enorme di siti e attività commerciali.