In che modo CA garantisce che una richiesta di certificato provenga da me?

11

Per stabilire una connessione SSL affidabile ho bisogno di creare una richiesta di certificato. Ad esempio, se uso openSSL, posso farlo con il seguente comando:

openssl req -new -key privkey.pem -out cert.csr

Chiunque può farlo. Mi aggiro come CA garantisce che una richiesta di certificato viene da me? Forse qualcun altro crea una richiesta di certificato per conto di me. Forse la mia posta in CA è stata compromessa e una richiesta di certificato è stata sostituita. Posso firmare la mia richiesta di certificato e inviare la mia chiave pubblica di firma a CA (ad esempio nella posta separata)? In questo caso è possibile garantire che una richiesta di certificato venga da me.

    
posta Michael 01.06.2013 - 03:35
fonte

1 risposta

9

CA diverse hanno metodi diversi e ciascuna CA ha metodi diversi in base al livello di attendibilità che si sta pagando. (come Extended Validation per ottenere la barra degli indirizzi verde)

Le piccole CA fly-by-night hanno una verifica a livello di base in cui basta dare loro un indirizzo e-mail e ti inviano una e-mail, confermando così che sei proprio il proprietario dell'indirizzo e-mail associato certificato. Questi di solito costano $ 15- $ 30 e sono promossi come verifica istantanea.

La convalida CA standard prevede la fornitura di un numero di telefono per almeno un contatto presso la tua azienda. La CA prima consulta il numero di telefono per verificare che appartenga alla società in cui è registrato il certificato, quindi controlla chiamando e facendo in modo che il contatto risponda al telefono e accetti di essere a conoscenza di questa richiesta di certificato.

Le verifiche di livello più elevato riguardano la trasmissione di documenti aziendali (licenza commerciale, registrazione, ecc.)

... quindi, per farla breve, dipende da che tipo di fiducia paghi e da quale azienda ti si appiccica il collo.

    
risposta data 01.06.2013 - 05:05
fonte

Leggi altre domande sui tag