Trasparenza certificato: il certificato deve essere inviato a ct-logs se il pre-certificato è già stato inviato

Question

Trasparenza certificato: il certificato deve essere inviato a ct-logs se il pre-certificato è già stato inviato

#1 da (1 voti)
#2 da (-2 voti)

11

Se viene generato un pre-certificato e inviato ai registri di trasparenza del certificato, il certificato finale può includere ricevute SCT.

Quindi il certificato finale non ha bisogno di essere inviato a ct-logs per essere valido nei browser dove ct è obbligatorio.

I vantaggi:

dà pubblica conferma che il certificato è stato effettivamente rilasciato (e non solo il pre-certificato)

Svantaggi:

raddoppia le dimensioni del ct-log

La mia domanda è, c'è qualche altro vantaggio o svantaggio per presentare il certificato finale? O qualsiasi richiesta di farlo? O un parere contrario?

Link: link

certificate-transparency

posta Tom 30.03.2018 - 20:29

fonte

2 risposte

1

it gives public confirmation that the certificate was indeed issued (and not only the pre-certificate)

Per citare RFC6962bis ( draft-ietf-trans-rfc6962-bis -28 ), sezione 3.2:

"signature" MUST be from the same (root or intermediate) CA that will ultimately issue the certificate. This signature indicates the CA's intent to issue the certificate. This intent is considered binding (i.e., misissuance of the precertificate is considered equivalent to misissuance of the corresponding certificate).

In sostanza, ciò significa che se è presente un pre-certificato in un registro CT, quindi in qualsiasi senso correlato alla trasparenza del certificato, il certificato finale è stato effettivamente emesso.

Ulteriori dettagli operativi (ad es. il certificato emesso successivamente, il certificato emesso poi inviato al cliente o meno, il cliente ha ricevuto il certificato, lo hanno distribuito, ecc.) non rientrano nell'ambito del quadro di trasparenza del certificato .

(È anche inteso, credo, che nel caso in cui il certificato sia stato effettivamente emesso, e non solo emesso ma effettivamente ottenuto dal cliente dell'autorità di certificazione, quindi dal cliente - di solito indicato come "operatore di server" nei documenti relativi alla CT - può presentare il certificato finale se hanno una tale politica).

Quindi, non ci sono vantaggi. Tuttavia, l'inconveniente che hai citato persiste ancora. Quindi, il punteggio finale è 0: 1 contro l'invio dei certificati finali.

risposta data 31.03.2018 - 00:58

fonte

Leggi altre domande sui tag certificate-transparency

È illegale DDoS una pagina di phishing? [chiuso] Sandboxing codice utente non affidabile fornito dall'utente in un'applicazione web

score -2 · Accepted Answer

Dopo altri pensieri, la mia conclusione è:

Svantaggi:

raddoppia le dimensioni del ct-log

I vantaggi:

dà pubblica conferma che il certificato è stato effettivamente rilasciato (e non solo il pre-certificato)
previene l'invio di massa ai registri di ct, che potrebbero causare un ritardo nell'unificazione (un motivo per la squalifica del registro) Criterio del registro per la trasparenza dei certificati
consente di rilevare i bug di emissione (come la codifica di SCT non valida) Missione completata ? Sicurezza HTTPS dopo DigiNotar
potrebbe essere utile chiedere la revoca (se ricevi un avviso perché un ct-log ha un pre-certificato che non hai richiesto, per revocare il vero certificato è più facile averlo) Come revocare un certificato che non ho emesso

Poiché l'unico inconveniente è per l'operatore di registro, ed è ampiamente compensato dalla protezione contro l'invio di massa, sembra che la registrazione di entrambi i certificati dovrebbe essere una best practice.

Let's Encrypt discussion: Non-logging dei certificati finali